Glossaire · Régulation européenne des données

Data Act

Règlement européen de 2024 établissant des droits d'accès et d'utilisation des données générées par les objets connectés et les produits connectés, traitant des données non personnelles aux côtés du focus du RGPD sur les données personnelles.

## Ce que fait réellement le Data Act Le Data Act (Règlement (UE) 2023/2854) est le règlement de l'UE régissant l'accès et l'utilisation des données générées par les produits connectés et services associés. Il est entré en vigueur en janvier 2024, avec la plupart des dispositions s'appliquant depuis septembre 2025. Là où le RGPD traite des données personnelles, le Data Act traite des **données non personnelles** générées par les appareils IoT et produits connectés. Le Act crée des droits pour les utilisateurs (consommateurs et entreprises) d'accéder aux données que leurs appareils génèrent et de partager ces données avec des tiers de leur choix. ## Pourquoi le Data Act existe Le Act est né de préoccupations opérationnelles sur le contrôle des données dans l'économie IoT : **1. Verrouillage des données par les fabricants.** Lorsqu'une voiture connectée génère des données sur les schémas de conduite, ces données ont typiquement été contrôlées exclusivement par le fabricant automobile. Les ateliers de réparation, les assureurs et les prestataires de services après-vente ne pouvaient y accéder sans coopération du fabricant. **2. Concurrence des services après-vente.** L'accès restreint aux données a limité la concurrence dans les services liés à l'IoT (réparation, assurance, gestion de flotte, etc.). Le Data Act traite cela en créant des droits de portabilité des données pour les produits connectés. **3. Préoccupations de politique de concurrence.** L'intégration verticale autour des données (fabricant → appareil → données → services après-vente) a créé des préoccupations concurrentielles. Le Data Act traite cela par dégroupage. **4. Besoins de données d'entraînement IA.** Les systèmes IA bénéficient de l'accès aux données opérationnelles. Le Data Act crée des cadres juridiques pour le partage de ces données avec garanties appropriées. ## Obligations principales Le Data Act impose plusieurs catégories d'obligations : ### Droit d'accès aux données générées Les utilisateurs (les personnes ou entreprises exploitant les produits connectés) ont le droit d'accéder aux données que leurs appareils génèrent. Les fabricants doivent : - Rendre les données accessibles par défaut (ou sur demande) - Fournir les données dans un format lisible par machine - Couvrir les données générées, pas seulement les sorties configurées - Offrir l'accès gratuitement ou à un coût équitable et raisonnable ### Droit de partager des données avec des tiers Les utilisateurs peuvent autoriser des tiers à recevoir les données que leurs appareils génèrent. Les fabricants doivent : - Permettre un tel partage sans obstruction - Fournir des mécanismes d'accès direct aux données - Permettre aux utilisateurs de choisir librement les destinataires des données ### Restrictions sur la concurrence avec les utilisateurs Les fabricants ne peuvent pas utiliser les données générées par les appareils pour concurrencer les utilisateurs dans les services après-vente. Le Data Act empêche d'utiliser les données client pour désavantager les prestataires de services choisis par les clients. ### Droits de changement de cloud Le Data Act inclut des dispositions sur la portabilité des services cloud — traitant les préoccupations de verrouillage des données au niveau du fournisseur cloud. Les fournisseurs cloud doivent : - Permettre la portabilité des données client - Réduire les coûts de changement (éliminés pour certains types de clients) - Fournir des conditions contractuelles claires sur l'accès aux données - Soutenir les formats et protocoles standard ### Accès aux données entreprise-vers-gouvernement Dans des circonstances exceptionnelles spécifiques (urgences publiques, missions de service public d'intérêt public), les gouvernements peuvent exiger le partage de données d'entreprise. Cela est fortement contraint — le Act fixe des limites claires pour empêcher l'expansion. ## Pourquoi cela compte pour les entreprises européennes Le Data Act crée plusieurs implications pratiques : ### Pour les fabricants de produits IoT Si vous vendez des produits connectés dans l'UE (consommateur ou B2B), la conformité au Data Act est obligatoire : - Construisez des mécanismes d'accès aux données dans l'architecture du produit - Documentez les schémas de génération de données - Permettez le partage de données dirigé par l'utilisateur avec des tiers - Évitez d'utiliser les données du produit pour concurrencer les utilisateurs dans les services après-vente C'est un travail d'ingénierie produit substantiel. Les nouveaux produits conçus depuis 2024-2025 intègrent typiquement la conformité au Data Act ; les produits hérités nécessitent souvent une adaptation rétroactive significative. ### Pour les prestataires de services après-vente Si vous fournissez des services qui dépendent de données provenant de produits connectés (réparation, assurance, gestion de flotte, services agricoles, etc.), le Data Act crée de nouvelles opportunités : - Demandez l'accès aux données au nom des clients - Construisez des services qui exploitent des données précédemment verrouillées - Concurrencez plus efficacement avec les services affiliés aux fabricants ### Pour les fournisseurs et clients cloud Les dispositions de changement de cloud créent des implications opérationnelles : - Les fournisseurs cloud doivent réduire la friction de changement - L'architecture côté client devrait considérer les exigences de portabilité - Les stratégies multi-cloud deviennent opérationnellement plus faciles ### Pour les espaces de données Le Data Act permet des écosystèmes d'échange de données plus larges. Les espaces de données spécifiques à l'industrie (Catena-X pour l'automobile, Manufacturing-X pour la fabrication, etc.) gagnent une fondation juridique plus solide sous le Act. ## La relation avec le RGPD Le Data Act et le RGPD sont complémentaires mais distincts : **RGPD** : traite les données personnelles (données relatives à des personnes physiques identifiables) **Data Act** : traite les données non personnelles (données générées par machine, données de capteurs, données opérationnelles) Lorsque les données sont personnelles sous RGPD (par exemple schémas de conduite liés à des individus spécifiques), le RGPD s'applique et les dispositions du Data Act sont subordonnées. Lorsque les données sont non personnelles (données de capteurs machine agrégées, paramètres techniques), les dispositions du Data Act s'appliquent principalement. En pratique, les données IoT contiennent souvent à la fois des éléments personnels et non personnels. La conformité nécessite d'appliquer les deux régulations de manière appropriée. ## Structure des sanctions L'application du Data Act utilise les autorités de surveillance nationales désignées par les États membres. Les sanctions sont déterminées au niveau national mais le Act permet des sanctions substantielles pour non-conformité. Pour les PME, le Act inclut diverses dispositions de proportionnalité et exemptions pour éviter une charge de conformité disproportionnée sur les petites entreprises. ## Ce qui a été livré jusqu'en 2026 Statut de mise en œuvre à mi-parcours : **Opérationnel :** - La plupart des fabricants de produits connectés ont mis en œuvre une conformité de base au Data Act - Les demandes de partage de données sont effectuées et traitées - Les prestataires de services après-vente construisent des services exploitant les données - Les dispositions de changement de cloud créent une réelle activité de changement **En développement :** - Les espaces de données spécifiques à l'industrie continuent de mûrir - Les formats et API de données standardisés sont en cours de définition - Coordination de l'application transfrontalière - Cas d'usage d'entraînement IA sous le cadre Data Act ## Les dispositions cloud comptent le plus Pour la plupart des acheteurs tech européens, les dispositions de changement de cloud du Data Act sont les plus opérationnellement pertinentes. Le Act a accéléré le mouvement loin du verrouillage cloud en : - Réduisant l'incertitude juridique sur le changement de cloud - Exigeant des fournisseurs qu'ils permettent la portabilité - Éliminant les frais de changement pour certains types de clients - Créant le support de format standard Cela complète l'histoire plus large de souveraineté cloud européenne — rendant opérationnellement plus facile de déplacer des charges des hyperscalers américains vers les fournisseurs cloud européens. ## Ce qu'apportent 2026-2027 - **Maturation continue de l'application** alors que les autorités de surveillance nationales établissent des schémas - **Travail de standardisation** sur les formats de données et API - **Espaces de données spécifiques à l'industrie** continuant le développement (Catena-X, expansion de Manufacturing-X) - **Intersection AI Act** — cas d'usage d'entraînement IA sous le cadre Data Act - **Coordination de l'application transfrontalière** alors que plus de cas émergent Le Data Act continuera d'évoluer. Son interaction avec l'AI Act, le RGPD et les régulations sectorielles sera l'histoire de mise en œuvre continue. ## Implications pratiques Pour les entreprises européennes : 1. **Si vous vendez des produits connectés** — la conformité au Data Act est non négociable ; intégrez-la 2. **Si vous fournissez des services après-vente** — exploitez les droits d'accès du Data Act 3. **Si vous utilisez des services cloud** — les droits de changement de cloud rendent la portabilité stratégiquement plus facile 4. **Si vous participez aux espaces de données industriels** — le Data Act fournit une base juridique plus solide 5. **Si vous êtes un SaaS B2B** — vos offres déployées en cloud devraient soutenir les exigences de portabilité du Data Act Le Data Act est moins célèbre que le RGPD mais de plus en plus pertinent opérationnellement. Pour le développement de l'écosystème tech européen, son impact à long terme peut être substantiel.

Alternatives UE associées sur BetterInEurope

Termes associés

← Retour au glossaire