Le DATA ACT, un règlement en faveur d’une exploitation des données industrielles

Publié par le dans | Consulté 91 Fois

par Kim BLUM-GROSS, étudiante en master 2 droit des industries culturelles et créatives

Les objets connectés prennent de plus en plus de place de notre vie quotidienne et dans le monde de l’industrie : voitures connectées, dispositifs médicaux, montres connectées, maisons intelligentes, etc. C’est dans ce contexte d’industrialisation des données et de la montée en croissance de ces objets connectés (Internet of Things dit autrement IoT), que commence à voir le jour, le Data Act entré en vigueur le 11 janvier 2024 et qui sera applicable dès le 12 septembre 2025.

Le règlement est réparti en onze chapitres et a pour objectif de permettre aux utilisateurs des produits connectés, un meilleur contrôle sur les données qu’ils génèrent et ou qu’ils louent. Il s’adresse de manière générale à tous les secteurs et concerne plusieurs acteurs, quel que soit leur taille. Parmi les acteurs concernés, nous pouvons citer, les fabricants de produits connectés, les détenteurs de données, les fournisseurs de services connexes (fonctionnalités supplémentaires sur l’objet connecté), les utilisateurs des objets connectés ou encore les organismes du secteur public. Ainsi, ce texte témoigne de la prise en conscience de l’Union européenne de vouloir renforcer la concurrence du marché européen des cloud tout en protégeant les entreprises de clauses contractuelles abusives et promouvoir l’équité dans l’accès aux données.

Des dispositions en faveur d’un meilleur accès aux données


Bien que les particuliers (en tant que consommateurs) soient aussi visés par le texte, il constitue surtout un point crucial pour les utilisateurs types personnes morales, à savoir, les entreprises. En résumé quelques apports :

Tout d’abord, le règlement vient améliorer les relations détenteurs de données/utilisateurs dans le cadre de partage de données entre entreprises. En effet, les détenteurs de données (en principe, le fabricant de l’objet connecté) doivent rendre les données générées par les produits connectés et les services connexes, accessibles à l’utilisateur (en principe, l’entreprise qui utilise pour son activité l’objet connecté qui génère des données). Les utilisateurs pourront accéder de manière simple aux données générées et cela, gratuitement.

Également, le règlement encourage la portabilité des données en ce sens qu’il facilite pour le client, le passage d’un service de traitement de données à un autre, par la réduction de procédures longues ainsi que les frais qui y sont associés. En effet, le texte vient supprimer les frais de changement de fournisseur y compris les frais de sortie de données à compter du 12 janvier 2027.


Ensuite, le règlement assure une protection face aux clauses abusives en prévoyant une liste non exhaustive de clauses abusives et présumées abusives. Ainsi, cela permet d’assurer une certaine protection surtout en faveur des PME qui peuvent se trouver en situation de faiblesse lors de négociations notamment lors de la présence de clauses de « à prendre ou à laisser » imposées unilatéralement. Il en va de même s’agissant des clauses qui viendraient limiter la responsabilité.

Un règlement impactant en grande partie les entreprises

Pour bien se conformer au règlement, il est impératif que les entreprises identifient le types de données générées. A titre d’illustration, s’il s’agit de données qui sont protégées par le secret des affaires, les détenteurs de données doivent, avant leur divulgation avec l’utilisateur (ou tiers choisi), prendre les mesures nécessaires pour préserver leur confidentialité tel qu’en établissant des accords de confidentialité, des protocoles d’accès stricts, de normes techniques et ou en appliquant un code de conduite. Également, il faudra par exemple distinguer s’il s’agit de données à caractère personnel ou non personnel, ou encore s’il s’agit de données protégées par la propriété intellectuelle.
Également, en vue de ce règlement, les entreprises devront revoir leurs relations contractuelles avec leurs clients, qu’il s’agisse d’une entreprise ou d’un consommateur (notamment dans le cadre du droit à la portabilité des données). Par exemple, il faudra que le détenteur des données établisse un contrat type contrat de vente ou de location pour définir les droits d’accès, d’utilisation et de partage des données générées par l’objet connectés et ou le service lié. Ce dernier ne pourra pas utiliser de données à caractère non personnel sans l’accord de l’utilisateur. Enfin il faudra s’assurer que les clauses n’entrent pas dans la liste non exhaustive des clauses dites abusives.


Ensuite, l’Interopérabilité est un point crucial du règlement, il sera donc nécessaire que les secteurs de l’industrie adaptent le format des données permettant l’interopérabilité entre les différents systèmes informatiques des responsables de traitement. L’interopérabilité est un élément clé notamment pour garantir un changement plus simple de fournisseur. Ainsi, cela évitera la potentielle perte de donnée.
Outre ces nouveaux principes, les entreprises devront rester attentives aux prochaines recommandations de la Commission européenne prévues pour cet automne tel que l’établissement de contrats de partage de données équitables, raisonnables et non discriminatoires ou encore l’établissement de clauses non contraignantes s’agissant des contrats informatiques type cloud.

Un règlement en apport de nouveautés dans le cadre du traitement des données


A la différence du RGPD qui vise la protection des données à caractère personnel, la Data Act a pour ambition de libérer l’utilisation des données. Le règlement prend en compte à la fois les données à caractère personnel mais confère cette fois-ci également des droits sur les données à caractère non personnel à la différence du RGPD.


Mais certaines innovations interrogent les praticiens qui restent sceptiques sur certains points dont l’urgence publique, où dans certains cas exceptionnels et lorsque certaines conditions sont remplies, le détenteur de données se doit de mettre à la disposition d’un organisme du secteur public, les données qu’il détient. Certains craignent que cela peut mettre l’administré dans une situation de faiblesse et être utilisé de manière abusive.

Mais pour éviter certaines craintes et vérifier l’efficacité du texte, la Commission envisage d’étudier, les trois premières années qui suivent l’application du texte, l’impact du règlement. Dans le cas où les résultats ne seraient pas concluants, il pourra y avoir modification du texte.

Sources :

  • Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données
  • Lexis 360 Intelligence – Revues – Cahiers de droit de l’entreprise n° 2 du 1er mars 2024 – Data Act – Le Data Act : un enjeu majeur pour les entreprises – Etude par Sihem Hassani et Patrice Navarro
  • Lexis 360 Intelligence – Revues – Communication – Commerce électronique n° 5 du 1er mai 2024 – Data Act – Nouveau règlement européen sur les données (Data Act) . – Quelles conséquences pour les professionnels ? Morceaux choisis et premiers éléments d’analyse – Etude par Guillaume Desgens-Pasanau
  • https://digital-strategy.ec.europa.eu/fr/policies/data-act
  • https://digital-strategy.ec.europa.eu/fr/factpages/data-act-explained