Le Data Act ou le Règlement sur les données est entré en application le 12 septembre 2025. Ce règlement européen vise à encadrer et modifier la façon dont les données sont accessibles et échangées entre consommateurs, entreprises privées et organismes publics. En transformant les règles applicables au marché de la donnée, il a pour objectif de faciliter les transferts de données et de permettre l’émergence de nouvelles pratiques.
Il chamboule les modes de fonctionnement technique, contractuel et opérationnel des entreprises produisant, utilisant et traitant des données. Elles ont donc besoin de s’organiser pour faire face au Data Act mais aussi pour identifier les opportunités qu’il fait émerger et en bénéficier.
Pour aider les entreprises dans cette tâche, cet article identifie quatre grands changements résultant de l’entrée en application du Data Act et les mesures à prendre pour faire face à ces changements.
Changement 1 : Obligation de rendre les données des objets connectés accessibles aux utilisateurs
Lorsqu’un consommateur ou qu’une entreprise utilise un objet, une machine ou un appareil connecté, des données concernant notamment son utilisation et son environnement vont être générées. Le Data Act impose aux entreprises fabricant ou commercialisant ces objets connectés de permettre aux utilisateurs d’accéder aux données de leurs objets.
Pour respecter cette obligation du Data Act et permettre aux utilisateurs d’accéder à leurs données, les entreprises fabriquant et commercialisant les objets connectés, doivent adapter leurs process. Concrètement, cela implique de :
- Mettre en place des modalités techniques pour permettre aux utilisateurs d’accéder facilement et de façon sécurisée à leurs données et pour communiquer ces données dans un format complet, structuré et couramment utilisé et lisible par machine ;
- Mettre en place des modalités organisationnelles pour s’assurer de bien recevoir et de traiter correctement les demandes des utilisateurs. Il peut par exemple s’agir d’implémenter un canal permettant de recevoir les demandes, de désigner et de former les personnes en charge de traiter et répondre aux demandes.
Changement 2 : Organisation du partage des données d’un utilisateur à une autre entreprise
Le Data Act autorise les utilisateurs d’objets connectés à demander que leurs données soient partagées à une autre entreprise. Cela peut par exemple être utilisé lorsqu’un utilisateur souhaite faire réparer son appareil connecté par une entreprise de réparation.
Pour respecter cette obligation de partage du Data Act, les entreprises doivent mettre en place de nouveaux procédés. A l’instar du premier changement, les entreprises doivent implémenter de nouvelles modalités techniques et organisationnelles afin de recueillir les demandes de partage des données et d’y faire droit.
En plus, les entreprises doivent également prendre les mesures suivantes :
- Contractuelle : mise en place d’un contrat organisant le partage de données afin qu’il ait lieu dans des conditions équitables, raisonnables, non discriminatoires et transparentes ;
- Financière : mise en place d’une compensation financière relative à la mise à disposition des données. Elle doit être raisonnable et peut être établie en se fondant par exemple sur les coûts encourus pour le formatage des données, les investissements réalisées pour la collecte et la production des données ou encore dépendre du volume, du format et de la nature des données partagées.
Changement 3 : Identification de 10 clauses abusives ou présumées abusives
Le Data Act identifie trois clauses abusives et sept clauses présumées abusives présentes dans les contrats entre entreprises permettant d’accéder et d’utiliser les données du secteur privé.
Ces clauses contractuelles concernent l’accès aux données et l’utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d’extinction des obligations liées aux données. Il s’agit par exemple des clauses d’exclusion de la responsabilité en cas de négligence grave ainsi que des clauses limitant de manière inappropriée les voies de recours en cas d’inexécution contractuelle.
En pratique, une prise en considération sérieuse du Data Act conduit les entreprises concernées à :
- Réaliser une revue de leurs propres contrats afin de s’assurer qu’ils ne contiennent pas de clause abusive. Une telle clause risque en effet de se retourner contre l’entreprise qui l’a imposée car elle ne lie pas l’autre partie ;
- Réaliser une revue des contrats de leurs partenaires et fournisseurs afin d’identifier s’ils contiennent des clauses abusives ;
- Ajuster leur processus contractuel afin de pouvoir démontrer qu’une clause a ou n’a pas été imposée unilatéralement. Pour être considérée comme abusive, le Data Act impose que la clause ait été unilatéralement imposée par une partie à l’autre partie. Or, une clause n’est pas unilatéralement imposée lorsque l’autre partie a pu négocier et influencer la rédaction de la clause. Conserver les échanges lors des négociations contractuelles devient donc primordial.
Changement 4 : Facilitation du changement de services de traitement de données
Le Data Act met en place un mécanisme permettant aux clients des fournisseurs de services de traitement de données de changer plus facilement de fournisseur ou de passer à une infrastructure sur site. Les services concernés sont ceux de traitement de données et comprennent les infrastructures (IaaS), les plateformes (PaaS) et les logiciels (SaaS) à la demande.
Concrètement, le Data Act supprime les obstacles commerciaux, techniques, contractuels et organisationnels empêchant les clients de résilier leurs contrats avec les fournisseurs de services de traitement de données et de transférer leurs données sur site ou à un autre fournisseur.
Le Data Act permet aux clients de ces services de résilier le contrat les liant aux fournisseurs lorsqu’ils souhaitent changer de fournisseur ou passer à une infrastructure sur site. Dans ce cas, un délai de préavis de deux mois maximum peut être imposé par le fournisseur qui doit ensuite permettre la récupération des données pendant une période minimale de trente jours.
En pratique, les fournisseurs de services de traitement de données doivent donc prendre les mesures suivantes :
- Contractuelles, pour mettre en place avec leurs clients un contrat comprenant des clauses relatives au changement de fournisseur ou au passage à une infrastructure sur site. A titre d’exemple, les contrats doivent comprendre des clauses permettant au client de déclencher le changement et de résilier le contrat une fois le changement réalisé ;
- Techniquesv telles que la mise en place gratuite d’API ou encore l’assistance technique et la fourniture d’outils nécessaires pour faciliter le processus de changement de fournisseur ;
- Économiques, pour supprimer les frais de changement de fournisseur à compter du 12 janvier 2027 et évaluer les éventuels frais de résiliation anticipée pouvant être imposés aux clients tenus par un contrat à durée déterminée.
En plus de ces quatre changements impactant fortement les entreprises et leurs modes de fonctionnement actuel, le Data Act impose d’autres obligations telles que la communication de données aux organismes du secteur public ou encore la facilitation de l’interopérabilité des données et des services de partage de données.
Bref, le Data Act met à la charge des entreprises de nombreuses nouvelles obligations. Il est essentiel de maîtriser le Data Act afin de pouvoir naviguer entre les nouvelles obligations, d’éviter les écueils et surtout de pouvoir en tirer avantage.
