Se préparer au Data Act : les points clés à anticiper avant septembre 2025

Le 12 septembre 2025 prochain, la plupart des dispositions du Règlement (UE) 2023/2854 entreront en vigueur, marquant une étape importante dans la régulation de l'économie des données au sein de l'UE.

Pour les entreprises concernées, la mise en conformité s’annonce particulièrement exigeante, tant sur le plan juridique et contractuel que sur les volets opérationnels et techniques. Face à ces défis, il est essentiel d’agir sans tarder pour limiter les risques juridiques et les sanctions administratives, tout en adaptant ses contrats et ses process internes.

Bien que le Data Act couvre de nombreux aspects liés aux données, les thèmes les plus pertinents pour les entreprises privées concernent principalement (i) la collecte et l’utilisation des données issues de l’Internet des Objets (IoT) et (ii) la possibilité de changer de fournisseur de service ou de stockage cloud. 

Ce que les entreprises IoT doivent savoir

Voici les questions essentielles que vous devez vous poser dès aujourd’hui pour anticiper votre mise en conformité.

Votre entreprise fabrique-t-elle des produits connectés ? Sont considérés comme produits connectés tous les équipements capables de collecter des données sur leur utilisation ou leur environnement, et de transmettre ces données via une connexion Internet. On parle aussi d’objets intelligents ou de dispositifs IoT : voitures, téléviseurs, réfrigérateurs, robots ménagers ou de jardin, ustensiles de cuisine, etc. (Source : art. 2(5) du Data Act)

Proposez-vous des services associés à ces produits connectés ? Les services associés désignent tout service numérique (généralement via une application) indispensable à l’utilisation prévue du produit connecté, ou permettant d’y ajouter des fonctionnalités supplémentaires. (Source : art. 2(6) du Data Act)

Qui sont vos utilisateurs ? Si vos produits connectés ou services associés sont proposés à des clients situés dans l’Union européenne, le Data Act s’applique, qu’il s’agisse de clients consommateurs (BtoC) ou professionnels (BtoB). (Source : art. 1.3 du Data Act)

Le produit ou service permet-il aux utilisateurs d’accéder aux données collectées (données produit) ? Les données produit sont toutes les informations collectées par un produit connecté ou un service associé dans le cadre de son utilisation ou de son environnement, qu’elles soient ou non considérées comme des données personnelles au sens du RGPD.

Quelles actions concrètes mettre en œuvre ?

1. Garantir l’accès des utilisateurs à leurs données produit

Les utilisateurs doivent pouvoir accéder à ces données en temps réel, directement via le produit ou l’application, ou au minimum dans un format lisible par machine.

Fournir aux utilisateurs, au moment de l’achat, des informations clés sur les données collectées : types de données, finalités d’usage, durée et lieu de stockage, modalités d’accès et de conservation.

Les utilisateurs peuvent demander à ce que des tiers aient accès à leurs données produit. Il est conseillé d’évaluer à l’avance les situations où un tel partage pourrait être refusé, et sur quels fondements.

2. Informer clairement les utilisateurs dès l’achat

Toute utilisation de ces données à des fins propres (analyse, publicité, veille stratégique…) doit faire l’objet d’un accord contractuel explicite avec l’utilisateur, incluant des clauses précises sur l’usage et les garanties de protection des données.
Ces contrats doivent suivre une structure stricte et intégrer des clauses obligatoires. Les accords clients existants devront être mis à jour :

avant le 12 septembre 2025 pour les nouveaux contrats ;

avant le 12 septembre 2027 pour les contrats conclus avant cette date et (i) à durée indéterminée, ou (ii) expirant après le 11 janvier 2034.

3. Organiser le droit des utilisateurs à partager leurs données avec des tiers

Le partage de données produit avec des tiers n’est autorisé que s’il existe un contrat entre l’utilisateur et le tiers, en plus du contrat entre l’utilisateur et votre entreprise.
Ces contrats doivent respecter une structure définie et inclure certaines clauses obligatoires. Il faudra conclure des accords clairs entre votre entreprise, les utilisateurs et les tiers concernés.

4. Encadrer l’utilisation des données à des fins propres

Ces contrats doivent être revus et mis à jour, afin de vérifier la conformité des clauses liées à l’accès ou au partage des données avec les exigences du Data Act.

Quelles transformations pour les fournisseurs de services cloud ? 

Le Data Act ne concerne pas uniquement les fabricants d’objets connectés, les fournisseurs de services cloud sont également en première ligne. Le règlement impose de nouvelles obligations en matière de portabilité des données, de transparence contractuelle et de limitation des barrières au changement de prestataire.

Si vous proposez des services d’hébergement ou de traitement de données en cloud, vous devez dès à présent anticiper les adaptations à venir.

Proposez-vous des services de cloud ? Cela inclut tous les services permettant aux clients de stocker leurs données sur des serveurs cloud. Sont concernés non seulement les fournisseurs d’infrastructure cloud, mais aussi tout prestataire proposant un service autour de l’hébergement de données, même si l’infrastructure sous-jacente est opérée par un tiers.

Qui sont vos clients ? Si vous proposez vos services à des clients situés dans l’Union européenne, le Data Act s’applique, quel que soit leur statut (consommateurs BtoC ou entreprises BtoB).

Parmi les actions à mettre en place :

Supprimer tous les obstacles techniques ou contractuels qui empêcheraient ou dissuaderaient un client de changer de fournisseur ou de solution.

Les contrats clients doivent inclure des dispositions précises sur la migration : droits de résiliation, modalités de transfert, délais, responsabilités.

Les données clients doivent être conservées dans un format facilement transférable.

Enfin, à compter du 12 janvier 2027, il sera interdit de facturer des frais pour une migration vers un autre fournisseur ou une solution locale. D’ici là, les frais ne doivent pas dépasser les coûts internes réels supportés par votre entreprise pour cette opération.

Le Data Act impose des défis importants mais également des opportunités pour les entreprises qui sauront anticiper et s’adapter aux nouvelles exigences. La préparation des contrats, l’accessibilité des données et la facilitation de la migration des services doivent être des priorités dès maintenant pour éviter les risques juridiques et garantir la conformité d’ici septembre 2025.