Les potentialités des données et leurs multiples enjeux (sécurité, respect de la vie privée, secret des affaires, équité, concurrence, souveraineté, innovation, etc.) sont au cœur de la stratégie européenne sur les données.
Cette stratégie vise notamment à définir un cadre harmonisé permettant aux acteurs économiques et aux États membres de l’Union européenne (UE) de tirer parti du potentiel des données et de favoriser l’innovation, notamment en matière de santé, transports, énergies, agriculture, services publics, etc.
Cette stratégie comprend deux piliers: le Règlement sur la gouvernance des données (Data Governance Act) et le Règlement sur les données (Data Act). Ayant chacun leurs spécificités, ces deux textes, DGA et Data Act, se complètent pour promouvoir et encadrer l’accès, le partage et la réutilisation des données au sein de l’UE. Quels sont les enjeux et opportunités du Data Act, qui entre en application le 12 septembre 2025 ?
Faciliter le partage de données entre entreprises et consommateurs dans le contexte de l’internet des objets (IoT)
Les données sont le fondement de nombreux produits et services numériques innovants, notamment ceux générés par l’utilisation croissante des objets connectés (internet des objets ou IoT) et leur potentiel est une source de valeur significative pour les entreprises.
En utilisant des produits et des services, les consommateurs et les entreprises génèrent des données, en particulier par l’utilisation d’objets connectés (IoT). Le Data Act facilite, pour les utilisateurs d’objets connectés, l’accès aux données qu’ils co-génèrent, la collecte des données, leur utilisation et leur partage. Ci-dessous, quelques exemples d’opportunités créées par l’application du Data Act. Les consommateurs et les entreprises qui génèrent des données pourront bénéficier :
Source : Commission européenne, Le Règlement sur les données : la voie à suivre pour la décennie numérique.
Ainsi, dans son objectif de créer un marché des données compétitif et innovant en facilitant le partage de données industrielles, le Data Act établit des obligations pour les fabricants de produits connectés et les fournisseurs de services associés (services numériques liés aux produits connectés), notamment :
- Accès sur demande : Les utilisateurs peuvent demander l’accès aux données des produits et services (article 4 – Droits et obligations des utilisateurs et des détenteurs de données concernant l’accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition)
- Transfert sur demande : Les utilisateurs peuvent demander que les données soient transférées à un tiers de leur choix (article 5 – Droit de l’utilisateur de partager des données avec des tiers)
- Accès dès la conception : Les futurs produits et services doivent être conçus de manière à permettre un accès aux données dès la conception (l’article 3 prévoit que lesdites données sont « par défaut, accessibles à l’utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l’utilisateur. »). Cette exigence s’appliquera à compter du 12 septembre 2026.
Faciliter la mise à disposition des organismes publics, en cas de besoins exceptionnels, des données détenues par des entités privées
Cette mise à disposition peut être requise pour répondre à une situation d’urgence publique ou pour en atténuer les effets, ou encore si l’entité publique requiert les données pour accomplir une mission d’intérêt public et qu’elle ne peut les obtenir par d’autres moyens (articles 14 et 15 du Data Act).
L’entreprise qui détient les données devrait convenir d’une compensation raisonnable avec l’organisme public qui les reçoit (article 8 du Data Act). A cet égard, Le caractère « raisonnable » de la compensation s’apprécie au regard de l’analyse de critères, tels que les coûts potentiels de formatage des données ou encore l’investissement nécessaire pour permettre le partage des données (comme cela est précisé dans une étude de la Commission européenne).
Faciliter le changement de fournisseur de services cloud, la portabilité des données et l’interopérabilité des services
Le règlement sur les données vise à favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre (suppression des frais de sortie des données et des frais de changement de fournisseur de cloud) et impose de nouvelles obligations en matière de portabilité des données et d’interopérabilité.
Le Data Act a en effet introduit des mesures visant à promouvoir l’élaboration de normes d’interopérabilité pour le partage des données et pour les services de traitement des données, conformément à la stratégie de normalisation de l’UE. Les États membres déterminent le régime des sanctions applicables aux violations du Data Act et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces dernières doivent être effectives, proportionnées et dissuasives (article 40 du Data Act). La loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (dite loi SREN) a confié ces missions à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP).
Interdire les clauses contractuelles abusives
Les clauses non négociables « à prendre ou à laisser » (« take it or leave it ») imposées unilatéralement peuvent, lorsqu’elles concernent la mise à disposition de données, faire l’objet d’un contrôle du caractère abusif.
Le Data Act vise ainsi à apporter de l’équité dans les relations contractuelles, BtoB, en interdisant toute clause abusive imposée unilatéralement à une entreprise (article 13).
Opportunités, gestion des risques et mise en conformité : Les questions à se poser
- Suis-je concerné par le Data Act, en tant que fournisseur de produits connectés ? En tant que fournisseurs de services associés à des produits connectés ?
Il est à noter que le Data Act s’applique indépendamment du lieu d’établissement des fabricants, prestataires et détenteurs de données, si le produit connecté ou service associé est mis sur le marché dans l’UE et si les données sont mises à disposition d’utilisateurs dans l’UE.
- Ai-je identifié les enjeux et obligations ? Notamment :
- Identifier les parties prenantes dans la chaîne d’approvisionnement
- Cartographier les flux de données
- Considérer que la nature des données peut évoluer dans le temps et prévoir les procédures qui permettront d’en tenir compte
- Quelle est l’articulation du Data Act avec d’autres réglementations : RGPD, Règlement sur la gouvernance des données (DGA), Règlement sur l’IA ?..
Comment pouvons-nous vous être utiles ? Mathias est à votre écoute.
Mise en conformité avec ces réglementations et gestion de vos risques, développement de vos projets, sensibilisation de vos équipes, formation, veille sur-mesure… Mathias Avocats vous accompagne, contactez-nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.