Le Data Act 1/2 – Fondations, droits des utilisateurs et partage des données de l’IoT

Règlement UE 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données.

Entré en application le 12 septembre 2025, le Règlement (UE) 2023/2854, dit Data Act, constitue l’une des pierres angulaires du cadre européen de gouvernance des données. Conçu dans la continuité du Data Governance Act (DGA), il vise à instaurer un environnement juridique dans lequel l’accès, l’usage et le partage des données sont favorisés tout en respectant des principes de transparence, d’équité et de sécurité.

Le Data Act comprend plusieurs volets complémentaires :

  • les droits d’accès et de partage pour les utilisateurs de produits connectés et de services associés (chapitre II) ;
  • les obligations de partage imposé entre entreprises et la protection contre les déséquilibres contractuels (chapitres III et IV) ;
  • le partage à destination du secteur public en cas de besoin exceptionnel (chapitre V) ;
  • ainsi que, dans ses chapitres suivants, la portabilité et l’interopérabilité des services de traitement de données (chapitre VI), la protection contre les transferts illicites vers des pays tiers (chapitre VII), ou encore la coopération entre autorités compétentes (chapitre IX).

Le texte s’applique à tous les acteurs économiques, qu’ils soient établis ou non dans l’Union, dès lors qu’ils mettent des produits connectés ou services associés sur le marché européen, ou fournissent leur services de traitement de données à des clients situés dans l’UE. Il repose sur une approche horizontale, couvrant tant les données à caractère personnel que non personnel.

Ce premier article présente les principales dispositions des chapitres I à V relatives aux droits d’accès et de partage des données issues de produits connectés et leurs services connexes, aux mécanismes contractuels et à l’ouverture encadrée des données au secteur public.

Chapitre II – L’accès et le partage des données de l’Internet des objets

1. Un droit d’accès effectif aux données générées

Le chapitre II du Data Act (articles 3 à 7) consacre un droit d’accès aux données générées par les produits connectés et services connexes. L’objectif est de permettre à l’utilisateur – qu’il s’agisse d’un consommateur ou d’une entreprise – de tirer parti des données qu’il contribue à produire, sans dépendre exclusivement du fabricant.

Les fabricants doivent donc concevoir leurs produits et services connexes de manière à ce que les données générées soient accessibles, gratuitement, dans un format structuré et sécurisé (article 3, paragraphe 1). Toutefois, cette obligation relative à la conception des produits ne s’appliquera qu’à ceux mis sur le marché après le 12 septembre 2026. Les produits commercialisés avant cette date ne sont pas soumis rétroactivement à cette exigence.

Avant la conclusion d’un contrat, le fabricant doit informer l’utilisateur, de manière claire et compréhensible, du type, du volume, du format et de la durée de conservation des données générées et de la manière d’y accéder (article 3, paragraphe 2).

L’accès peut être : (i) direct, lorsque l’utilisateur peut extraire les données lui-même par une interface ou une application intégrée ; (ii) ou indirect, sur demande de l’utilisateur, lorsque la configuration technique du produit ne permet pas un accès immédiat. Dans ce cas, le détenteur de données (souvent le fabricant ou le fournisseur de service) doit fournir les données sans délai injustifié et dans un format lisible par machine (article 4).

Les données couvertes sont les données brutes ou prétraitées – celles résultant directement de l’utilisation – à l’exclusion des données dérivées ou inférées, qui demeurent la propriété intellectuelle du fabricant.

2. Partage des données avec des tiers

Les utilisateurs peuvent demander au détenteur de données de partager les données avec un tiers de leur choix, sans frais, dans un format interopérable (article 5). Les tiers destinataires peuvent utiliser les données pour fournir un service à l’utilisateur ou en créer un nouveau (si l’utilisateur y consent), à condition de ne pas développer de produit concurrent (article 4, paragraphe 10).

Par exemple, une entreprise qui exploite des machines industrielles connectées pourra transmettre les données générées à un prestataire indépendant de maintenance, sans dépendre de l’autorisation du constructeur. De même, un particulier propriétaire d’un véhicule connecté pourra autoriser un garage tiers à accéder aux données de son véhicule.

Ce partage doit être gratuit pour l’utilisateur, se faire dans un format interopérable et, lorsque c’est techniquement possible, en continu et en temps réel. Toutefois, le règlement exclut de ce mécanisme certains acteurs : les grandes plateformes désignées comme « contrôleurs d’accès » au sens du Digital Markets Act ne peuvent pas se voir transférer ces données (article 5, paragraphe 3).

Ce mécanisme de partage à des tiers complète le droit à la portabilité prévu à l’article 20 du RGPD. Alors que le RGPD ne concerne que la portabilité des données à caractère personnel, le Data Act étend ce droit à toutes les données générées par l’usage d’un produit connecté, qu’elles soient personnelles ou non, et en assure la portabilité technique en temps réel. En cas de conflit, le RGPD prévaut : le partage de données personnelles n’est licite que dans le respect des bases juridiques prévues à l’article 6 du RGPD.

3. Les limites prévues

Les microentreprises et petites entreprises sont exemptées des obligations de partage imposées par le chapitre II (article 7, paragraphe 1).

Par ailleurs, l’accès et le partage des données sont encadrés par plusieurs garde-fous, incluant notamment :

  • la protection des secrets d’affaires, via le mécanisme du frein à main permettant de suspendre un partage susceptible de causer un préjudice économique grave ;
  • la protection de la sécurité du produit et de la santé ou de la sécurité des personnes, justifiant des restrictions d’accès ou de transfert.

Chapitre III – Le partage obligatoire entre entreprises

Le chapitre III (articles 8 à 12) encadre les situations où une entreprise est tenue par la loi de partager des données avec une autre entité. Ce partage doit s’effectuer selon des conditions équitables, raisonnables et non discriminatoires (FRAND), dans un cadre contractuel transparent.

Le détenteur peut percevoir une compensation proportionnée, couvrant les coûts directs liés à la mise à disposition. Toutefois, le règlement autorise une marge raisonnable au-delà du coût direct, sauf lorsque le destinataire est une PME ou un organisme de recherche à but non lucratif, auquel cas la compensation est strictement limitée aux coûts directs (article 9, paragraphe 4).

Chapitre IV – La prévention des clauses contractuelles abusives

Le chapitre IV protège les entreprises – en particulier les PME – contre les clauses abusives imposées unilatéralement dans les contrats de partage de données (article 13). Sont notamment réputées non écrites les clauses excluant toute responsabilité du détenteur, imposant une renonciation à recours ou limitant de manière excessive l’usage des données.

L’application de ces règles est différée dans certaines situations : elles ne concernent les contrats en cours qu’à partir du 12 septembre 2027 lorsqu’ils sont à durée indéterminée ou supérieurs à dix ans. La Commission européenne pourra élaborer des clauses types afin d’harmoniser les pratiques et d’encourager des modèles de partage équilibrés.

Chapitre V – L’accès du secteur public en cas de besoin exceptionnel

Le chapitre V instaure un mécanisme de mise à disposition des données au profit des organismes publics, en cas de besoin exceptionnel (articles 14 à 21). Il s’agit d’un droit d’accès limité à des situations précises, telles qu’une catastrophe naturelle, une crise sanitaire ou l’exécution d’une mission d’intérêt public. Les micro et petites entreprises sont exemptées de cette obligation lorsqu’il ne s’agit pas d’une urgence (article 14, paragraphe 3). Le partage doit être proportionné, limité à la finalité poursuivie et assorti de garanties de confidentialité et de sécurité.

* * *

Ces dispositions du Data Act imposent la mise en place d’actions significatives :

  • pour les fabricants, la refonte des architectures techniques et la mise en conformité des produits et services connexes d’ici septembre 2026 ;
  • pour les entreprises, la révision des contrats B2B et la mise en place de politiques internes d’accès et de partage conformes aux exigences de sécurité, de loyauté et de proportionnalité.

Dans un second article, nous aborderons les règles relatives la portabilité et l’interopérabilité des services de traitement de données, la protection contre les transferts illicites vers des pays tiers, ainsi que la coopération entre autorités compétentes.