En vigueur depuis le 11 janvier 2024 et applicable dès le 12 septembre 2025, le Data Act (Règlement (UE) 2023/2854) transforme la gestion des données dans l’Union européenne. Il vise à garantir aux utilisateurs, qu’ils soient entreprises ou particuliers, un accès équitable aux données générées par les objets connectés et services numériques. Voici l’essentiel :

• Objectif principal : Donner aux utilisateurs plus de contrôle sur les données qu’ils produisent, tout en réduisant les déséquilibres entre grandes entreprises et PME.
• Types de données concernés : Données brutes ou pré-traitées issues d’objets connectés (ex. : montres intelligentes, machines industrielles) et services associés. Les données dérivées restent sous le contrôle des fabricants.
• Acteurs impliqués :
  • Utilisateurs de données : Consommateurs ou entreprises ayant droit à un accès direct ou indirect aux données.
  • Détenteurs de données : Fabricants ou prestataires responsables de fournir cet accès.
• Exemptions : Les micro et petites entreprises sont généralement dispensées des obligations de partage.

Points clés à retenir

• Les détenteurs de données doivent fournir un accès gratuit et sécurisé aux utilisateurs, tout en protégeant leurs secrets commerciaux.
• Les tiers peuvent accéder aux données sur demande, mais ne peuvent pas les exploiter pour créer des produits concurrents.
• Des sanctions sévères (jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial) sont prévues en cas de non-conformité.

Avec des échéances progressives jusqu’en 2027, le Data Act s’inscrit dans un cadre réglementaire qui complète la mise en conformité RGPD et renforce la transparence dans l’économie numérique. Anticipez dès maintenant pour éviter les risques et transformer les contraintes en opportunités.

Ce que couvre le Data Act et qui est concerné

Types de données incluses

Le Data Act s’applique aux données personnelles et non personnelles collectées par des objets connectés et leurs services associés. Il cible en particulier les “produits connectés” – des objets physiques capables de collecter ou générer des données en lien avec leur utilisation ou leur environnement – ainsi que les “services associés” tels que les applications mobiles ou logiciels reliés à ces produits.

Les données concernées incluent celles qui sont brutes ou pré-traitées et accessibles facilement. Cependant, les données dérivées par des algorithmes restent sous le contrôle exclusif du fabricant. Par exemple, un téléviseur connecté génère des données sur la luminosité de l’écran ou ses performances techniques, qui sont couvertes par le Data Act. En revanche, le contenu tel qu’un film visionné est exclu. De même, un capteur de température d’une machine industrielle fournit des données brutes couvertes par le texte, mais les analyses prédictives issues des algorithmes du fabricant ne le sont pas.

Cette distinction précise aide à mieux comprendre les responsabilités et les rôles des différents acteurs impliqués, comme détaillé ci-dessous.

Organisations et personnes concernées par le Data Act

En s’appuyant sur cette définition des données couvertes, il est important de clarifier les parties concernées par le Data Act. Deux rôles principaux sont définis : les utilisateurs de données et les détenteurs de données.

Un utilisateur de données peut être une personne physique ou morale – consommateur, entreprise ou organisme public – qui possède, loue ou utilise un produit connecté. Par exemple, une entreprise de construction exploitant un bulldozer connecté est considérée comme utilisateur et a le droit d’accéder aux données de performance de l’équipement.

Le détenteur de données, de son côté, est l’entité qui contrôle l’accès aux données générées par le produit ou service connecté. Cela inclut souvent le fabricant ou le fournisseur de services, bien que cette responsabilité puisse être déléguée à d’autres entités. Prenons l’exemple d’un réfrigérateur connecté utilisé avec une application tierce pour réguler sa température : le fabricant du réfrigérateur et le fournisseur de l’application sont tous deux détenteurs des données, tandis que le consommateur reste l’utilisateur ayant droit à ces données.

Ces rôles structurent les obligations prévues par le Data Act :

Enfin, les micro-entreprises et petites entreprises bénéficient d’exemptions générales concernant les obligations de partage de données (Chapitre II), afin d’éviter une surcharge administrative.

sbb-itb-9879cb5

Principales exigences et droits

Le Data Act impose des obligations importantes aux détenteurs de données tout en élargissant les droits des utilisateurs, rééquilibrant ainsi le contrôle des données issues des objets connectés.

Comment accéder aux données : méthodes directes et indirectes

Les détenteurs de données doivent intégrer dès la conception des dispositifs un accès facile et sécurisé aux données, garantissant ainsi une transparence par défaut.

• Accès direct : Les utilisateurs peuvent consulter leurs données en temps réel, que ce soit directement via le produit ou via une interface fournie par le fabricant. Prenons l’exemple d’un agriculteur utilisant un tracteur connecté : il peut accéder aux données de performance de sa machine grâce à un tableau de bord intégré. Ces données doivent être fournies gratuitement dans un format structuré, standardisé et lisible par machine.
• Accès indirect : Ici, les données sont transmises à l’utilisateur ou à un tiers désigné via une API ou une interface, sur demande et selon un processus simplifié. Avant tout contrat, le fabricant doit informer l’utilisateur des types de données générées, de leur volume, de leur fréquence et des modalités d’accès.

Les détenteurs de données peuvent protéger leurs secrets d’affaires grâce à des accords de confidentialité avec les utilisateurs ou les tiers. Cependant, ils ne peuvent refuser l’accès que s’ils prouvent qu’une divulgation entraînerait un risque élevé de préjudice économique grave.

Cette approche garantit une exploitation plus transparente des données, tout en facilitant leur partage contrôlé avec des tiers.

Partage de données avec des tiers

Sur instruction de l’utilisateur, les détenteurs doivent partager les données avec des tiers désignés, comme un atelier de réparation ou une entreprise d’analyse. Ce partage doit se faire sans imposer de restrictions contractuelles, favorisant ainsi le développement de nouveaux services après-vente et l’innovation dans les services associés.

Cependant, des limites ont été fixées pour maintenir un équilibre économique. Par exemple, ni les tiers ni les utilisateurs ne peuvent exploiter ces données pour créer un produit connecté concurrent, protégeant ainsi les investissements des fabricants.

Les entreprises qualifiées de « gatekeepers » selon le Digital Markets Act ne peuvent pas recevoir ces données en tant que tiers.

« Le Data Act donne aux particuliers et aux entreprises le droit d’accéder aux données produites par leur utilisation d’objets, de machines et de dispositifs intelligents. » – Commission européenne

Ces dispositions, qui complètent celles du RGPD, renforcent la sécurité et la transparence pour les entreprises dans l’univers numérique.

Dates de mise en œuvre et échéances

Le Data Act s’inscrit dans un calendrier progressif qui s’étale sur plusieurs années. Comprendre ces échéances est crucial pour garantir votre conformité.

Entré en vigueur le 11 janvier 2024, le Data Act prévoit une période transitoire de 20 mois avant l’application générale de ses principales dispositions le 12 septembre 2025. À cette date, plusieurs obligations entreront en vigueur, notamment les règles de partage des données B2B, l’interdiction des clauses contractuelles abusives dans les nouveaux contrats, et les droits liés au changement de fournisseur cloud.

Une échéance critique pour les fabricants est fixée au 12 septembre 2026. À partir de cette date, tous les produits connectés et services associés mis sur le marché européen devront être conçus pour garantir un accès facile et sécurisé aux données. Cette obligation s’applique uniquement aux produits introduits sur le marché après cette date.

Pour les fournisseurs de services cloud, une transition progressive est prévue concernant les frais de migration. Dès le 12 janvier 2027, ces frais seront totalement supprimés. Jusque-là, seuls les coûts directement liés au processus de migration pourront être facturés.

Ces différentes étapes fixent les repères nécessaires pour ajuster vos processus et répondre aux exigences du Data Act dans les délais impartis.

Comment le Data Act s’articule avec le RGPD ?

Quand le RGPD prend la priorité sur le Data Act

Le Data Act et le RGPD s’articulent ensemble, mais le RGPD reste prioritaire dès qu’il s’agit de données personnelles. Le Data Act a été conçu pour respecter le cadre du RGPD et ne crée pas de nouvelles bases légales pour traiter ces données .

Ainsi, lorsqu’un accès à des données contenant des données à caractère personnel est demandé, le détenteur des données doit d’abord vérifier qu’une base légale autorise ce partage. Si la demande émane d’un tiers, un fondement juridique valide, comme un consentement explicite, est indispensable.

Le Data Act introduit également une extension du droit à la portabilité, couvrant les données co-générées par les objets connectés. Cela inclut à la fois les données personnelles et non personnelles, ce qui clarifie les responsabilités dans l’écosystème des objets connectés (IoT = Internet Of Things)).

Voyons maintenant les sanctions prévues en cas de non-respect des obligations imposées par le Data Act.

Amendes et sanctions liées au Data Act

Les entreprises non conformes au Data Act risquent des amendes pouvant atteindre 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant appliqué. Ces sanctions concernent notamment les refus injustifiés de partager des données ou l’inclusion de clauses abusives dans les contrats.

En France, des sanctions pénales peuvent s’ajouter aux amendes administratives, en particulier pour des infractions touchant à la protection des secrets d’affaires ou aux intérêts de sécurité nationale. De plus, utiliser des données obtenues de manière « manifestement illégale », comme celles issues d’une fuite, peut entraîner des poursuites pour recel, conformément à l’article 321-1 du Code pénal français. Assurez vous donc de l’origine des fichiers que vous achetez.

La mise en œuvre du Data Act est assurée par des autorités nationales. En France, la CNIL supervise les aspects relatifs aux données personnelles, tandis que l’ARCEP se concentre sur le partage des données et l’interopérabilité. Les entreprises doivent donc s’attendre à des contrôles coordonnés pour garantir leur conformité à l’ensemble des exigences réglementaires.

Comment protéger votre entreprise

Étapes de conformité à suivre

Depuis le 12 septembre 2025, le Data Act impose des actions précises pour éviter les sanctions. Voici les mesures essentielles à mettre en place pour assurer la conformité.

Cartographiez vos données : commencez par identifier tous vos produits connectés et leurs services associés. Ensuite, déterminez quelles données brutes ou pré-traitées sont considérées comme « facilement disponibles » et donc soumises aux obligations de partage. Il est important de noter que les données « inférées ou dérivées » ne sont pas concernées par ces exigences. Le travail d’un DPO – délégué à la protection des données – peut aider à recenser ces données.

Révisez vos contrats : examinez vos contrats de vente, location et services pour éliminer les clauses abusives, notamment celles imposées unilatéralement aux PME. La Commission européenne étudie la création de modèles de clauses contractuelles (MCT) pour garantir des conditions conformes aux principes de « transparence, équité et non-discrimination » (FRAND).Par ailleurs, veillez à créer des interfaces ouvertes et à exporter vos données dans des formats lisibles par machine afin de favoriser l’interopérabilité.

Effectuez des analyses d’impact (AIPD) pour évaluer les risques liés à vos pratiques de gestion des données. Mettez en place des protocoles rigoureux afin de protéger vos données sensibles et vos secrets d’affaires, en particulier lorsque des informations comme la géolocalisation sont réutilisées. Ces mesures garantissent également la conformité avec le RGPD.

Ces étapes constituent une base solide pour intégrer des solutions d’accompagnement spécialisées.

Autorités françaises et application du Data Act

En France, l’application du Data Act repose sur deux acteurs clés : la CNIL et l’ARCEP. Chacune de ces autorités joue un rôle spécifique pour garantir la conformité et le bon fonctionnement des dispositions prévues par ce règlement.

Le rôle de la CNIL sur les données personnelles

La CNIL reste l’autorité principale en matière de protection des données personnelles, même dans le cadre du Data Act. Elle veille à ce que le partage de données respecte le cadre du RGPD et intervient dès qu’une donnée personnelle est impliquée.

En 2025, la CNIL a infligé des amendes cumulant 486 839 500 € pour des infractions liées, entre autres, aux cookies, à la surveillance des employés et à la sécurité des données. Plus récemment, en janvier 2026, France Travail a été sanctionné d’une amende de 5 000 000 € pour une violation de données. En cas de crise, une assistance RGPD d’urgence peut s’avérer indispensable.

Lorsqu’il s’agit de réutiliser des données, par exemple dans des projets d’intelligence artificielle, les experts recomandent un test de compatibilité. Ce test permet de vérifier que le nouveau traitement reste conforme aux objectifs initiaux pour lesquels les données ont été collectées. De plus, les individus concernés doivent être informés rapidement dans certains cas, et parfois le recueil de leur consentement est requis.

Le rôle de l’ARCEP dans le partage de données et l’interopérabilité

Pendant que la CNIL se concentre sur la protection des données personnelles, l’ARCEP s’occupe principalement de la gestion du partage des données et de l’interopérabilité sous le Data Act. En tant qu’autorité compétente pour sa mise en œuvre, elle supervise également les services de cloud computing et veille à leur conformité. Voici ce qu’indique l’ARCEP à ce sujet :

« En tant qu’autorité compétente pour la mise en œuvre du Data Act, l’Arcep s’attend à voir ses missions étendues dans le domaine du partage de données, ainsi que ses pouvoirs d’enquête, de sanction et de règlement des litiges. » ^[1]

Depuis le 22 mai 2024, l’ARCEP a commencé à notifier les prestataires souhaitant obtenir le label « intermédiaire de données reconnu par l’UE », dans le cadre de ses nouvelles responsabilités. Le décret n°2025-387, publié le 28 avril 2025, fixe les modalités de coopération entre l’ARCEP et la CNIL pour harmoniser le partage des données personnelles et techniques.

Répartition des responsabilités entre la CNIL et l’ARCEP

Le tableau ci-dessous illustre les missions respectives de ces deux autorités :

Pour toute difficulté liée au partage de données ou à un changement de fournisseur cloud, l’ARCEP peut être saisie. Elle dispose des moyens nécessaires pour intervenir, notamment via son pouvoir de règlement des litiges.

Conclusion

Le Data Act marque un changement majeur dans la gestion des données en Europe, à l’image de l’impact qu’a eu le RGPD. En vigueur à partir du 12 septembre 2025, ce règlement impose aux fabricants et fournisseurs de données des règles précises : cartographier les données, ajuster les contrats B2B, développer des interfaces techniques (APIs) et protéger les secrets commerciaux. L’objectif ? Assurer un partage sécurisé des informations tout en renforçant leur protection. Pour les entreprises, cela signifie une nécessité d’adaptation stratégique, transformant la conformité en opportunité d’évolution.

Les sanctions prévues en cas de non-respect sont lourdes : jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial. Dans ce contexte, l’accompagnement d’Opt-on en numérique éthique devient un atout crucial. Que ce soit pour un audit de conformité en protection des données, l’adaptation des contrats ou la formation des équipes, un soutien spécialisé permet de limiter les risques juridiques et techniques tout en sécurisant vos activités.

En France, la surveillance du Data Act est assurée par la CNIL et l’ARCEP, veillant à l’équilibre entre protection des données personnelles et partage des données techniques. Se préparer dès maintenant, c’est transformer cette contrainte en avantage : chaque action de mise en conformité renforce votre compétitivité dans un cadre réglementaire exigeant, tout en protégeant vos secrets commerciaux et en stimulant l’innovation.

FAQs

Comment savoir si mon produit est un « produit connecté » selon le Data Act ?

Un produit est qualifié de « connecté » lorsqu’il est capable de générer, collecter ou transmettre des données à travers un réseau ou une connexion électronique. En plus de cela, il doit offrir un accès sécurisé à ces données, présentées sous un format structuré. Cela englobe des appareils tels que les véhicules connectés ou les objets domestiques intelligents, qui partagent des informations relatives à leur utilisation, leur performance ou encore leur environnement.

Quelles données IoT sont partageables (brutes) et lesquelles restent « dérivées » ?

Le Data Act cible principalement les données brutes générées par les dispositifs connectés, comme les voitures intelligentes ou les thermostats. Ces données doivent être mises à disposition des utilisateurs dans un format structuré, lisible par machine, et sans frais. Cela permet aux utilisateurs de les partager facilement avec des tiers de leur choix.

Cependant, les données dérivées – comme les analyses ou les interprétations basées sur les données brutes – restent sous le contrôle des fournisseurs. Leur partage est limité pour préserver la confidentialité et éviter des déséquilibres concurrentiels. Cette distinction vise à protéger les intérêts des entreprises tout en favorisant l’accès des utilisateurs à leurs propres données.

Que faut-il mettre en place avant le 12 septembre 2025 pour être conforme ?

Il est crucial de vous assurer que vos pratiques en matière de partage, d’accès et d’utilisation des données respectent les exigences en termes de portabilité, interopérabilité et transparence.

Voici quelques étapes essentielles à suivre :

• Révisez vos contrats : Analysez les clauses existantes pour détecter d’éventuelles non-conformités et mettez-les à jour si nécessaire.
• Adaptez vos processus internes : Identifiez les points à améliorer dans vos procédures pour répondre aux nouvelles exigences.
• Formez vos équipes : Sensibilisez vos collaborateurs aux nouvelles règles pour garantir une application cohérente dans toute l’organisation.
• Vérifiez vos partenariats : Assurez-vous que les contrats avec vos partenaires respectent également ces obligations et ne contiennent pas de clauses problématiques.
• Documentez vos démarches : Conservez des preuves de vos actions pour démontrer votre conformité et limiter les risques de sanctions financières.

La préparation en amont est essentielle pour éviter des complications à l’approche de cette échéance.