Propriété intellectuelle
le 16/04/2026
Audrey LEFEVRE
Louise FLAMENT

Data Act : panorama des obligations applicables aux données « non personnelles » (industrielles, d’usage ou de performance) générées par les produits et services numériques

UE, règlement 2025/2854 du parlement européen et du Conseil du 13 décembre 2023

Adopté en décembre 2023, le règlement (UE) 2023/2854, dit « Data Act », établit des règles harmonisées portant sur l’équité de l’accès aux données, qu’elles soient personnelles ou non, et de leur utilisation. Il prévoit notamment un droit pour les organismes du secteur public d’accéder à des données détenues par le secteur privé, sous certaines conditions, lorsqu’il existe un besoin exceptionnel. La plupart des dispositions du texte sont applicables depuis le 12 septembre 2025, avec une mise en œuvre échelonnée de certaines obligations qui touchent divers acteurs de la donnée. Il s’intègre à un écosystème de textes réglementaires (RGPD[1], Data Governance Act[2] , DMA[3], DSA[4], AI Act[5]), impactant les opérations des organisations des secteurs privé et public.

 

1) Champ d’application (article 2)

Le Data Act ambitionne de répondre à deux problématiques majeures : d’une part, la concentration du potentiel économique des données générées par l’internet des objets entre les mains d’une poignée d’acteurs dominants ; et d’autre part, les freins à la circulation des données posés par les principaux fournisseurs de cloud, qui entravent la libre concurrence.

Le règlement s’applique à toutes les données — personnelles ou non — générées par l’utilisation de produits connectés (IoT : véhicules, montres connectées, thermostats intelligents, machines industrielles, etc.) et des services connexes qui leur sont associés (applications mobiles, plateformes de gestion, assistants intégrés). Sont également visés les services de traitement de données, notamment le cloud.

Le règlement s’applique à un large éventail d’acteurs privés et publics :

  • les fabricants de produits connectés mis sur le marché de l’Union Européenne (UE) et les fournisseurs de services connexes ;
  • les détenteurs de données (toute personne physique ou morale ayant le droit ou l’obligation d’utiliser et de mettre à disposition des données) ;
  • les utilisateurs (particuliers, entreprises, organismes publics) de produits ou services connectés ;
  • les destinataires de données (tiers recevant des données pour exercer une activité économique)
  • les fournisseurs de services de traitement de données (cloud) proposant leurs services dans l’UE, quel que soit leur lieu d’établissement ;
  • les organismes du secteur public et institutions de l’UE

 

2) Dispositions principales

a) Plusieurs dispositions concernent l’accès aux données et les droits des utilisateurs des produits connectés

Obligation d’accessibilité (art. 3). Depuis le 12 septembre 2025, les détenteurs de données sont tenus de rendre les données générées par les produits connectés et services connexes accessibles à l’utilisateur, directement lorsque cela est techniquement possible, sur demande dans le cas contraire. L’accès est gratuit, dans un format structuré, couramment utilisé et lisible par machine.

Obligation d’information précontractuelle (art. 3). Avant toute conclusion d’un contrat portant sur un produit connecté ou un service associé, l’utilisateur doit être informé du type et du volume de données générées, de leur utilisation par le fabricant ou prestataire, de l’identité du détenteur, et des modalités d’exercice de ses droits.

Droit au partage vers un tiers (art. 5). Sur demande de l’utilisateur, le détenteur de données est tenu de transmettre les données au destinataire tiers désigné par l’utilisateur, dans des conditions équitables, raisonnables et non discriminatoires. L’utilisateur ou le tiers destinataire ne peut utiliser ces données pour développer un produit concurrent ni à des fins de profilage, sauf nécessité pour le service demandé (art. 4).

A noter que le secret des affaires ne constitue pas une exonération de l’obligation de partage mais impose la mise en place de mesures de confidentialité adaptées. Un refus ponctuel reste possible si le détenteur démontre un préjudice économique grave et le notifie à l’autorité compétente.

Accessibilité par défaut : À compter du 12 septembre 2026, les fabricants et fournisseurs devront concevoir leurs produits connectés et services associés afin que les données générées soient par défaut directement accessibles à l’utilisateur.

Équité et transparence dans les contrats B2B :Est privée d’effet, dans les contrats B2B, toute clause abusive imposée unilatéralement et portant sur : l’accès aux données, leur utilisation, ou la responsabilité et les voies de recours en cas de violation ou d’extinction des obligations liées aux données (article 13)

 

Par exemple, une résiliation avec délai excessivement court sans tenir compte des capacités de transition du client, ou une modification substantielle des conditions tarifaires sans motif valable ni droit de résiliation corrélatif.

L’application de ces dispositions est immédiate pour les contrats conclus après le 12 septembre 2025 ; Pour certains contrats conclus avant le 12 septembre 2025 (à durée indéterminée ou arrivant à échéance au moins 10 ans après le 11 janvier 2024), l’application est différée au 12 septembre 2027.

b) Changement de fournisseur cloud

Le Data Act vise à mettre fin à la situation de clientèle captive générée par les acteurs dominants du cloud (AWS, Azure, Google Cloud Platform). Depuis le 12 septembre 2025, les fournisseurs de services de traitement de données doivent supprimer tout obstacle — commercial, technique, contractuel ou organisationnel — au changement de fournisseur (article 23).

Les obligations concrètes :

  • soutien à la stratégie de sortie du client ;
  • préavis maximal de 60 jours imposable au client ;
  • portabilité des données exportables et des actifs numériques vers un autre fournisseur ou une infrastructure sur site;
  • suppression des frais de changement au 12 janvier 2027 (jusqu’à cette date, ils sont limités aux coûts effectivement supportés par le fournisseur).

Pour accompagner le marché, la Commission européenne a publié des clauses contractuelles types.

c) Interopérabilité

Le Data Act impose des obligations d’interopérabilité aux fournisseurs de services de partage de données dès lors qu’ils participent à un espace de données, pour faciliter l’interopérabilité des données, des mécanismes et des services de partage de données, ainsi que des espaces européens communs des données (ex. l’Espace européen des données de santé (EHDS)) (article 33)

d) Accès des organismes publics en cas de besoin exceptionnel

Le chapitre V autorise les organismes du secteur public, la Commission, la Banque Centrale Européenne et les organes de l’UE à accéder aux données détenues par le secteur privé dans des circonstances exceptionnelles limitativement définies : catastrophe naturelle, pandémie, urgence publique, ou mission d’intérêt public explicitement prévue par la loi (ex. production de statistiques officielles) (article 14 et s.)

 

3) Sanctions

Le Data Act ne fixe pas lui-même le régime de sanctions : il appartient à chaque État membre de définir des sanctions effectives, proportionnées et dissuasives et d’en notifier la Commission avant le 12 septembre 2025 (article 40). À ce jour, la France n’a pas encore publié son régime national de sanctions spécifique pour le Data Act.

_____

[1] Règlement Général sur la Protection des Données (REGLEMENT (UE) 2016/679)

[2] RÈGLEMENT (UE) 2022/868

[3] Digital Market Act (RÈGLEMENT (UE) 2022/1925)

[4] Digital Service Act (RÈGLEMENT (UE) 2022/2065)

[5] Règlement sur l’Intelligence Artificielle (RÈGLEMENT (UE) 2024/1689)