Envelope Phone
Retour à la liste des articles

Le Data Act : une étape clé dans l’accès et le partage des données des objets connectés

  • 11 septembre 2025

Les dernières années ont été marquées par une accélération de la régulation européenne en matière de données et de numérique. Après le RGPD[1], l’Union européenne a adopté plusieurs textes structurants, dont l’IA Act, le Data Governance Act[2], ou encore l’Espace européen des Données de Santé[3] visant à bâtir un environnement de confiance et d’innovation. Dans cette dynamique, le Data Act[4] s’impose comme une pierre angulaire : il fixe un cadre harmonisé pour l’accès, l’usage et le partage des données au sein du marché intérieur.

L’ambition du Data Act est double. D’une part, il cherche à instaurer une répartition plus équitable de la valeur créée par les données entre ceux qui les produisent, ceux qui les détiennent et ceux qui les exploitent. D’autre part, il vise à lever les barrières qui freinent la circulation et la réutilisation des données, pour stimuler l’innovation et la compétitivité européennes. Le texte entend aussi limiter les situations de dépendance économique ou technique, en particulier dans le secteur du cloud, et renforcer la souveraineté numérique de l’Union.

Un champ d’application et calendrier du Data Act

Le Data Act s’applique à l’ensemble des secteurs économiques de l’Union. Il couvre les données générées par l’utilisation de produits connectés et des services connexes, les relations contractuelles entre entreprises, l’accès par les pouvoirs publics en cas de besoin exceptionnel, et les conditions de portabilité dans le domaine des services de données. Il clarifie ainsi qui peut accéder aux données, dans quelles conditions, et avec quelles garanties.

Le règlement est applicable à partir du 12 septembre 2025 pour permettre aux acteurs économiques de se préparer. Une seconde étape est prévue au 12 septembre 2026, date à laquelle les produits mis sur le marché devront intégrer dès leur conception la possibilité d’accès aux données par l’utilisateur.

Les principales mesures

Le règlement introduit plusieurs règles structurantes, et notamment les suivantes :

(i) Accès par l’utilisateur à ses données : Les objets connectés et leurs services doivent permettre à l’utilisateur d’accéder facilement et gratuitement à toutes ses données, y compris les métadonnées, dans un format clair, sécurisé et directement utilisable quand c’est possible. L’utilisateur doit avoir été informé, avant la conclusion d’un contrat, notamment du type de données susceptibles d’être générées ainsi que des moyens d’y accéder, extraire les données ou les effacer[5]. Si l’utilisateur ne peut accéder directement auxdites données, les détenteurs de données doivent les rendre facilement accessibles. Enfin, si l’utilisateur ou une partie agissant pour son compte en fait la demande, le détenteur doit mettre les données facilement accessibles à la disposition d’un tiers[6]. L’objectif dudit règlement étant à cet effet de permettre à des services après-vente, tels que les réparateurs, de développer leur prestation (notamment en matière de réparation) afin de fournir des services concurrents à ceux réalisés par les fabricants.

(ii) Conditions de la mise à disposition des données par le détenteur : Les modalités de mise à disposition des données par un détenteur à l’utilisateur doivent être convenues selon des modalités et des conditions équitables, raisonnables, transparentes et de manière non-discriminatoire.

(iii) Compensation financière : Lorsqu’une entreprise met des données à disposition d’une autre, une compensation financière peut être prévue. Elle doit toujours rester raisonnable, équitable et non discriminatoire. Le montant peut dépendre du volume, du format ou de la nature des données. Cette compensation doit surtout tenir compte : (a) des coûts liés à la mise à disposition (mise en forme, transfert électronique, stockage) ; et (b) des investissements réalisés pour collecter ou produire les données. Des lignes directrices de la Commission européenne sur le calcul de la compensation raisonnable sont attendues.

(iv) Clauses abusives : Les entreprises sont protégées contre les clauses contractuelles abusives imposées par un partenaire plus puissant ; le Data Act fournissant une liste de clauses présumées abusives[7].

(v) Mise à disposition de données à destination des pouvoirs publics en cas de besoin exceptionnel : Les pouvoirs publics peuvent accéder à certaines données non personnelles lorsqu’un besoin exceptionnel l’exige – par exemple afin de réagir à une situation d’urgence et qu’il n’est pas possible, d’obtenir ces données par d’autres moyens en temps utile, de manière efficace et dans des conditions équivalentes – dans un cadre strictement encadré[8].

(vi) Facilitation du changement de fournisseur cloud : Le règlement impose des obligations d’interopérabilité et de portabilité pour faciliter le changement de prestataire de services de données, notamment dans le cloud. Les fournisseurs doivent s’assurer de ne pas imposer – et en toute hypothèse de supprimer – des obstacles freinant leurs clients dans des démarches telles que la résiliation (notamment en ce qui concerne de la durée du préavis), le portage des données exploitables, etc. Le Data Act prévoit dans ce cadre une suppression progressive des frais de changement de fournisseur[9]

C’est aux États membres qu’il appartiendra, le 12 septembre 2025, de préciser le régime des sanctions applicables aux violations du Data Act. 

Une mise en conformité stratégique

Pour les entreprises, et notamment les fournisseurs de services cloud, le Data Act appelle à une préparation concrète : adaptation des contrats, révision des clauses de partage, anticipation des obligations de portabilité et d’interopérabilité, refonte des produits pour répondre aux diverses obligations prévues par le Règlement. 

Au-delà des contraintes, il ouvre des perspectives d’innovation, en permettant à de nouveaux acteurs, sur demande des utilisateurs, d’accéder à des données jusqu’ici difficilement disponibles.

Vous souhaitez vous préparer à l’entrée en vigueur du Data Act, et notamment revoir vos contrats, contactez le cabinet. 

Photographie : Jakub Żerdzicki sur Unsplash

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724

[3] Règlement (UE) 2025/327 du Parlement européen et du Conseil du 11 février 2025 relatif à l’espace européen des données de santé. 

[4] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828. 

[5] Art. 3 du Règlement. 

[6] Art. 5 du Règlement. 

[7] Art. 13 du Règlement.

[8] Art. 14 et suivants du Règlement. 

[9] Art. 29 du Règlement. 

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous

31 avenue de Castres, 31500 Toulouse

Mentions légales
Politique de confidentialité
Politique de cookies

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous
  • 31 avenue de Castres, 31500 Toulouse
Mentions légales
Politique de confidentialité
Politique de cookies

Ce site utilise des cookies et traceurs techniques et de mesure d’audience qui ne nécessitent pas le consentement de l’internaute. Pour en savoir plus sur les cookies et traceurs utilisés, vous pouvez consulter la Politique de cookies.