← Retour aux points de vuePDF

Data Act

7 min de lecture
InsightsData Act

Décryptage du Data Act : Le guide complet article par article

Adopté fin 2023 et applicable dès septembre 2025, le Data Act va bouleverser l'économie des objets connectés (IoT) et du Cloud. Son objectif est de casser les monopoles des fabricants sur les données et de faciliter la concurrence.

Voici le résumé structuré du texte pour comprendre comment il redistribue les cartes de la data.

Dispositions Générales (Art. 1 - 2)

Le périmètre : L'Internet des Objets (IoT).

Ce qu'il faut retenir : Le Data Act s'applique aux données générées par l'utilisation d'un produit connecté (véhicules, domotique, machines industrielles) ou d'un service connexe.

  • Art. 1 (Objet) : Garantir un accès équitable aux données.
  • Art. 2 (Définitions) :
    • Détenteur de données (Data Holder) : Le fabricant (ex: Renault, John Deere, Siemens).
    • Utilisateur (User) : Celui qui possède ou loue l'objet (ex: le conducteur, l'usine, l'agriculteur).
    • Destinataire (Data Recipient) : Un tiers (ex: un réparateur indépendant, une startup d'assurance).

Partage des données B2C et B2B (Art. 3 - 7)

La révolution : "C'est mon appareil, ce sont mes données".

C'est le cœur du texte. Il oblige les fabricants à ouvrir les vannes.

  • Art. 3 (Design) : Les produits doivent être conçus pour que les données soient accessibles par défaut, facilement et gratuitement pour l'utilisateur.
  • Art. 4 (Accès Utilisateur) : L'utilisateur a le droit d'accéder aux données générées par son appareil en temps réel (ou quasi-réel).
  • Art. 5 (Portabilité vers un tiers) : L'utilisateur peut exiger du fabricant qu'il transmette les données directement à un tiers (ex: un garagiste indépendant).
  • Art. 6 (Obligations du Tiers) : Le tiers qui reçoit les données ne doit pas les utiliser pour développer un produit concurrent direct du produit original (pour protéger l'innovation du fabricant).

Exemple Concret : Une entreprise utilise des machines à café connectées de marque Nespresso. Elle veut utiliser une start-up pour optimiser sa consommation d'énergie. Grâce au Data Act (Art 5), elle peut obliger Nespresso à envoyer les données de consommation directement à la start-up, sans surcoût.

Conditions de partage (Art. 8 - 12)

Comment partager sans se faire piller ?

Si le fabricant doit partager les données avec une autre entreprise (B2B), des règles s'appliquent.

  • Art. 8 (FRAND) : Les conditions doivent être Fair, Reasonable And Non-Discriminatory (Équitables, Raisonnables et Non Discriminatoires).
  • Art. 8 (Secrets d'affaires) : Le détenteur peut refuser le partage si cela compromet gravement ses secrets d'affaires (ex: algorithmes propriétaires), ou exiger des mesures de confidentialité très strictes.
  • Art. 9 (Compensation) : Le fabricant peut demander une compensation financière (coût technique + marge raisonnable) pour la mise à disposition des données (sauf pour les PME qui ne paient que le coût technique).

Clauses Abusives (Art. 13)

Protéger les PME contre les Géants.

Cet article vise les contrats B2B déséquilibrés, imposés par une grande entreprise à une PME.

  • Art. 13 : Une clause contractuelle est nulle si elle est "abusivement déséquilibrée".
    • Exemple abusif : "Le fabricant se réserve le droit exclusif d'interpréter si les données sont conformes."
    • Exemple abusif : "L'utilisateur ne peut pas demander de dommages et intérêts en cas de faute grave du fabricant."

Accès B2G (Business to Government) (Art. 14 - 22)

Quand l'État a besoin de vos données.

  • Art. 14 (Nécessité exceptionnelle) : Les entreprises doivent fournir leurs données aux organismes publics (Secteur Public) en cas :
    1. d'Urgence Publique (ex: Pandémie, inondation, attaque terroriste).
    2. Pour accomplir une mission d'intérêt public si les données sont introuvables ailleurs.
  • Art. 15 (Compensation) : Gratuit en cas d'urgence, payant (coût + marge) dans les autres cas.
  • Protection : L'État n'a pas le droit d'utiliser ces données pour surveiller les individus ou pour des fins répressives.

Changement de Cloud (Switching) (Art. 23 - 31)

La fin du "Vendor Lock-in" (Verrouillage fournisseur).

C'est la partie qui fait trembler Amazon AWS, Microsoft Azure et Google Cloud. Le but est de permettre aux clients de changer de fournisseur facilement.

  • Art. 23 (Obstacles) : Les fournisseurs de Cloud doivent supprimer les obstacles commerciaux, techniques et contractuels au changement.
  • Art. 25 (Frais de sortie - Egress fees) :
    • Dès 2027 : Interdiction totale de facturer des frais pour récupérer ses données ("Frais de sortie").
    • Période transitoire : Frais plafonnés aux coûts réels.
  • Art. 26 (Interopérabilité technique) : Le fournisseur doit offrir des interfaces ouvertes pour faciliter la migration vers un concurrent.

Transferts Internationaux (Art. 27)

La souveraineté des données non-personnelles.

  • Art. 27 : Les fournisseurs de Cloud doivent prendre des mesures pour empêcher l'accès aux données industrielles européennes par des gouvernements étrangers (ex: via le Cloud Act américain), sauf s'il existe un accord international (comme le MLAT). C'est le même principe que le RGPD, mais appliqué aux données industrielles stratégiques.

Interopérabilité (Art. 28 - 29)

Pour que tout communique.

  • Art. 28 (Espaces de données) : La Commission va définir des standards pour que les "Data Spaces" européens (Santé, Énergie, Agriculture) puissent fonctionner ensemble.
  • Art. 29 (Smart Contracts) : Exigences de base pour les contrats intelligents qui automatisent le partage de données (doivent pouvoir être interrompus/arrêtés par un humain - "Kill switch").

Mise en œuvre et Sanctions (Art. 31 - 34)

Le gendarme.

  • Autorités : Chaque pays désigne une autorité compétente (souvent le régulateur télécom ou data).
  • Sanctions : Comme pour le RGPD, les amendes peuvent monter très haut :
    • Jusqu'à 20 Millions € ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu).

Résumé : Les 3 Piliers du Data Act

PilierPour qui ?
Accès IoTUtilisateurs de machines, voitures, domotique qui veulent récupérer leurs données.
Cloud SwitchingEntreprises qui veulent changer d'hébergeur (AWS -> OVH) sans frais.
B2G UrgenceL'État qui a besoin de données privées lors d'une crise majeure.

Calendrier d'Application

  • 11 Janvier 2024 : Entrée en vigueur.
  • 12 Septembre 2025 : Application de la majorité des règles (Accès IoT, B2G, Switching).
  • 12 Septembre 2026 : Obligation de "Design for access" (Art. 3) pour les nouveaux produits mis sur le marché.
  • 12 Janvier 2027 : Suppression totale des frais de changement de cloud (Egress fees).