Septembre 2025 marque une étape importante dans la construction de l’espace européen des données. Les 12 et 24 septembre prochain, respectivement, le Data Act entre en application et la période de transition prévue par le Data Governance Act se termine.
Le Data Act est ainsi un pilier central de la stratégie européenne pour les données et s’articule avec le règlement sur la gouvernance des données (accès aux données générées par l’administration), le Règlement sur la cyber résilience (sécurité tout au long du cycle de vie des produits numériques) ainsi que le familier règlement général sur la protection des données (protection des données personnelles).
En adoptant le Data Act, l’Union européenne avance vers la création d’un espace cohérent de circulation des données fondé sur le principe FAIR (Findability, Accessibility, Interoperability, Reuse) qui désigne un mode d’organisation et de structuration des données favorisant leur circulation et valorisation.
Mais que prévoit exactement ce nouveau règlement ?
Concrètement, le règlement replace le producteur de données, c’est-à-dire l’utilisateur, au centre de l’économie numérique.
Il concerne principalement les fabricant et fournisseurs de produits connectés, c’est à dire un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui peut les communiquer et dont la fonction première n’est pas de stocker, de traiter ou de transmettre des données pour le compte de toute partie autre que l’utilisateur. Tous les types d’objets connectés sont visés, de la montre au téléviseur, en passant par la voiture et la machine de ligne industrielle.
Premièrement, le règlement prévoit une obligation de transparence envers l’utilisateur par la mise à disposition de toutes les données relatives aux produits et services numériques concernés. Cela inclut notamment des informations concernant le type, le format et le volume de données générées par l’objet, la fréquence de la collecte ou encore la manière dont l’utilisateur peut accéder aux données et les extraire.
Par ailleurs, les fournisseurs de service et les fabricants d’objets connectés devront mettre à disposition de l’utilisateur sans frais et dans un format exploitable, les données générées par ces objets connectés et les services associés. L’utilisateur est ainsi libre de transférer ces données directement à un autre fournisseur de service afin de faire jouer la concurrence sans être limité par l’environnement propriétaire du fabricant.
Cela concerne les données brutes, relatives à la performance, à l’utilisation et à l’environnement des produits connectés et des services connexes, y compris les données produites par les machines industrielles dans le cadre de contrats conclus entre professionnels.
Le Data Act vise donc à stimuler le jeu de la concurrence entre fournisseurs de services fondé sur la collecte de données via des appareils industriels ou des objets connectés du quotidien et encourage les utilisateurs, y compris les consommateurs, à conclure des accords de partage de données.
Le Data Act ne prévoit cependant pas d’obligation de partage sans limite.
Premièrement, l’obligation d’ouverture concerne exclusivement les données brutes ou raw data (non interprétées) et ne vise pas les contenus ou données dérivés, protégeant ainsi les efforts des industriels pour valoriser les données collectées.
Deuxièmement, les tiers accédant aux données ne peuvent les utiliser pour développer un produit concurrent, ni pour obtenir des informations sur le détenteur initial des données, sans engager sa responsabilité. Il en va de même pour les données couvertes par le secret des affaires ou dont le transfert révélerait des informations confidentielles.
Troisièmement, le transfert de données à un tiers ne peut être réalisé au détriment de la sécurité du produit connecté qui doit être préservée.
Enfin, afin de limiter les effets de levier sur ces marchés souvent dominés par quelques géants, toute entreprise désignée comme contrôleur d’accès dans le cadre du Règlement sur les marchés numériques (Digital market Act), n’est pas éligible au transfert de données et ne peut pas inciter un utilisateur, sous quelque forme que ce soit (sollicitation commerciale, compensation pécuniaire ou autre) à mettre à sa disposition les données collectées par d’autres opérateurs.
Suppression des frais de migration
Le Data Act organise par ailleurs la suppression progressive des frais de changement de fournisseur. A compter du 12 janvier 2027, les fournisseurs de services de traitement de données ne pourront imposer aucun frais pour le départ de l’utilisateur. Des frais de changement réduits peuvent néanmoins être imposés jusqu’à cette date.
Les principaux fournisseurs de services cloud comme Amazon, Google et Microsoft (71% du marché français du cloud) ont déjà entamé le processus de mise en conformité et supprimer leurs frais de migration bien avant la date fixée par le règlement.
Sources complémentaires
Le Data Act et sa synthèse
Partage des données : les changements liés au règlement européen sur les données (Data Act), CMS Law, Julie Tamba
