Adopté le 23 février 2022, le règlement (UE) 2023/2854, dit Data Act, entre en application de façon progressive à compter du 12 septembre 2025. Ce texte marque un tournant dans la régulation européenne des données, en établissant un cadre juridique global dédié à l’accès, au partage et à l’utilisation des données industrielles.

Alors que le RGPD (règlement général sur la protection des données) a pour objet la protection des données personnelles, le Data Act vient compléter ce dispositif en s’intéressant aux données industrielles, à savoir celles générées par des objets connectés et leurs services connexes(c’est-à-dire aux données obtenues, générées, collectées ou stockées par ces produits ou services connexes ci-après « données IoT »).

L’objectif affiché par le législateur européen est double :

• faciliter l’accès aux données IoT pour les utilisateurs et les entreprises et
• garantir des conditions de concurrence équitable, en évitant la concentration des données IoT entre les mains de quelques acteurs dominants.

Les deux règlements peuvent trouver à s’appliquer concomitamment.

En effet, de nombreuses situations impliquent un mélange de ces deux types de données. Par exemple, un véhicule connecté génère des données de performance technique, telles que des données relatives au fonctionnement du moteur (non personnelles), mais aussi des données de localisation liées à l’utilisateur (personnelles). Dans ce cas, le partage de ces données IoT avec des tiers devra respecter à la fois le Data Act et le RGPD. Il est également possible que les deux règlements entrent en conflit sur des sujets spécifiques, auquel cas le RGPD prime sur le Data Act

I. Champ d’application et acteurs concernés

De nombreux acteurs sont concernés par le Data Act. Ce dernier s’applique notamment aux entités et personnes suivantes :

• Les détenteurs de données : l’entité qui a le droit ou l’obligation d’utiliser et de partager des données IoT (Article 2.13). Il s’agit le plus souvent des fabricants d’objets connectés, mais cela peut également être le cas de fournisseurs de services associés.

Ces détendeurs de données sont notamment :

• Les fabricants de produits connectés : comme les appareils domestiques intelligents, les objets connectés par des services de communication électronique (Considérant 14).
• Les fournisseurs de services connexes à un produit connecté (Considérant 17).
• Les utilisateurs : personnes physiques ou entreprises qui utilisent ces produits ou services (Considérant 5).
• Les destinataires : tiers (professionnels, fournisseurs de services externes) (Article 2.14). Ces destinataires ne peuvent utiliser les données qu’aux fins convenues avec l’utilisateur et ne doivent pas les exploiter pour développer un produit concurrent (Article 6.2.e).
• Les organismes publics : qui accèdent à des données pour des finalités d’intérêt public (Considérant 69).

Ce champ large illustre l’ambition du règlement : instaurer un véritable marché unique de la donnée IoT en Europe.

II. Une entrée en application progressive

Le règlement entre en application selon un mécanisme progressif prévu à l’Article 50 :

À partir du 12 septembre 2025 :

• Les obligations relatives aux nouveaux contrats de partage de données (Chapitre IV qui impose l’interdiction des clauses contractuelles abusives) deviennent impératives pour les contrats conclus après cette date.
• Les règles générales de mise à disposition des données (Chapitre III) commencent à s’appliquer aux textes législatifs nationaux adoptés postérieurement.

À compter du 12 septembre 2026 :

• L’obligation, prévue par l’Article 3.1, de rendre les données relatives aux produits et services accessibles aux utilisateurs s’appliquera aux produits et services mis sur le marché après cette date. Les produits déjà commercialisés ne seront donc pas rétroactivement soumis à cette exigence.

À partir du 12 septembre 2027 :

• Les règles contractuelles du Chapitre IV s’appliqueront également aux contrats conclus avant 2025, mais uniquement s’ils sont à durée indéterminée ou s’ils demeurent en vigueur au-delà de 2034.

III. Droits des utilisateurs et obligations corrélatives des détendeurs de données

Le Data Act instaure des nouveaux droits pour les utilisateurs :

• Droit d’accès : les utilisateurs de produits connectés et de services connexes disposent du droit d’accéder gratuitement aux données qu’ils cocréent en utilisant les produits connectés/services connexes (Article 4).

Par exemple : un utilisateur achète une machine à laver et installe une application qui lui permet de mesurer l'impact environnemental du cycle de lavage sur la base des données des différents capteurs à l'intérieur de la machine et ajuste le cycle en conséquence. Cette fonctionnalité serait considérée comme un service connexe. L’utilisateur pourra dès lors accéder aux données de ce service connexe.

• Droit à la portabilité : les utilisateurs ont également le droit d’obtenir gratuitement que leurs données soient transférées directement à un tiers de leur choix (Article 5).

Par exemple, un utilisateur d’un compteur intelligent d’électricité pourra accéder à l’historique de consommation énergétique et demander que ces données soient transmises à un fournisseur concurrent pour bénéficier d’une offre adaptée.

Ces droits ne doivent pas être confondus avec ceux prévus par le RGPD :

• Le RGPD offre un droit d’accès (Article 15 du RGPD) aux seuls individus, et seulement à leurs données personnelles.
• Le Data Act élargit ce droit aux données industrielles et aux informations générées par l’usage d’objets connectés ou de services connexes à ces objets qu’elles soient personnelles ou non.

Les détendeurs de données, au nombre desquels notamment les fabricants d’objets connectés et fournisseurs de services connexes, devront donc mettre en place des interfaces techniques (API, plateformes sécurisées) permettant cet accès et ce partage de manière transparente, sans coûts excessifs ni barrières techniques.

IV. Sanctions et rôle des autorités nationales

Le respect de ces nouvelles obligations fera l’objet d’un contrôle étroit. L’Article 33 du Data Act prévoit que les autorités de contrôle désignées par chaque État membre – en France, probablement la CNIL et potentiellement d’autres autorités sectorielles – auront le pouvoir d’infliger des sanctions administratives.

Ces sanctions sont d’un niveau comparable à celles prévues par le RGPD : amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise, le montant le plus élevé étant retenu (Article 40 du Data Act qui renvoie à l'Article 83 §5 du RGPD).

Les entreprises qui détiennent des données industrielles devront donc anticiper ce nouveau cadre dès 2025, en adaptant leur documentation contractuelle et leurs systèmes d’information, pour éviter un risque financier et réputationnel important.