Data Act : quels enjeux de mise en œuvre de ce règlement pour les professionnels ?

Adopté le 23 février 2022, le règlement (UE) 2032/2854¹, connu sous le nom de « Data Act » établi un cadre clair pour l’accès, le partage et l’utilisation de données générées par les objets connectés et les services numériques connexes. Ce texte a pour but de faciliter l’accès et l’utilisation des données par les entreprises et les consommateurs tout en garantissant une concurrence équitable et en protégeant les intérêts des parties prenantes.

I. Données à caractère personnel et gouvernance des données : quelles interactions entre le Data Act et le RGPD ?

Le Data Act vient compléter le Règlement Général sur la Protection des Données (RGPD), mais il ne le remplace pas. Alors que le RGPD se concentre sur les données à caractère personnel et la protection des individus, le Data Act régit principalement l’accès et le partage des données industrielles, souvent non personnelles.

Cependant, de nombreuses situations impliquent un mélange de ces deux types de données. Par exemple, un véhicule connecté génère des données de performance technique (non personnelles), mais aussi des données de localisation liées à l’utilisateur (personnelles). Dans ce cas, le partage de ces données avec des tiers devra respecter à la fois le Data Act et le RGPD.

L’article 4 du Data Act prévoit que les utilisateurs doivent pouvoir accéder à leurs données gratuitement et en temps réel, un droit similaire à celui de l’article 15 du RGPD sur l’accès aux données personnelles.

II. Quelle entrée en application ?

Le Data Act est entré en vigueur le 11 janvier 2024². Son application prendra effet le 12 septembre 2025³.

• L’obligation de l’article 3.1 du Data Act de rendre les données relatives aux produits et services connexes accessibles à l’utilisateur s’appliquera uniquement aux produits connectés et aux services connexes qui seront mis sur le marché après le 12 septembre 2026 (art 50). Cela signifie que les produits déjà commercialisés avant cette date ne seront pas soumis à cette obligation, même s’ils sont encore en circulation après cette date.
• À partir du 12 septembre 2025, le chapitre III s’appliquera aux obligations de mise à disposition des données, mais uniquement pour les lois adoptées après cette date. Le chapitre IV, qui concerne les contrats, entrera en vigueur pour tous ceux conclus à partir du 12 septembre 2025 (art 50).
• À partir du 12 septembre 2027, le chapitre IV s’appliquera aussi aux contrats signés le 12 septembre 2025 ou antérieurement, mais seulement s’ils sont à durée indéterminée ou s’ils restent valables au moins jusqu’en 2034 (art 50).

III. Quel champ d’application ?

Sont concernés par tout ou partie des dispositions du Data Act, les acteurs suivants :

• Le détenteur de données, qui est l’entité qui a le droit ou l’obligation d’utiliser et de partager des données (art 2.13). Selon la Commission européenne, les fabricants de produits connectés sont généralement des détenteurs de données, mais une entité fournissant un service connexe peut l’être si elle se voit déléguer la responsabilité de détenir les données. La Commission ajoute que l’identification du détenteur de données dépend de l’entité qui contrôle l’accès aux données⁴ ;
• Le fabricant de produits connectés (ex : appareils domestiques intelligents, véhicules connectés, dispositifs médicaux (considérant 14) ;
• Le fournisseur de services connexes d’un produit connecté ;
• Le destinataire des données. Il s’agit de toute personne physique ou morale, y compris un tiers, recevant des données d’un détenteur dans un cadre professionnel, sur demande de l’utilisateur ou en vertu d’une obligation légale (art 2.14). Ce tiers ne peut utiliser les données que pour les finalités convenues avec l’utilisateur, généralement pour lui fournir un service. Au titre de l’article 6.2.e il lui est interdit d’exploiter les données reçues pour développer un produit concurrent⁵ ;
• Les utilisateurs qui possèdent ou louent ces produits ou reçoivent ces services (particuliers ou entreprises) ;
• Les organismes publics ayant besoin d’accéder aux données pour des missions d’intérêt public ;

Exemples d’obligations applicables en fonction des acteurs visés par le Data Act :

Le Chapitre II, relatif à l’accès aux données et à leur utilisation, impose des obligations au détenteur de données, qui doit permettre l’accès aux données de l’utilisateur à ce dernier (art 3 et 4), ainsi que la mise à disposition des données aux destinataire de données (tiers) sur demande de l’utilisateur (art 5). Le destinataire peut recevoir les données avec certaines restrictions, telles que l’interdiction de développer un produit concurrent (art 6.2.e). Aussi, au titre des articles 3.2 et 3.3, le fabricant et le fournisseur de services sont soumis à une obligation d’information à l’égard des utilisateurs.

Le Chapitre III, concernant la mise à disposition des données aux destinataires, établit des obligations (conditions) pour la transmission des données par les détenteurs vers les destinataires (art 8). Ce chapitre inclut également des obligations de compensation pour cette mise à disposition (art 9), ainsi que des exigences relatives aux mesures techniques de protection des données (art 11).

Le Chapitre V impose la mise à disposition de données par les détenteurs privés sur demande des organismes du secteur public, de la Commission, de la BCE ou d’organes de l’Union, en cas de besoin exceptionnel justifié pour des missions d’intérêt public (art 14 et 15). Ces entités publiques sont elles aussi soumises à des obligations comme l’utilisation des données reçues uniquement pour la finalité demandée, garantir la sécurité des données, et les effacer lorsque non nécessaires …(art 19).

IV. Quelles règles de partage des données ?

Le Data Act introduit de nombreuses obligations relatives à :

L’accès des utilisateurs aux données générées par leurs appareils

• Les fabricants de produits et services (détenteurs de données) doivent permettre aux utilisateurs d’accéder aux données générées par leurs objets connectés (art 4) et de les transmettre à des tiers si souhaités (art 5). Il s’agit là d’un véritable droit d’accès et droit à la portabilité qui ne doivent pas être confondus avec ceux du RGPD.
• En effet, alors que le RGPD confère aux individus un droit d’accès à leurs données personnelles⁶, avec la possibilité d’en obtenir une copie gratuitement ; le Data Act garantit aux utilisateurs de produits connectés et services connexes l’accès à leurs données non personnelles qu’ils génèrent, gratuitement et en temps réel si possible (art 3 et 4). Si les données issues de produits et services incluent des données personnelles, le RGPD s’applique.
• D’autre part, le RGPD confère aux personnes un droit à la portabilité sur leurs données personnelles⁷, c’est-à-dire celles qu’ils ont fournies directement à une organisation, afin de les récupérer ou de les transférer à un autre service. De son côté, le Data Act, régit le partage des données générées par l’usage d’un produit connecté ou service connexe vers des destinataires de données (art 5). Ici, les données sont en principe non personnelles (ex : données industrielles), toutefois, si des données personnelles sont incluses, leur traitement reste encadré par le RGPD.
• L’accès doit être facile, gratuit et sans entrave.

Les clauses contractuelles

• Interdiction des clauses contractuelles abusives (art 13)
• Des clauses contractuelles types seront recommandées par la Commission européenne avant le 12 septembre 2025 (aucune date spécifique n’ayant été arrêtée). Elles permettront d’aider les parties prenantes à rédiger et négocier leurs contrats.

L’accès des organismes du secteur public aux données en cas de besoin exceptionnel

Les entreprises pourront être contraintes de partager certaines données avec les organismes du secteur public (art 14) en cas de besoins exceptionnels (art 15) (ex : urgence publique).

V. Le partage des données et les produits connectés : quels enjeux pour les entreprises ?

Les entreprises conçoivent de plus en plus de produits connectés, qu’il s’agisse de véhicules intelligents, d’appareils électroménagers ou d’objets médicaux. Le Data Act impose aux fabricants et fournisseurs de ces produits de permettre aux utilisateurs d’accéder aux données qu’ils génèrent et de les partager avec des tiers.

Prenons l’exemple d’une voiture équipée de capteurs de conduite. Le conducteur doit pouvoir récupérer ces données et les transmettre à une entreprise d’assurance pour bénéficier d’un contrat adapté à son usage. De leur côté, les fabricants doivent s’assurer que les données transmises respectent la confidentialité des utilisateurs.

Pour garantir l’équilibre entre innovation et protection des consommateurs, l’article 5 du Data Act prévoit un cadre pour le partage des données avec des tiers, interdisant leur exploitation à des fins concurrentielles.

Afin d’éviter les risques de conformité liés à la gestion concomitante de données personnelles et industrielles, il est essentiel de se familiariser avec les règles encadrant la violation de données personnelles dans ce cadre nouveau.

VI. Quelles sanctions en cas de non-respect du Data Act ?

Comme le RGPD, le Data Act prévoit un système de sanctions en cas de non-respect de ses obligations. Les entreprises qui ne respectent pas les règles de partage des données ou imposent des clauses abusives encourent des sanctions financières qui seront fixées par chaque État membre. L’article 33 du Data Act précise que les autorités nationales de contrôle, telles que la CNIL en France, auront le pouvoir d’infliger des amendes administratives.

Par exemple, une entreprise qui refuserait d’accorder l’accès aux données de ses produits connectés pourrait être sanctionnée par une amende proportionnelle à son chiffre d’affaires, à l’instar des sanctions prévues par le RGPD.

En conclusion, le Data Act transforme l’économie des données en Europe en imposant un cadre réglementaire précis. Son impact sera majeur pour les entreprises manipulant des données, en particulier celles concevant des produits connectés ou fournissant des services numériques. Il est donc essentiel d’anticiper sa mise en œuvre pour éviter des risques juridiques et financiers.

Pour anticiper au mieux les évolutions réglementaires à venir, retrouvez les dernières actualités RGPD

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité RGPD. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

1. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32023R2854 Data Act ↩︎
2. https://digital-strategy.ec.europa.eu/fr/policies/data-act ↩︎
3. https://commission.europa.eu/news/data-act-enters-force-what-it-means-you-2024-01-11_fr ↩︎
4. https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act – pt 21 ↩︎
5. https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act – pt 35 ↩︎
6. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – art 15 RGPD ↩︎
7. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – art 20 RGPD ↩︎