Data Act : la nouvelle ère de la régulation des données

Qu’est-ce que le Data Act ?

Le Data Act est un règlement européen, adopté en juin 2023 et applicable à partir du 12 septembre 2025, qui vise à instaurer un cadre harmonisé pour l’accès, l’utilisation et le partage des données générées par les objets connectés, les services numériques et les équipements industriels.

‍
Ce texte s’inscrit dans la stratégie européenne de valorisation des données, et s’adresse tout autant aux entreprises qu’aux particuliers. Il vise à rééquilibrer le rapport de force entre fabricants, détenteurs de données et utilisateurs, tout en favorisant l’innovation et la compétitivité.

Encadré pédagogique :
À ce titre, le Data Act concerne aussi bien un constructeur automobile fournissant une voiture connectée, qu’un exploitant agricole utilisant des machines interconnectées.

Champ d’application du Data Act

Le Data Act s’applique à l’ensemble des acteurs économiques proposant des produits connectés ou des services numériques sur le marché européen, quel que soit leur secteur d’activité (industrie, agriculture, bâtiment, services, etc.).

‍
Son périmètre couvre notamment les données générées par l’utilisation normale des appareils, ainsi que les services annexes. Il s’applique aussi aux organismes publics en certaines circonstances exceptionnelles.

Exemple concret :
Un fabricant de machines industrielles implanté en France, qui commercialise ses produits à travers l’Europe, doit désormais permettre à ses clients d’accéder facilement aux données générées par les équipements acquis.

Les obligations principales du Data Act

Accès facilité aux données

Le Data Act consacre le droit pour l’utilisateur d'accéder gratuitement et facilement aux données générées par ses produits connectés ou services.
Les fabricants doivent concevoir leurs produits pour que les données soient accessibles, lisibles par machine, et transmissibles à un tiers choisi par l’utilisateur.

Exemple concret :
Un agriculteur utilisant un tracteur connecté peut récupérer toutes les données sur la performance de sa machine, voire les transmettre à un prestataire indépendant pour maintenance.

Partage des données avec les tiers

Sur demande expresse de l’utilisateur, le détenteur de données doit pouvoir transférer ces données à un tiers, sans frais supplémentaires et dans des formats standards.

Encadré pédagogique :
Lorsqu’une société de maintenance veut accéder aux données de fonctionnement d’un équipement industriel, le client peut exiger du fabricant la transmission sécurisée de ces informations.

Protection des secrets d’affaires

Le règlement prévoit la protection des secrets d’affaires et limite l’utilisation des données transférées, notamment l’interdiction pour le destinataire de créer un produit concurrent avec les données reçues.

Retrouvez mon article sur le secret des affaires : www.victorisavocat.com/blog/secret-des-affaires-definition-juridique

Obligations face au secteur public

En cas de besoin exceptionnel (urgence publique, missions d’intérêt général), des organismes publics peuvent demander l’accès à certaines données détenues par le secteur privé, sous des conditions strictes et encadrées.

Exemple :
Durant une catastrophe naturelle, les données collectées par des capteurs urbains pourront être exploitées par les autorités pour coordonner les secours.

Changement de fournisseur cloud et portabilité

Le Data Act facilite la portabilité des données et impose la suppression progressive des obstacles et frais pour le changement de fournisseur de services cloud. Les contrats devront garantir l’interopérabilité et la facilité de transfert des données.

Les clauses contractuelles sous le Data Act

Clauses contractuelles abusives

Le Data Act interdit formellement les clauses abusives dans les contrats B2B de partage de données, et encourage l’intégration de clauses FRAND (Fair, Reasonable, Non-Discriminatory).

Exemple de clause type Data Act :

“Le partage des données couvertes par le présent contrat s’effectuera dans des conditions équitables, raisonnables et non discriminatoires. Aucune clause du présent contrat ne saurait contraindre l’utilisateur à renoncer à ses droits d’accès ou imposer des limitations disproportionnées à la portabilité des données.”

La Commission proposera prochainement des modèles de clauses-types pour aider les entreprises à se conformer au texte.

Quels enjeux pour les entreprises ?

Pour les entreprises, le Data Act représente :

• Une nouvelle cartographie des responsabilités contractuelles, avec des obligations de transparence et d’accès aux données
• Des leviers d’innovation grâce à la circulation facilitée des données
• Une nécessaire adaptation des CGV, CGA, et contrats cloud, pour garantir conformité et compétitivité, notamment face aux sanctions potentielles en cas de non-respect

Encadré pédagogique :
Une PME qui souhaite intégrer de l’IoT à ses offres doit concevoir une politique de partage des données conforme au Data Act, sous peine de voir ses contrats annulés ou ses responsabilités engagées.

Data Act, RGPD et Data Governance Act : quelles différences ?

Data Act vs RGPD

Le RGPD vise exclusivement la protection des données personnelles des individus. Le Data Act, quant à lui, régit principalement les données non personnelles – industrielles, IoT, machine-to-machine.
En cas de présence de données personnelles dans un ensemble de données visées par le Data Act, le RGPD continue de s’appliquer.

Data Act vs Data Governance Act

Le Data Governance Act établit un cadre de gouvernance et des mécanismes de partage volontaire de données dans des secteurs spécifiques, en consolidant la fiabilité et la neutralité des intermédiaires.
À l’inverse, le Data Act organise les droits et obligations relatifs au partage des données générées et exploitées économiquement, et cible B2B/B2C, ainsi que les relations avec le secteur public.

FAQ sur le Data Act

Qu’est-ce que le règlement sur les données (Data Act) ?

Le Data Act est le règlement européen 2032/2854, entré en vigueur en janvier 2024 et applicable à partir de septembre 2025, qui harmonise les droits d’accès, d’utilisation et de partage des données générées par les produits connectés et services numériques.

Quel est le champ d’application du Data Act ?

Il s’applique à tous les fabricants, fournisseurs, utilisateurs et détenteurs de données générées par des produits connectés ou services numériques proposés sur le marché européen.

Qu’est-ce que le Data Act 2022 ?

Il s’agit du texte législatif adopté en 2022 (entré en vigueur en janvier 2024) visant à encadrer la circulation des données industrielles au sein de l’UE, puis amendé jusqu’à son application en septembre 2025.

Où trouver le texte officiel du Data Act (PDF, EUR-Lex) ?

Le texte officiel est disponible sur EUR-Lex et les sites officiels de la Commission européenne, au format PDF.

Quelle est la différence entre le Data Act et le Data Governance Act ?

Le Data Governance Act porte sur la gouvernance, la fiabilité des intermédiaires et le partage volontaire de données publiques et sectorielles, alors que le Data Act impose des obligations d’accès, d’équité contractuelle et organise la gestion économique des données générées par l’usage d’objets connectés.

Quelle est la différence entre le Data Act et le RGPD ?

Le RGPD protège exclusivement les données personnelles, tandis que le Data Act cible les données non personnelles issues de l’usage d'appareils et services. Lorsque des données personnelles sont incluses, le RGPD s’applique en complément.

Quelles sanctions en cas d’infraction au Data Act ?

Des sanctions sont prévues pour non-respect, déterminées par les autorités nationales. Elles peuvent inclure des amendes équitables, dans le respect des principes de proportionnalité et d’efficacité.

Existe-t-il des modèles de clauses contractuelles type Data Act ?

Oui, la Commission européenne proposera des modèles de clauses contractuelles types avant la mise en application. Les parties doivent veiller à inclure des stipulations FRAND et bannir toute clause abusive dans les contrats de données.

Conclusion

Le Data Act européen consacre un droit nouveau à l’accès, la portabilité et le partage des données, tout en imposant des standards de sécurité et d’équité contractuelle. Il bouleverse la pratique contractuelle des entreprises, ainsi que la gestion des relations B2B et B2C autour des objets connectés et services numériques. Il vous appartient, en tant que professionnels, de repenser vos politiques contractuelles et vos modes d’organisation pour anticiper la mise en conformité.

Auteur : Guillaume Leclerc, avocat à Paris en contrats commerciaux et contentieux commerciaux.

‍