Rechercher
logo_blanc
Rechercher
[counter]

EU Data Act : l’heure n’est plus à l’anticipation, mais à l’action !

EU Data Act : l’heure n’est plus à l’anticipation, mais à l’action ! - gettyimages 2154509581

Contribution

Les idées et opinions exprimées par nos contributeurs leur appartiennent

Depuis le 12 septembre 2025, l’essentiel des dispositions du règlement (UE) 2023/2854 (le « EU Data Act ») est devenu applicable. Sous des airs techniques, le texte reconfigure la gouvernance de la donnée (personnelle ou non) et impose aux entreprises une remise à plat des pratiques contractuelles, techniques et organisationnelles. L’objectif politique est clair : fluidifier un véritable marché européen de la donnée et réduire les asymétries de pouvoir qui freinent l’innovation.

Une tribune écrite par Claude-Etienne Armingaud, avocat associé en Droit des Nouvelles Technologies, Données & Propriété Intellectuelle au sein de Latournerie Wolfrom Avocats.

 

S’adapter rapidement ou accumuler les risques juridiques et concurrentiels : il n’y a pas d’entre deux.

 


Finalité et portée : un texte large aux ambitions claires

Le EU Data Act poursuit deux objectifs complémentaires : d’abord, ouvrir l’accès et le partage des données générées par l’usage des produits connectés et leurs services connexes, au bénéfice de tous les utilisateurs, qu’ils soient consommateurs ou professionnels. Ensuite, fluidifier le marché des services de traitement de données (cloud, edge, SaaS), en imposant interopérabilité et réversibilité. Le texte est agnostique sur la nature des données : les données personnelles comme non personnelles sont concernées. Mais dans le premier cas, il conviendra d’adjoindre les exigences du RGPD en plus de cette du EU Data Act.

La portée du texte est également extraterritoriale dès lors que des produits ou services visent l’UE. La conséquence pratique : tout acteur qui fabrique ou distribue des objets connectés, ou fournit des services de cloud, au sein de l’Union européenne doit prévoir des interfaces d’accès, des exports structurés et des mécanismes de transfert vers des tiers.

 

Redonner la main aux utilisateurs de produits connectés

Un droit d’accès, largement inspiré du RGPD précité, s’applique aux données générées par l’utilisation des produits connectés et de leurs services connexes. L’utilisateur doit pouvoir consulter ces données aisément ou, si cela n’est pas possible techniquement, les récupérer via un canal indirect qui devra être prévu par le fabricant ou l’opérateur.

Le droit à la portabilité complète le dispositif : l’utilisateur peut exiger la transmission à un tiers dans un format ouvert et interopérable, avec la documentation nécessaire. Les refus sont possibles, mais strictement encadrés : sécurité du système, confidentialité de tiers, protection des secrets d’affaires… et devront en tout état de cause être dument motivés, documentés et proportionnés. En pratique, cela suppose une cartographie des jeux de données impliqués, la définition de schémas d’export, l’exposition d’API stables et la tenue d’un journal des requêtes et réponses pour assurer traçabilité et preuve de bonne foi. Les manuels d’utilisation, CGU et notices devront expliciter ces droits et modalités.

 

Des contrats recadrés : la fin des clauses unilatérales

Le EU Data Act frappe le cœur du B2B : certaines clauses sont dès à présent réputées ou présumées abusives, et plus seulement dans les contrats passés avec les consommateurs ou son extension franco-française, le « non professionnel ». Sont visées notamment les restrictions unilatérales d’accès aux données de l’utilisateur, les verrouillages contractuels sans justification objective, ou les limitations de responsabilité sans proportion avec les risques réels. Les contrats doivent désormais décrire les flux de données, les périmètres d’usage, les formats, les délais de réponse, les mécanismes de contrôle d’accès et la gestion des secrets d’affaires.

L’information précontractuelle devient également déterminante. Un fournisseur devra aligner promesse commerciale, documentation et exécution. Informer pour permettre un choix éclairé – là encore, l’influence du RGPD se fait largement ressentir.

Les nouveaux contrats doivent d’ores et déjà être conformes aux exigences du texte, et ce depuis le 12 septembre dernier. Les contrats en cours d’exécution bénéficient d’une période transitoire limitée jusqu’en 2027. À l’issue de celle-ci, les clauses contraires aux dispositions du règlement seront réputées non écrites et, partant, inopposables.

 

Cloud : portabilité, interopérabilité et fin annoncée des frais

Un autre pilier essentiel de l’EU Data Act réside dans la régulation du marché des services de traitement de données, et plus particulièrement des services de cloud computing et de plateformes SaaS. Le règlement consacre, à cet égard, un véritable droit à la portabilité des données, permettant aux clients de transférer leurs données d’un fournisseur à un autre dans des formats ouverts, structurés et interopérables.

À ce titre, les fournisseurs de services sont tenus de :

  • Mettre en place des mécanismes de sortie et d’assistance technique permettant la migration effective des données ;
  • Limiter les frais de transfert aux seuls coûts internes effectivement supportés ;
  • Et, à compter de 2027, supprimer intégralement ces frais.

Cette exigence de réversibilité contractuelle a pour objet de réduire les situations de dépendance économique (vendor lock-in) et de promouvoir un marché plus concurrentiel des services cloud, reconnu comme un levier majeur du développement de l’intelligence artificielle.

Parallèlement, le EU Data Act établit des garanties renforcées en matière de transferts internationaux. Les prestataires de services doivent prévenir tout accès non autorisé aux données par des autorités établies hors de l’Union européenne, à moins que ne soient offertes des garanties de protection équivalentes à celles prévues par le droit de l’Union.

 

Pouvoirs publics : un accès encadré en cas de « besoin exceptionnel »

Le EU Data Act instaure un mécanisme d’accès par les autorités publiques européennes, dit « B2G », aux données détenues par des entités privées en cas de nécessité exceptionnelle : urgence publique, continuité de services essentiels ou survenance d’événements majeurs. Ce n’est plus ici l’influence du RGPD mais une séquelle de la pandémie de COVID.

Il ne s’agit pas d’un droit général d’accès. Les demandes devront être certes circonscrites, proportionnées, justifiées et traçables, et les secrets d’affaires et la sécurité des systèmes demeureront protégés. Cependant, les opérateurs doivent dès à présent se doter d’un plan de réponse opérationnel : identifier les détenteurs de données, vérifier la base légale de la demande, appliquer les principes de minimisation, assurer la traçabilité de l’extraction, sécuriser le transfert et motiver tout refus légitime.

Cette obligation suppose une gouvernance interne claire des responsabilités, le détenteur n’étant pas nécessairement le fabricant ni l’hébergeur. À défaut, une réponse rapide et conforme serait matériellement impossible.

 

Sanctions et risques : le droit « dur » rencontre le marché

Bien que le régime de sanctions de l’EU Data Act ne soit pas encore précisé au niveau national, et que les acteurs demeurent toujours dans l’attente de contrats types de la Commission Européenne, il ne saurait être minimisé. Les autorités compétentes, une fois désignées, disposeront du pouvoir d’infliger des amendes administratives substantielles et dissuasives, déterminées en proportion du chiffre d’affaires des contrevenants.

Néanmoins, les conséquences les plus marquantes devraient résulter de la nullité de plein droit des clauses contractuelles non conformes, des injonctions de mise en conformité émanant des autorités, ainsi que des actions contentieuses susceptibles d’être engagées par les utilisateurs, leurs associations représentatives, voire par des concurrents sur le fondement d’une concurrence déloyale résultant d’un manquement à la réglementation applicable.

 

Feuille de route : transformer la contrainte en avantage compétitif

Afin de se mettre en conformité avec les obligations issues du texte, les entreprises doivent dès à présent :

  1. Cartographier les flux de données, en identifiant leur nature (personnelle ou non personnelle) ainsi que leurs finalités d’usage ;
  2. Qualifier leur(s) rôle(s) au sens de l’EU Data Act – une entité détentrice de données issues de produits connectés pourra également être considérée comme utilisatrice au titre des services cloud ;
  3. Adapter la conception des produits et services afin d’y intégrer des interfaces d’accès, d’extraction ou de portabilité des données ;
  4. Actualiser la documentation contractuelle et les procédures de négociation pour en assurer la conformité ;
  5. Mettre en œuvre les outils techniques nécessaires (formats standardisés, API, mécanismes de partage) garantissant interopérabilité et portabilité ;
  6. Établir et consigner des règles claires, transparentes et opposables de partage des données, assorties, le cas échéant, d’un playbookinterne permettant de motiver tout refus de transmission ;
  7. Assurer la cohérence normative entre les exigences de l’EU Data Act et celles du RGPD, en documentant les bases légales, finalités et mesures de conformité applicables.

 

À lire également : L’IA frugale, ou l’art d’en finir avec le tape-à-l’œil technologique

Vous avez aimé cet article ? Likez Forbes sur Facebook

Abonnement newsletter

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

  • Des dossiers et analyses exclusifs sur des stratégies d'entreprises
  • Des témoignages et interviews de stars de l'entrepreneuriat
  • Nos classements de femmes et hommes d'affaires
  • Notre sélection lifestyle
  • Et de nombreux autres contenus inédits
1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC
Je m'abonne

Vous serez aussi intéressé par :