Le Data Act (règlement EU 2023/2854) est le nouveau règlement européen sur les données, entré en application le 12 septembre 2025. Son objectif est d’établir des règles communes pour garantir un accès et un partage équitable des données dans toute l’Union européenne, notamment celles produites par les objets connectés et les services numériques associés.

Ce règlement s’inscrit dans une stratégie européenne sur le traitement des données, dans la continuité du Data Governance Act de 2022, et du RGPD qu’on ne présente plus.

Quels sont les objectifs du Data Act ?

Le Data Act vise une utilisation plus fiable, sûre et efficace des données dans l’économie numérique européenne. Selon la Commission, il permettra de répartir de manière équitable la valeur créée par les données. Ses principes s’appliquent à tous les secteurs économiques, même si chaque État membre peut préciser des régimes d’application particuliers. Il ne remplace pas les réglementations déjà existantes en matière de données, mais toute nouvelle législation devra être compatible avec ses principes.

Le Data Act poursuit plusieurs objectifs :

• Encourager l’innovation et la concurrence en facilitant le partage et la réutilisation des données.
• Garantir un accès équitable aux données : les utilisateurs doivent pouvoir récupérer facilement les informations générées par leurs produits connectés et, s’ils le souhaitent, les partager avec d’autres acteurs.
• Encadrer les contrats pour interdire les clauses abusives qui bloqueraient l’accès aux données.
• Assurer un accès aux acteurs du secteur public en cas de besoin exceptionnel pour assurer une mission d’intérêt public, par exemple lors d’une pandémie ou d’une catastrophe naturelle.
• Faciliter la portabilité des données, notamment en obligeant les fournisseurs de services numériques comme le cloud à permettre un transfert simple vers un autre prestataire.

Le règlement cherche ainsi à avoir des effets très concrets : un réparateur indépendant pourra accéder aux données d’une montre connectée pour la réparer, alors qu’auparavant seul le fabricant avait ce pouvoir. De même, un restaurateur et le fabricant de sa machine à expresso pourront consulter les mêmes données pour la maintenance de l’appareil.

Quelles différences avec le RGPD ?

Le Data Act ne remplace pas et ne modifie pas le RGPD, qui reste pleinement applicable pour la protection des données à caractère personnel dans l’UE. Le Data Act porte principalement sur des données « non personnelles » (par exemple des données industrielles, d’usage ou de performance) générées par les produits et services numériques. L’article 1.5 du Data Act précise d’ailleurs que, en cas de conflit, le RGPD prévaut : les données personnelles ne peuvent être traitées que conformément au RGPD.

Néanmoins, le Data Act étend en quelque sorte certains droits aux données au-delà du cadre du RGPD :

Un droit d’accès élargi

Alors que le RGPD donne aux personnes un droit d’accès à leurs données personnelles, le Data Act confère à l’utilisateur (consommateur ou entreprise) le droit d’obtenir gratuitement les données non personnelles générées par son appareil connecté. Par exemple, les constructeurs d’objets connectés devront fournir à l’utilisateur toutes les mesures captées par leurs capteurs (température, pression, etc.), ce qui est distinct du droit d’accès RGPD qui ne couvre que les données personnelles.

Une portabilité plus large

Le RGPD instaure le droit de portabilité des données personnelles fournies par la personne à une organisation (si consentement). Le Data Act étend ce concept en autorisant l’utilisateur à transférer à un tiers les données générées par son appareil, même si ces données ne sont pas personnelles : un utilisateur pourra donc demander à l’entreprise A de partager avec l’entreprise B les données qu’il génère en utilisant un service connecté.

Les deux régimes sont donc complémentaires : le Data Act maximise l’usage économique des données, et le RGPD continue d’assurer la protection des individus.

Qui est concerné par le Data Act ?

Le Data Act s’applique à un large éventail d’acteurs du marché européen et concerne toute organisation qui génère, détient ou échange des données via des produits ou services connectés. Sont donc notamment visés :

• Les fabricants de produits connectés mis sur le marché de l’UE. Il peut s’agir d’appareils grand public (voitures connectées, électroménager, montre connectées, etc.) comme de machines industrielles (robots d’usine, tracteurs agricoles connectés…). Ces entreprises doivent permettre à l’utilisateur d’accéder aux données produites par leurs produits et de les transférer à des tiers, si souhaité.
• Les prestataires de services associés aux traitements des données. Ce sont par exemple les éditeurs de logiciels ou plateformes qui permettent de piloter et de traiter les données d’un objet (apps mobiles, services cloud, etc.). En tant que codétenteurs des données, ces acteurs ont aussi des obligations d’information, de partage et de portabilité, pour faciliter le changement de prestataire et la circulation des données.
• Les utilisateurs des produits et services connectés (entreprises ou particuliers) dans l’UE. Le règlement définit l’utilisateur comme le propriétaire ou locataire de l’objet connecté. Ces utilisateurs deviennent les premiers bénéficiaires des nouveaux droits d’accès et de portabilité : ils peuvent demander l’accès aux données qu’ils génèrent et le partage avec des tiers.
• Les bénéficiaires des données : les destinataires tiers qui reçoivent les données de l’utilisateur (par exemple une société d’assurance recevant les données d’une voiture souscrit par le conducteur) sont aussi concernés par le cadre du Data Act, qui définit leur rôle et limite leur usage des données aux finalités convenues.
• Les acteurs publics : En cas de besoin exceptionnel et dans le cadre d’une mission d’intérêt public, les organismes publics peuvent requérir le partage de certaines données détenues par le secteur privé. Ces entités pourront exiger des entreprises la transmission de ces données non personnelles nécessaires à la gestion de crises, sous réserve de respect strict des finalités légitimes.

Quelles conséquences pour les entreprises concernées ?

Pour les acteurs concernés, le Data Act introduit de nouvelles obligations techniques, contractuelles et organisationnelles. Parmi les principales conséquences pratiques :

Adaptation des produits et systèmes

On retrouve le concept de compliance by design & by default puisque les fabricants de produits connectés devront concevoir leurs appareils pour qu’ils puissent fournir les données en format structuré et lisible. Cela implique souvent de développer des interfaces ou portails de données permettant à l’utilisateur ou à un tiers autorisé de récupérer les données en temps réel. Par exemple, une voiture connectée devra offrir une interface simple pour extraire ses données de fonctionnement. Cette exigence peut nécessiter une refonte des architectures logicielles et matérielles existantes pour intégrer la portabilité.

Mise à jour des contrats et CGU

Les entreprises devront revoir leurs contrats clients et fournisseurs pour y insérer les clauses imposées par le Data Act. Cela inclut des clauses sur l’accès aux données, les modalités de partage, la portabilité et l’interopérabilité. Les fournisseurs de cloud devront intégrer des clauses standard de portabilité et garantir l’absence de verrous techniques. De plus, toute clause interdisant au client de réexporter ses données vers un concurrent sera considérée comme abusive. La Commission devrait prochainement mettre à disposition des modèles de clauses-types pour aider à rédiger ces contrats. En attendant, les avocats du cabinet NOVLAW sont en mesure de vous accompagner dans la rédaction de ces clauses.

Obligations d’information

Les acteurs doivent informer l’utilisateur de façon transparente sur les données collectées, leur nature, leur fréquence de mise à jour. En pratique, cela peut prendre la forme de notices d’information et de politiques de protection des données, analogues aux mentions d’information RGPD, mais portant sur les données non-personnelles générées par le service.

Gouvernance et processus internes

Les entreprises devront mettre en place des procédures internes pour gérer les demandes d’accès et de partage des données : définir qui, au sein de l’entreprise, traite les demandes de l’utilisateur ou des autorités publiques et sur quels supports. Un suivi documentaire (registre des données partagées, demandes traitées) peut s’avérer nécessaire. Si les obligations règlementaires sont bien appréhendées, ces démarches peuvent parfaitement s’intégrer dans la gouvernance globale de la donnée dans l’entreprise.

Révision des politiques de conformité

Les équipes juridiques et de conformité doivent se pencher sur les écarts entre les procédures existantes et les exigences du Data Act. Cela implique de cartographier les flux de données non personnelles ou encore d’identifier les détenteurs de données au sein de l’organisation. La conformité au Data Act doit s’inscrire dans un programme global de gouvernance des risques. Les entreprises qui ont déjà un dispositif RGPD solide seront mieux armées : elles connaissent l’importance de la cartographie des données et de la formation du personnel. Les politiques internes existantes (charte de données, code de conduite) doivent être révisées et complétées à la lumière du Data Act.

Quelles sont les sanctions en cas de non-conformité ?

Chaque État membre doit mettre en place des sanctions « efficaces, proportionnées et dissuasives ». En pratique, cela signifie que des amendes administratives pourront être prononcées par les autorités compétentes, à l’instar de la CNIL en France. Ces amendes seront modulées selon la gravité de l’infraction, la durée, les mesures correctrices prises, ainsi que le chiffre d’affaires de l’entreprise.

Au-delà des sanctions financières, les entreprises s’exposent aussi à un risque de contentieux civil (actions en justice) et à une perte de réputation.

Comment se mettre en conformité avec le règlement Data Act ?

La mise en conformité au Data Act peut s’intégrer et se combiner à la démarche RGPD : elle nécessite une approche globale mêlant audit interne, adaptation technique, révision des contrats et formation du personnel. Voici quelques étapes clés et ressources pour accompagner ce travail :

Inventaire des produits et services

Recenser tous les produits et services proposés dans l’UE qui génèrent ou stockent des données (objets connectés, applications, plateformes cloud, etc.). Pour chaque offre, identifiez si elle entre dans le champ du Data Act (produit connecté, service associé, ou service de traitement de données).

Accompagnement juridique spécialisé

Pour éviter les risques légaux et sécuriser la transition, privilégiez une démarche de mise en conformité rigoureuse et accompagnée !

Comme pour le RGPD ou la mise en place de dispositifs anticorruption, il est vivement recommandé de faire appel à un cabinet expert comme NOVLAW pour identifier précisément les risques, négocier les contrats et rédiger les clauses adéquates. Nos avocats peuvent également former les équipes internes et veiller à la cohérence globale entre la conformité au Data Act et les autres obligations réglementaires.

Cartographie des données

Comme pour le RGPD, décrivez quelles données sont collectées, stockées et partagées dans le cadre de votre activité. Étendez cette cartographie aux données non-personnelles générées (données d’usage, de performance, etc.). Identifiez les « détenteurs de données » au sein de l’entreprise (qui contrôle l’accès aux données) et les « destinataires » potentiels.

Analyse d’écart (audits)

Comparez les pratiques actuelles avec les obligations du Data Act. Par exemple, vérifiez si vos contrats existants contiennent des clauses interdites (exclusivité, enfermement, etc.), ou si vos produits permettent déjà l’export des données. Notez les actions correctives nécessaires : mise à jour des contrats, adaptation des systèmes d’information, renégociation des accords, etc.

Mise à jour des processus internes

Élaborez ou ajustez les procédures de traitement des demandes. Par exemple, définissez un processus simple pour répondre aux demandes d’accès aux données et aux requêtes légales émanant des pouvoirs publics (article 14 Data Act). Intégrez ces processus dans votre communication, par une mise à jour de votre politique de protection des données ou la mise à disposition d’un document spécifique répondant aux exigences du Data Act.

Formation et communication en interne

Organisez des sessions de formation pour les équipes techniques et commerciales afin de leur expliquer les nouvelles obligations. Assurez-vous que le service juridique reçoive une formation spécialisée sur le Data Act.

Suivi de la réglementation

Restez informé des textes d’application et des recommandations en cours d’élaboration.

Inscrivez-vous à des newsletters spécialisées ou consultez régulièrement les sites officiels (Commission européenne, CNIL) pour ne manquer aucune directive ou guidance.