Data Act : un nouveau cadre pour la gestion des données en Europe

Aujourd’hui, beaucoup d’entreprises et de particuliers utilisent des objets intelligents qui sont connectés à Internet (voitures, montres, frigos, machines industrielles), des services en ligne ou des plateformes numériques (applications, plateformes en ligne, cloud). Ces choses créent ou récoltent des informations sur leur fonctionnement et sur l’utilisation qu’on en fait, ce qu’on appelle “données”.

Votre organisation utilise des objets connectés ou des services numériques produisant des données ? 

Si c’est le cas, il vous faut anticiper la conformité au Data Act, qui définit qui peut accéder aux données et comment on peut les partager.

Quelles obligations le Data Act impose-t-il ? Qui est concerné par ce règlement ? Comment organiser la gouvernance des données, et quels outils pour se mettre en conformité ? 

Toutes les réponses pour vous préparer.

Le Data Act : contexte et entrée en vigueur

Les données sont devenues très précieuses, car elles servent à améliorer les services, créer de nouveaux produits et faire fonctionner l’économie numérique.

Mais il y a aussi des problèmes avec les données :

• Il faut protéger la vie privée, c’est-à-dire que les informations personnelles de chacun (comme son nom, sa santé ou ses habitudes) ne soient pas utilisées n’importe comment.
• Certaines grandes entreprises pourraient garder toutes les données pour elles seules, empêchant les autres de s’en servir, ce qui serait injuste.
• Les petites entreprises ont parfois du mal à concurrencer les grands géants du numérique comme Google, Apple ou Amazon.
• Il faut aussi bien protéger les données pour éviter que des pirates ou des personnes malveillantes les volent ou les utilisent à mauvais escient.
• Et enfin, les utilisateurs doivent pouvoir avoir confiance dans les objets connectés qu’ils utilisent, sinon ils ne voudront plus s’en servir.

Pour mieux gérer tout cela, l’Union européenne a créé plusieurs règles, qui ont chacune un but précis mais qui fonctionnent ensemble :

• Le Data Act, adopté en décembre 2023, et qui est appliqué depuis le 12 septembre 2025, garantit que chacun peut accéder, partager et récupérer ses données quand il utilise des objets ou services numériques. 
• Le Data Governance Act, adopté en mai 2022 et appliqué depuis septembre 2023, encourage la mise en place de personnes ou organisations de confiance qui aident à partager les données de manière sûre, surtout quand il s’agit de données publiques qui ne concernent pas directement une personne.
• Le RGPD, adopté en avril 2016 et appliqué depuis mai 2018, protège uniquement les données personnelles comme le nom, identifiant ou la santé, et donne aux gens des droits sur ces données.
• Le Digital Services Act (DSA), adopté en octobre 2022, concerne les grandes plateformes comme les réseaux sociaux, et sert à rendre ces services plus sûrs en combattant les contenus illégaux et en protégeant les utilisateurs.
• Le Digital Markets Act (DMA), adopté en septembre 2022, vise les très grosses entreprises du numérique (comme Google, Amazon, Apple) pour éviter qu’elles bloquent la concurrence. 
• Enfin, la directive NIS2, adoptée en décembre 2022, demande aux secteurs importants comme l’énergie, la santé, la finance ou les transports d’assurer une sécurité maximale contre les cyberattaques.

Ces règles forment un ensemble équilibré pour que les données soient bien contrôlées, protégées, partagées en toute transparence, et que les entreprises puissent se faire concurrence dans un marché numérique moderne et dynamique.

Pourquoi plusieurs règles ?

Chaque règlement a une fonction différente, mais ils sont complémentaires :

Règlement	À quoi ça sert ?	Comment ça marche avec le Data Act
RGPD	Protéger les données personnelles des gens (nom, santé, etc.)	Le Data Act permet d’accéder aux données, mais il faut toujours respecter les règles du RGPD pour les données personnelles.
Data Governance Act (DGA)	Aider à partager les données de façon sûre et organisée	Le DGA crée des intermédiaires fiables qui facilitent le partage des données tout en respectant les règles posées par le Data Act.
Digital Services Act (DSA)	Contrôler ce qui est publié sur les sites comme les réseaux sociaux	Le Data Act gère les données techniques et industrielles produites par des appareils, tandis que le DSA gère le contenu que les utilisateurs mettent en ligne. Ces deux lois travaillent ensemble pour rendre l’environnement numérique européen plus juste et plus sûr.
Digital Markets Act (DMA)	Empêcher les très grandes entreprises comme Google de bloquer la concurrence	Le Data Act favorise le partage des données, et le DMA veille à ce que les grands acteurs ne gênent pas cet accès.
NIS2	Renforcer la sécurité informatique dans les secteurs importants (énergie, santé)	Le Data Act impose le partage des données, et NIS2 s’assure que ce partage se fasse en toute sécurité.

Cette nouvelle règle, appelée Data Act, a été publiée en décembre 2023. Elle a laissé du temps aux entreprises pour se préparer. 

Maintenant, depuis le 12 septembre 2025, toutes les entreprises qui travaillent dans des secteurs importants comme l’industrie, les transports, la santé ou les services numériques doivent suivre ces règles. 

La règle fondamentale du Data Act : un droit d’accès et de partage renforcé

Le principe du Data Act, c’est que toute personne ou entreprise qui utilise un objet ou un service connecté (voitures, montres, frigos, machines industrielles,applications, plateformes en ligne, cloud)  a le droit de voir les données qui sont créées par cet objet ou service, et peut les partager facilement avec qui elle veut.

Par exemple :

• Si vous avez une voiture connectée, vous pourrez demander à ce que les données de votre véhicule soient transmises directement à votre garagiste ou à votre assureur.
• Si vous utilisez un thermostat connecté à la maison, vous pourrez envoyer vos données à un autre fournisseur pour réduire votre facture énergétique.

Et tout cela doit se faire gratuitement, rapidement et sans obstacles techniques.

Cependant, les entreprises peuvent protéger certaines informations sensibles comme : 

• les secrets de fabrication ou les méthodes uniques d’une entreprise (secret des affaires),
• les inventions ou technologies innovantes (propriété intellectuelle).

Mais toute limitation doit être clairement expliquée et proportionnée, c’est-à-dire qu’il faut justifier pourquoi certaines données ne peuvent pas être partagées et que cette restriction ne doit pas être excessive.

Cet article pourrait aussi vous intéresser : Le droit d’accès aux données personnelles : un outil clé pour reprendre le contrôle sur sa vie numérique

Qui est concerné par le Data Act ? Un périmètre large et stratégique

Le Data Act s’applique à de nombreux acteurs :

• Les fabricants d’objets connectés : ce sont ceux qui fabriquent des voitures intelligentes, des frigos connectés, des montres ou des machines pour les usines.
• Les fournisseurs de services numériques : par exemple, les applications sur votre téléphone, les plateformes comme Netflix ou Uber, ou encore les services de stockage de données dans le « cloud » (le cloud, c’est un grand espace en ligne où les informations sont stockées sur des serveurs au lieu de votre ordinateur).
• Les utilisateurs : vous, moi, ou les entreprises, qui doivent pouvoir consulter leurs données et les partager librement.
• Les prestataires tiers : par exemple votre garagiste, votre assureur ou votre fournisseur d’énergie, qui peuvent recevoir vos données si vous l’autorisez.
• Les pouvoirs publics (l’État, la mairie, l’Union européenne) : dans certaines situations exceptionnelles, comme une crise sanitaire ou une catastrophe naturelle, ils pourront demander un accès à certaines données, mais seulement en suivant des règles très strictes.

Régime d’Exemption

Le Data Act prévoit des exemptions importantes fondées sur la taille des entreprises afin d’alléger la charge réglementaire pesant sur les plus petites structures : 

• Les micro-entreprises (moins de 10 employés et moins de 2 millions d’euros de chiffre d’affaires) et les petites entreprises (moins de 50 employés et moins de 10 millions d’euros de chiffre d’affaires) n’ont pas toutes les obligations.
• Les entreprises de taille moyenne (50 à 249 employés, moins de 50 millions d’euros) bénéficient d’un délai d’adaptation pour certaines règles.

Champ territorial et objets concernés par le Data Act

Le Data Act s’applique dans toute l’Union européenne.
Mais il s’applique aussi aux entreprises situées hors de l’Europe si elles vendent ou proposent des produits ou services connectés sur le marché européen.

Quels objets sont concernés ?

Les produits connectés, ce sont tous les objets du quotidien qui peuvent faire deux choses :

• Ils sont capables de collecter ou de créer des informations pendant qu’on les utilise (par exemple, une montre qui sait combien on marche, ou un réfrigérateur qui note les produits qu’on consomme).
• Ils peuvent envoyer ces informations à une application ou à un logiciel sur internet, pour qu’on puisse les lire ou les utiliser à distance (comme recevoir les infos sur son téléphone ou partager avec un autre service).

Exemples :

• Objets domestiques connectés : assistants vocaux, frigos intelligents, lampes ou prises connectées, thermostats…
• Machines industrielles et robots : utilisés dans les usines pour fabriquer ou contrôler des produits.
• Véhicules connectés : voitures, scooters ou camions qui collectent des données sur leur fonctionnement ou leur utilisation.
• Dispositifs portables : montres, bracelets d’activité qui enregistrent des informations sur la santé ou les mouvements.
• Dispositifs médicaux intelligents : appareils de suivi médical qui collectent des données sur le patient.

Exclus : les produits dont la fonction principale est seulement d’afficher ou d’enregistrer du contenu pour des services en ligne (comme un simple écran ou une caméra qui ne génère pas de données de fonctionnement ou d’usage).

Quelles données sont concernées par le Data Act ?

Toutes les données créées par les objets connectés ou services numériques mis sur le marché européen ou utilisés par un utilisateur européen sont concernées. 

Ça inclut :

Données d’usage

= Ce sont les informations qui montrent comment vous utilisez votre objet connecté.

Exemples :

• Combien de kilomètres vous avez roulé avec votre voiture
• Combien de pas vous avez faits avec votre montre connectée
• À quelle heure vous allumez et éteignez votre télé connectée
• Combien de fois vous ouvrez votre frigo intelligent dans la journée
• Quelles routes vous prenez le plus souvent
• À quelle température vous réglez votre thermostat

Données techniques

= Ce sont les informations sur l’état de votre objet connecté et comment il fonctionne.

Exemples :

• La température du moteur de votre voiture
• Le niveau de batterie de votre montre
• La vitesse de votre connexion internet
• Si votre frigo fonctionne bien ou s’il y a un problème
• La localisation GPS de votre téléphone
• L’état des différents capteurs (température, humidité, pression, etc.)
• Les messages d’erreur ou d’alerte

Données liées aux services

= Ce sont les informations créées quand votre objet communique avec une application ou un service en ligne.

Exemples :

• Les mises à jour automatiques de votre télé connectée
• Les réglages que vous changez depuis l’application de votre thermostat
• Les notifications envoyées sur votre téléphone par votre montre
• La synchronisation entre votre voiture et l’application du constructeur
• Les sauvegardes de vos paramètres dans le cloud
• Les données envoyées au service client pour diagnostiquer un problème

En résumé :

• Données d’usage = « Qu’est-ce que je fais avec mon objet ? »
• Données techniques = « Comment va mon objet ? »
• Données liées aux services = « Qu’est-ce que mon objet partage avec les applications et services ? »

Le Data Act s’applique aussi bien aux données personnelles qu’aux données non personnelles.

• Pour les données personnelles (elles parlent directement d’une personne, comme la santé, les déplacements, les habitudes), le RGPD reste applicable et les droits des utilisateurs doivent être respectés.
• Pour les données non personnelles (elles concernent la machine elle-même, par exemple la consommation d’une chaudière), le Data Act garantit un accès juste aux données. 

Les obligations concrètes imposées par le Data Act aux entreprises 

Pour respecter le Data Act, les entreprises qui produisent, gèrent ou utilisent des données issues de produits connectés doivent faire plusieurs choses :

Donner un accès simple, gratuit et sécurisé aux utilisateurs

• Les utilisateurs doivent pouvoir voir toutes les données générées par le produit ou service connecté qu’ils utilisent. 
• L’accès doit être possible en temps réel et les données doivent être fournies dans un format compréhensible par un logiciel

Permettre le partage des données avec des tiers

• L’utilisateur doit pouvoir transférer ses données à un autre prestataire ou service de son choix.
• Cela peut servir, par exemple, à améliorer le service, faire réparer un objet ou obtenir une meilleure assurance.
• Les entreprises ne peuvent pas mettre de frais excessifs pour ce partage.

Accès dès la conception

• Les futurs produits et services doivent être pensés dès le départ pour permettre un accès facile aux données.

Réviser les contrats et conditions

• Les contrats doivent être adaptés pour inclure les nouvelles obligations du Data ac
• Par exemple, on doit supprimer les clauses qui donnaient uniquement au fabricant le droit d’accès aux données, ou les restrictions injustifiées pour partager les données.

Garantir l’interopérabilité

• Les données doivent pouvoir circuler facilement entre différents services ou systèmes (comme passer d’un service cloud à un autre).
• Les entreprises doivent utiliser des formats ouverts et compatibles et supprimer progressivement les frais liés aux transferts de données.

Obligation d’information

• Les utilisateurs doivent être clairement informés sur :
  • le type de données collectées,
  • comment ils peuvent y accéder,
  • à quoi servent ces données,
  • quels sont leurs droits sur ces données.
• Cette information doit être simple, compréhensible et facile à trouver.

Accès aux données par les autorités publiques

• En cas d’urgence ou pour des missions d’intérêt général, certaines données peuvent être demandées par des organismes publics (comme la Commission européenne ou les États membres).
• Cet accès doit respecter des règles strictes de confidentialité, utilité et proportionnalité.

Cet article pourrait aussi vous intéresser : Droit à la portabilité : tout ce que vous devez savoir 

Bonnes pratiques en interne pour assurer une conformité efficace au Data Act

Respecter les nouvelles exigences du Data Act ne se limite pas à la mise à jour de contrats ou d’une simple « checklist » juridique : il s’agit d’un changement profond dans la manière d’organiser la gouvernance des données au sein des entreprises.

Faire l’inventaire de vos données

Commencez par savoir exactement quelles données vous produisez et stockez.

• Données techniques : par exemple l’état d’un appareil, sa localisation, des diagnostics.
• Données d’usage : comment vos clients utilisent le produit, la fréquence ou l’historique d’utilisation.
• Métadonnées : infos qui donnent du contexte, comme la date, l’endroit ou même les conditions météo.

Ensuite, décidez :

• Quelles données doivent être partagées,
• Avec qui (utilisateurs, partenaires, prestataires),
• Dans quel format et à quelle fréquence.

C’est ce travail de cartographie qui vous aidera à préparer en amont les demandes d’accès.

Mettre en place une gouvernance claire  : 

Il faut que chacun sache qui fait quoi en interne :

• Qui collecte les données,
• Qui les sécurise,
• Qui est responsable de les transmettre si un utilisateur ou un tiers en fait la demande.

Prévoyez aussi des procédures pour gérer ces demandes rapidement et de manière transparente.
Enfin, formez vos équipes (techniques, commerciales, juridiques) pour qu’elles comprennent les nouvelles règles et sachent comment agir dans leur rôle au quotidien.

Adapter les contrats contractuels et les politiques internes

Le Data Act impose d’informer clairement les utilisateurs avant qu’ils achètent un produit ou service :

• quelles données sont collectées,
• comment y accéder,
• à quelle fréquence elles sont disponibles.

Il est aussi nécessaire de réviser les clauses liées au traitement des données, à leur partage avec des tiers, et à la protection des informations sensibles.

Déployer des solutions techniques adaptées

Adoptez des outils et plateformes qui permettent un accès facile et sécurisé aux données comme des sites web où ils peuvent se connecter pour voir leurs informations (portail client), ou des systèmes qui permettent de transférer facilement les données d’un service à un autre. 

Réaliser des audits et contrôles réguliers

Organisez des vérifications internes et externes pour s’assurer que tout fonctionne correctement.

Les audits évaluent :

• l’accès et le partage des données,
• la sécurité technique,
• la conformité des contrats 

Les résultats doivent être suivis rapidement d’actions correctives pour éviter les risques de non-conformité et les sanctions.

Conséquences de la non-conformité au Data Act

​​Si une entreprise ne respecte pas le Data Act, elle peut rencontrer plusieurs problèmes :

Sanctions financières

• Les entreprises peuvent recevoir de très grosses amendes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon ce qui est le plus élevé.
• Ce risque est encore plus important si l’entreprise traite beaucoup de données ou travaille dans plusieurs pays européens.

Clauses contractuelles invalidées

• Les contrats ou conditions qui limitent l’accès aux données des produits connectés peuvent être annulés.
• Par exemple, si un contrat empêche un utilisateur de partager ses données, cette clause n’aura aucune valeur légale, ce qui peut poser problème pour les accords commerciaux existants.

Perte d’opportunités commerciales

• Être conforme au Data Act devient un critère important pour décrocher des marchés, notamment les marchés publics ou avec de grands clients.
• Une entreprise non conforme peut être exclue d’appels d’offres ou désavantagée par rapport à ses concurrents déjà préparés.

Impact sur la réputation

• Ne pas respecter le Data Act peut nuire à l’image de l’entreprise.
• À l’inverse, montrer que l’on est proactif et conforme peut renforcer la crédibilité et devenir un avantage commercial et marketing, en montrant que l’entreprise prend la gestion des données au sérieux.

Quelques exemples :

Conclusion

Le Data Act change beaucoup la façon dont les données sont utilisées en Europe.

Il donne plus de pouvoir aux utilisateurs : ils peuvent voir leurs données et les partager facilement avec qui ils veulent.
Il oblige aussi les entreprises à être claires, honnêtes et sécurisées avec les données qu’elles collectent.

Cette règle est une bonne opportunité :

• elle permet de créer de nouveaux services et produits plus facilement,
• elle renforce la confiance des utilisateurs,
• elle aide les entreprises à rester compétitives face à d’autres sociétés.

Respecter le Data Act, ce n’est pas juste une obligation, c’est un moyen de :

• mieux gérer les données,
• être transparent,
• préparer l’entreprise à un marché numérique moderne et dynamique.

Se préparer maintenant permet d’assurer la sécurité des données et le respect des utilisateurs.