Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

Introduction

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a profondément transformé le cadre juridique applicable aux données personnelles. En posant des principes forts (responsabilité, transparence, minimisation, droits renforcés des personnes) le RGPD a marqué un tournant majeur dans la régulation du numérique, en Europe comme au-delà de ses frontières, avec des impacts dans tous les secteurs d’activité.

Mais la stratégie européenne en matière de données ne s’est pas arrêtée à la seule protection des données personnelles. Avec l’essor rapide des objets connectés, de l’Internet des objets (IoT), du cloud computing et plus largement de l’économie des données, de nouveaux enjeux sont apparus : qui peut accéder aux données générées par un objet ou un service numérique ? Qui peut les exploiter, les partager ou les réutiliser ? Et dans quelles conditions juridiques et économiques ?

C’est dans ce contexte qu’un nouveau texte est venu compléter l’architecture réglementaire européenne : le Data Act.

Adopté en 2023, le Data Act vise à encadrer l’accès, le partage et l’utilisation des données, en particulier celles générées par les objets connectés, les services numériques et les infrastructures cloud. Son ambition est double : favoriser une meilleure circulation des données au sein du marché intérieur tout en rééquilibrant les rapports de force entre les acteurs économiques, notamment entre fournisseurs de technologies et utilisateurs professionnels ou consommateurs.

Le Data Act s’inscrit ainsi dans la continuité du RGPD, mais il poursuit un objectif distinct. Là où le RGPD se concentre sur la protection des personnes physiques et de leurs données personnelles, le Data Act s’intéresse avant tout à la valorisation, au partage et à la gouvernance des données, qu’elles soient personnelles ou non.

Alors, qu’est-ce que le Data Act exactement ? Qui est concerné par ce nouveau règlement ? Et surtout, en quoi se distingue-t-il du RGPD, avec lequel il devra coexister dans la pratique ?

data act

1. Qu’est-ce que le Data Act ?

Le Data Act est un règlement européen qui impose de nouvelles règles sur l’accès, l’utilisation et le partage des données générées par les produits connectés et les services qui leur sont associés.

Sa particularité est qu’il couvre toutes les données produites par l’utilisation d’objets connectés, qu’elles soient personnelles ou non personnelles, y compris les données relatives aux produits eux-mêmes.

Autrement dit, le Data Act couvre l’écosystème complet autour du produit connecté et vise à favoriser une libre circulation des données dans un cadre sécurisé et équilibré.

Quels objets sont concernés ?

Le Data Act s’applique à tous les objets capables de communiquer des données via Internet ou un autre réseau public.

Cela inclut notamment :

  • Un véhicule connecté, une montre ou un bracelet de santé connecté, un thermostat intelligent, une machine industrielle équipée de capteurs, un équipement agricole intelligent, etc.

Ces objets génèrent des données techniques, d’usage, de performance ou d’environnement.

Quels services sont concernés ?

Le règlement ne vise pas uniquement les objets eux-mêmes, mais également les services associés nécessaires à leur fonctionnement.

Par exemple :

  • L’application mobile permettant de piloter un thermostat connecté
  • La plateforme en ligne affichant les données d’un capteur
  • Un service de gestion de flotte lié à un boîtier télématique
  • Un assistant intelligent intégré à un produit

Autrement dit, le Data Act couvre l’écosystème complet autour du produit connecté.

Toutes les données sont concernées

Le Data Act s’applique à l’ensemble des données générées par l’utilisation de ces objets :

  • Données techniques
  • Données de performance
  • Données d’usage
  • Données industrielles
  • Données non personnelles

Et parfois, ces données peuvent également contenir des données personnelles. Dans ce cas, leur traitement reste soumis au RGPD et constitue un traitement de données au sens de ce règlement. Le Data Act n’écarte pas le RGPD : il s’articule avec lui.

Prenons quelques exemples :

  • Une machine industrielle connectée génère des données sur son fonctionnement.
  • Un véhicule connecté collecte des données techniques sur son utilisation.
  • Un équipement agricole intelligent enregistre des données sur les récoltes.

Jusqu’à présent, ces données étaient souvent exploitées exclusivement par le fabricant ou le fournisseur du service associé.

Avec le Data Act, l’utilisateur du produit (entreprise ou particulier) pourra

  • Accéder aux données générées par son équipement ;
  • Demander leur transmission à un tiers (par exemple un prestataire de maintenance indépendant) ;
  • Ne plus être bloqué par des clauses contractuelles déséquilibrées.

Data Act et protection des données personnelles : une complémentarité

Contrairement au RGPD, qui protège les données personnelles des individus, le Data Act vise principalement l’exploitation économique des données générées par les objets connectés.

En pratique le RGPD protège les personnes et le Data Act encadre la circulation et la valorisation des données.

Lorsqu’une donnée issue d’un objet connecté permet d’identifier une personne, elle reste soumise au RGPD, en plus des règles du Data Act.

2. Pourquoi le Data Act a-t-il été adopté ?

Le Data Act s’inscrit dans la stratégie européenne des données et poursuit des objectifs concrets :

  • Permettre aux entreprises d’accéder aux données qu’elles contribuent à générer ;
  • Rééquilibrer les relations entre fabricants et utilisateurs ;
  • Réduire la dépendance aux grands fournisseurs de services cloud ;
  • Faciliter le changement de prestataire (cloud switching).

Il vise également à renforcer la compétitivité européenne et à sécuriser le développement des affaires dans l’économie des données.

data act

3. Quel est le calendrier d’application du Data Act ?

Le Data Act est un règlement européen d’application directe dans tous les États membres de l’Union européenne. Toutefois, ses dispositions ne s’appliquent pas toutes simultanément : le texte prévoit une mise en œuvre progressive.

Application principale

La majorité des dispositions du Data Act sont applicables depuis le 12 septembre 2025.

À partir de cette date, les entreprises concernées doivent désormais se conformer à nouvelles obligations et notamment :

  • Permettre l’accès aux données générées par les produits connectés ;
  • Encadrer le partage de ces données ;
  • Adapter leurs pratiques contractuelles aux nouvelles exigences.

Des obligations échelonnées dans le temps

Certaines obligations entreront en application à des dates ultérieures :

  • Septembre 2026 : Les fabricants de produits connectés et les fournisseurs de services connexes devront concevoir leurs produits et services de manière à ce que les données générées soient directement accessibles par les utilisateurs. Il s’agit d’une logique de conformité “by design”, intégrée dès la conception des produits.
  • Janvier 2027 : Les bénéficiaires de services d’informatique en nuage (cloud) devront pouvoir changer de fournisseur sans frais. Cette disposition vise à lutter contre le phénomène de verrouillage technologique (vendor lock-in) et à favoriser la portabilité des données et des services.
  • Septembre 2027 : L’interdiction des clauses contractuelles abusives s’appliquera également aux contrats conclus avant le 12 septembre 2025. Autrement dit, les entreprises devront réexaminer leurs contrats existants afin de vérifier leur conformité avec les nouvelles règles.

Une articulation en évolution avec les autres textes européens

Il convient également de noter que le cadre réglementaire européen en matière de données continue d’évoluer.

La Commission européenne a présenté, le 19 novembre 2025, une proposition de règlement susceptible de modifier certaines dispositions du Data Act, notamment afin d’améliorer son articulation avec d’autres textes européens, comme le Data Governance Act (DGA).

Cette dynamique confirme que la régulation européenne des données s’inscrit dans un écosystème global comprenant le RGPD, le Data Act, le DGA et d’autres textes sectoriels.

4. Quel est le champ d’application du Data Act et les acteurs concernés par ce réglement européen ?

Le Data Act ne s’applique pas à toutes les entreprises de manière générale. Il cible des acteurs précis impliqués dans la production, la détention ou l’exploitation de données générées par des produits connectés et les services associés.

Sont concernés, pour tout ou partie du règlement :

Les fabricants et les détenteurs de données

  • Le fabricant est l’entité qui conçoit ou met sur le marché un objet connecté (véhicule connecté, machine industrielle, dispositif médical, objet domestique intelligent, etc.).
  • Le détenteur de données (data holder) est l’entité qui contrôle techniquement et juridiquement l’accès aux données générées par le produit (article 2.13).

Dans la pratique, le fabricant est souvent détenteur de données, mais ce n’est pas systématique.

Par exemple : Si un fabricant de montre connectée confie la gestion de l’application mobile à un prestataire qui collecte et contrôle les données, ce prestataire peut devenir détenteur de données.

Les utilisateurs

Les utilisateurs sont toutes les personnes physiques ou morales (particuliers, entreprises, organismes publics) qui possèdent ou utilisent un produit connecté ou un service associé, même temporairement.

Ils disposent notamment :

  • D’un droit d’accès aux données générées ;
  • Du droit de demander leur transmission à un tiers ;
  • D’une protection contre certaines clauses abusives.

Plusieurs utilisateurs peuvent coexister pour un même produit (propriétaire, locataire, salarié utilisant un véhicule de fonction, etc.).

Les destinataires des données

Les destinataires sont les personnes ou entreprises qui reçoivent des données à la demande de l’utilisateur, dans un cadre professionnel.

Ils ne peuvent utiliser les données que pour les finalités convenues avec l’utilisateur et ne peuvent les exploiter pour développer un produit concurrent sans accord spécifique.

Les fournisseurs cloud et services de traitement

Les fournisseurs de services d’informatique en nuage proposés dans l’Union européenne sont également concernés, notamment au titre des règles sur le changement de prestataire (cloud switching).

Les organismes publics

Dans des situations exceptionnelles (urgence publique ou mission d’intérêt général), certaines autorités peuvent demander l’accès à des données détenues par des entreprises privées, sous conditions strictes.

Ainsi, le Data Act vise l’ensemble des acteurs intervenant dans la chaîne de valeur des données issues d’objets connectés : production, contrôle, partage et exploitation.

Une même entreprise peut cumuler plusieurs rôles (fabricant, détenteur, fournisseur de service, destinataire).

data act

5. Quelles sont les règles et obligations principales du Data Act ?

Le Data Act impose plusieurs obligations destinées à faciliter l’accès et le partage des données générées par les produits connectés.

Rendre l’accès aux données possible dès la conception

Les fabricants doivent concevoir leurs produits et services de manière à permettre aux utilisateurs d’accéder facilement aux données générées par leur utilisation.

Ces données doivent être :

  • Accessibles directement lorsque c’est techniquement possible ;
  • Fournies gratuitement ;
  • Transmises dans un format structuré, compréhensible et réutilisable ;
  • Accessibles de manière sécurisée.

Concrètement en pratique, cela implique par exemple qu’un utilisateur d’une montre connectée ou d’un véhicule connecté doit pouvoir récupérer les données générées par son utilisation.

Mettre les données à disposition sur demande

Si l’accès direct aux données n’est pas techniquement possible, le détenteur de données doit les fournir à l’utilisateur sans délai injustifié, à titre gratuit et sur simple demande.

Permettre le partage des données avec un tiers

L’utilisateur peut demander que les données soient transmises à un destinataire de son choix, à des fins commerciales ou non.

Le partage doit être effectué dans les meilleurs délais, gratuit pour l’utilisateur, réalisé avec la même qualité que celle dont bénéficie le détenteur et lorsque possible, continu et en temps réel.

Ce droit va au-delà du droit à la portabilité prévu par le RGPD, car il s’applique à toutes les données générées, qu’elles soient personnelles ou non.

Le règlement encadre toutefois strictement l’usage des données par le destinataire : il lui est notamment interdit de les exploiter pour développer un produit concurrent ou profiler l’utilisateur, sauf si cela est nécessaire pour fournir le service demandé.

Garantir la transparence avant la conclusion du contrat

Avant l’achat ou la location d’un produit connecté, l’utilisateur doit être informé :

  • Du type de données générées ;
  • De l’usage qui en sera fait ;
  • De l’identité du détenteur des données ;
  • Des modalités d’exercice de ses droits.

Lorsque des données personnelles sont concernées, les exigences du RGPD s’appliquent en complément.

Faciliter le changement de fournisseur cloud

Le Data Act renforce les règles relatives aux services d’informatique cloud. Les fournisseurs doivent permettre aux utilisateurs de changer de prestataire sans obstacles techniques excessifs.

L’objectif est de limiter les situations de verrouillage technologique (vendor lock-in) et de favoriser l’interopérabilité.

Santé & RGPD : les 9 bonnes pratiques pour être conforme en 2025

Données sensibles, hébergeurs, DPO, consentement… Ce guide pratique aide les acteurs de la santé à anticiper les exigences RGPD.
Télécharger

6. Comment se mettre en conformité avec le Data Act (et articuler cette démarche avec le RGPD) ?

Vous l’aurez donc compris, le Data Act ne remplace pas le RGPD : il s’y ajoute. Pour les entreprises, cela signifie qu’il ne suffit plus d’assurer uniquement la protection des données personnelles.

Il faut désormais structurer une gouvernance globale des données, couvrant à la fois les données personnelles (RGPD) et les données non personnelles et industrielles (Data Act)

Cartographier les flux de données générées par les produits connectés

Comme pour le RGPD, la première étape consiste à identifier :

  • Quels produits ou services génèrent des données ?
  • Quelles catégories de données sont concernées (techniques, d’usage, mixtes…) ?
  • Qui contrôle l’accès à ces données (fabricant, prestataire, filiale…) ?
  • Quels tiers peuvent en être destinataires ?

Cette cartographie permet de déterminer si l’entreprise est, fabricant, détenteur de données, fournisseur de services connexes, destinataire ou plusieurs à la fois

Vérifier l’articulation avec le RGPD

Certaines données issues d’objets connectés peuvent contenir des données personnelles.

Dans ce cas, le RGPD continue de s’appliquer (base légale, information, droits des personnes, sécurité). Le Data Act encadre en parallèle l’accès et le partage économique de ces données.

La conformité doit donc être pensée de manière coordonnée pour éviter les contradictions contractuelles ou techniques.

Adapter les contrats

Le Data Act implique une révision approfondie des contrats existants. Les entreprises doivent notamment adapter les clauses relatives à l’accès aux données générées par les produits connectés, supprimer les dispositions susceptibles d’être considérées comme abusives et encadrer précisément les conditions d’utilisation des données par les destinataires.

Il devient également indispensable d’intégrer des mécanismes clairs permettant le changement de fournisseur de services cloud, afin d’éviter toute situation de verrouillage contractuel ou technique.

Concrètement, l’ensemble des contrats liés à l’exploitation des données doit être réexaminé : contrats conclus avec les clients, accords avec les partenaires technologiques, engagements avec les fournisseurs cloud ainsi que les relations avec les sous-traitants.

Cette mise à jour contractuelle constitue un levier central de la conformité au Data Act et nécessite une approche coordonnée entre les équipes juridiques, techniques et opérationnelles.

Adapter les produits et services (compliance by design)

À partir de 2026, les produits devront être conçus pour rendre les données directement accessibles.

Cela implique souvent des adaptations techniques, une réflexion sur l’architecture des systèmes et une anticipation dès la phase de conception pour les produits futurs.

Mettre en place une gouvernance des données unifiée

Le véritable enjeu pour les entreprises n’est pas seulement juridique, mais organisationnel.

Il devient nécessaire de structurer une politique de gouvernance des données, une coordination entre équipes juridiques, IT et métiers et une veille réglementaire sur l’ensemble des textes européens (RGPD, Data Act, DGA…). Par ailleurs, cette évolution offre également la possibilité de transformer la conformité en avantage stratégique.

data act

Conclusion : le Data Act, une nouvelle étape dans la régulation des données

Le Data Act marque une nouvelle étape dans la construction d’un cadre européen cohérent en matière de données. Alors que le RGPD protège les individus, le Data Act organise l’économie des données et favorise leur circulation encadrée.

Pour les entreprises, le véritable enjeu n’est plus seulement la protection des données personnelles, mais la mise en place d’une gouvernance globale des données, intégrant RGPD, Data Act et autres réglementations européennes.

Anticiper ces évolutions permet non seulement de limiter les risques juridiques, mais aussi de transformer la conformité en levier stratégique.

Samia Rahammia
Samia Rahammia

Juriste IT et Data et Chargée de projets marketing