Avec le Data Act, règlement sur les données, l'Union européenne ambitionne de devenir un leader de l'économie des données grâce à la création d'un marché unique permettant une libre circulation des actifs entre secteurs et Etats membres afin de créer de nouveaux produits et services, en particulier dans le domaine de l'intelligence artificielle.
Le DGA fixe un cadre
Pour y parvenir, la Commission européenne pilote la stratégie européenne pour les données qui contient deux principaux piliers. Le premier est le Governance Data Act (DGA), qui établit un cadre pour le partage sécurisé et la réutilisation des données, personnelles ou non. Contrairement au Data Act, il ne crée pas de nouveaux droits pour les utilisateurs d'accéder à leurs données.
De son côté, le Data Act (DA) prescrit de nouveaux droits pour les personnes et entreprises dont les données sont traitées et des nouvelles interdictions pour les entités de certains pans de l'économie, dont le cloud. Ce règlement entame une nouvelle étape : il entre en application le 12 septembre 2025. L'occasion de faire un point sur les nouveaux droits et les nouvelles obligations des entreprises.
Accéder aux données générées par un objet connecté
Du côté des droits, les utilisateurs – individu ou entité morale – d'un produit connecté bénéficient d'un droit d'accès aux données qu'il génère. Ils peuvent désigner un tiers, comme un prestataire de maintenance ou partenaire technologique, pour recevoir ces données.
Cette obligation s'applique à toutes les données brutes personnelles et non personnelles générées par l'utilisation d'un produit connecté. A noter que le détenteur des données ne peut utiliser aucune information personnelle générée par le produit sans l'accord de l'utilisateur.
Ces données comprennent les informations collectées à partir d'un ou plusieurs capteurs, telles que la température, la pression, la position ou encore la vitesse. Les contenus dérivés ne sont pas concernés par cette obligation. Par exemple, si un utilisateur regarde un film sur son téléviseur connecté, le film lui-même n'est pas concerné, mais les données sur la luminosité de l'écran le sont.
L'interdiction de développer un produit concurrentiel
Les données obtenues ne peuvent pas servir au développement d'un produit concurrent, précise le règlement. En revanche, il n'interdit pas la concurrence sur les services connexes ou après-vente. Par ailleurs, le détenteur des données peut insérer des clauses dans le contrat le liant à l'utilisateur pour protéger le secret commercial et suspendre tout partage si ces conditions ne sont plus respectées.
Sans surprise, ces nouvelles obligations ont été critiquées par une partie des industriels. Cinq groupes allemands, dont SAP et Siemens, ont adressé une lettre ouverte à plusieurs responsables européens pour dénoncer les "risques énormes" que fait peser cette réglementation sur "la cybersécurité et la compétitivité de certaines des entreprises les plus performantes d'Europe".
Réquisitionner des données
Le règlement introduit un nouveau droit pour les organismes publics, qui peuvent demander à accéder à des données détenues par des entités du secteur privé. Deux cas sont à distinguer : dans le cas d'une situation d'urgence (catastrophes naturelles, crises sanitaires, attaques informatiques...) et en dehors d'un tel cas.
En dehors d'une urgence, la demande doit être nécessaire et proportionnée pour l'accomplissement d'une mission d'intérêt public clairement définie. Les entreprises doivent être compensées pour les coûts engendrés par la mise à disposition. Les petites et moyennes entreprises (moins de 250 salariés et moins de 50 millions d'euros de chiffre d'affaires) sont exemptées de cette obligation.
En cas d'urgence, les entreprises doivent fournir les données demandées dans un format lisible et sécurisé. Elles peuvent réclamer une rémunération raisonnable ne dépassant pas les coûts techniques et organisationnels engagés (à l'exception de la production de statistiques officielles).
Exit les frais de migration
Le texte prévoit également de nouvelles obligations dans le secteur du cloud. Les clients doivent pouvoir facilement changer de fournisseur. En pratique, le règlement leur impose de supprimer "les obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels" qui freinent les clients à résilier le contrat "après le préavis maximal et l'achèvement avec succès du processus de changement de fournisseur", de conclure de nouveaux contrats avec un autre fournisseur, d'effectuer "un portage des données exportables et des actifs numériques du client" vers un autre fournisseur ainsi que de découpler "lorsqu'il est techniquement possible" des services de traitement de données.
Les frais de sortie devront être totalement supprimés d'ici 2027. En réaction, Amazon Web Services, Google Cloud et Microsoft Azure ont annoncé leur suppression.
Encadrer l'accès aux données par les gouvernements
Le Data Act régit, par ailleurs, les accès aux données par des gouvernements non européens, comme le prévoit le CLOUD Act qui autorise les autorités américaines à exiger d'une entreprise sous juridiction des Etats-Unis l'accès à des données, même si elles sont stockées en Europe.
Pour répondre à ce risque, le texte impose aux fournisseurs de cloud d'évaluer la légalité de toute demande émanant d'une autorité étrangère, même si elle concerne une donnée non personnelle. Ils doivent refuser ou contester la demande, en l'absence de base légale. Le règlement exige aussi la mise en place de garanties techniques, comme le chiffrement.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
