À Paris, la tribune signée par Claude-Etienne Armingaud, avocat associé chez Latournerie Wolfrom Avocats, sonne comme un rappel à l’ordre pour les directions juridiques et DSI : l’EU Data Act devient rapidement une obligation d’exécution. S’adapter vite ou encaisser des risques juridiques et concurrentiels : l’heure n’est plus au débat mais à la mise en œuvre.

EU Data Act : calendrier d’application et portée en France

Calendrier et périmètre réglementaire

Le Data Act est entré en vigueur le 11 janvier 2024. Ses dispositions phares deviennent applicables à compter du 12 septembre 2025. Ce calendrier impose une accélération des travaux internes pour les entreprises françaises exposées : fabricants d’objets connectés, éditeurs de logiciels, opérateurs de services cloud, plateformes et intégrateurs.

Concrètement, les obligations d’accès aux données issues des produits connectés, de portabilité et d’interopérabilité devront être opérationnelles dès septembre 2025. Les directions IT et produits doivent figer leurs spécifications d’API et de formats d’export dès maintenant, afin d’éviter une conformité de façade qui exploserait en production.

Champ extraterritorial et secteurs visés

Le règlement a une portée extraterritoriale : toute entreprise, européenne ou non, qui commercialise des produits ou services ciblant le marché de l’UE est concernée. Sont notamment visés :

  • Les fabricants d’IoT industriels et grand public (capteurs, machines, équipements intelligents).
  • Les fournisseurs de services cloud et SaaS, quel que soit leur modèle de service.
  • Les opérateurs de maintenance, d’analyse ou d’optimisation s’appuyant sur des données de performance.

Le Data Act couvre toutes les données, personnelles ou non. S’agissant des données personnelles, il vient compléter le RGPD sans s’y substituer. Les entreprises doivent donc articuler les deux corpus : gouvernance de la vie privée d’un côté, gouvernance des data rights de l’autre.

Relèvent du Data Act les données générées par l’usage d’un produit ou d’un service associé : logs de capteurs, métriques de performance, historiques d’entretien, paramètres de configuration, données télémétriques, etc. Les données dérivées ou inférées peuvent aussi être concernées selon les circonstances, sous réserve de la protection des secrets d’affaires et de la sécurité.

Utilisateurs de produits connectés : un droit d’accès et de portabilité opérationnel

Accès direct, accès indirect : ce qui change

Le Data Act consacre un droit pour l’utilisateur d’accéder aux données générées par son appareil connecté. Accès direct par l’interface du produit quand c’est techniquement possible, ou accès indirect via un canal alternatif si un affichage immédiat n’est pas réalisable.

Au-delà de l’accès, la portabilité devient structurante : l’utilisateur peut demander la transmission de ses données à un tiers dans un format ouvert et interopérable, accompagné d’une documentation adéquate. Les motifs de refus sont strictement encadrés et doivent être justifiés et proportionnés : sécurité, confidentialité, protection des secrets d’affaires.

Portabilité et formats ouverts : exigences techniques

Pour rendre ces droits effectifs, les entreprises doivent :

  • Cartographier les données générées par leurs produits et services, et qualifier les jeux exportables.
  • Définir des formats d’export et documenter des API stables permettant l’accès et la transmission.
  • Tenir un registre des demandes, avec traçabilité des réponses, délais et motifs de restriction éventuels.
  • Adapter manuels et conditions générales afin d’expliciter les droits d’accès et de portabilité.

L’impact n’est pas marginal : la Commission européenne estimait que plus de 80 millions de produits connectés circuleraient dans l’UE d’ici 2025 (Commission européenne, 2024). L’industrialisation des flux d’accès et de portabilité devient donc une exigence de coût et de réputation.

Droits d’accès et de portabilité : checklist d’implémentation côté fabricant

Pour éviter les angles morts, ciblez ces livrables prioritaires :

  1. Catalogue des jeux de données par modèle de produit et par version logicielle.
  2. Référentiel de formats ouverts et protocole d’export documenté.
  3. Portail d’exercice des droits, incluant la délégation à un tiers de confiance.
  4. Processus de revue des refus avec validation sécurité et juridique.
  5. Mentions contractuelles et notices produits alignées sur le dispositif.

Contrats B2B : clauses interdites et redéfinition des responsabilités

Clauses réputées abusives : lignes rouges

Le Data Act s’attaque aux déséquilibres dans les relations entre professionnels. Certaines clauses unilatérales sont présumées abusives dans les contrats B2B, notamment celles qui :

  • Restreignent l’accès aux données sans justification objective.
  • Imposent des verrouillages techniques ou juridiques injustifiés.
  • Prévoient des limitations de responsabilité manifestement disproportionnées.

Les contrats doivent désormais clarifier précisément les flux de données, les usages autorisés, les formats, les délais de mise à disposition et les contrôles d’accès. L’information précontractuelle est renforcée pour permettre un choix éclairé des partenaires, dans l’esprit de transparence déjà connu en matière de protection des données.

Mise en conformité contractuelle : jalons 2025-2027

Les nouveaux contrats doivent être conformes à partir du 12 septembre 2025. Les contrats existants bénéficient d’une période d’adaptation courant jusqu’en 2027. Attention au risque de nullité des clauses non conformes : il ne s’agit pas d’une simple recommandation, mais d’un risque juridique opérationnel pour les ventes et la relation client.

Les directions juridiques ont intérêt à déployer un plan par vagues : prioriser les contrats cadres, puis les annexes techniques et conditions générales, et enfin les contrats locaux et historiques. La renégociation ne doit pas se limiter à l’énoncé des droits : il faut aussi synchroniser les annexes techniques pour éviter les contradictions entre l’accord commercial et la réalité d’intégration.

Contrats B2B : points d’attention pour les directions juridiques

Éléments à sécuriser dans les prochaines semaines :

  • Clauses de réversibilité et d’export des données, avec SLA et pénalités si non-exécution.
  • Règles de confidentialité et protection des secrets d’affaires lors des transferts.
  • Politiques d’audit des accès et journalisation des demandes de portabilité.
  • Mécanisme de résolution des litiges et voies de recours en cas de refus de transfert.

Cloud et SaaS : portabilité renforcée et fin des frais de sortie

Switching cloud : obligations de réversibilité

Le Data Act impose un droit à la portabilité pour les clients de services cloud et SaaS. Objectif : réduire le verrouillage fournisseur et favoriser la concurrence. Les obligations portent sur :

  • La mise en place de formats d’export ouverts et interopérables.
  • La suppression des obstacles techniques et contractuels lors d’un changement de prestataire.
  • La limitation des frais de sortie jugés excessifs.

La fluidification des migrations est décisive pour les stratégies d’IA et de données. Les règles s’appliquent pleinement à compter de septembre 2025, avec pour horizon la normalisation des processus de bascule d’un acteur à l’autre, dans la logique de réversibilité déjà prônée par les bonnes pratiques de la commande numérique.

Accès par des autorités hors UE : garanties

Le Data Act renforce les garde-fous face aux demandes d’accès émanant d’autorités situées hors de l’UE. Les fournisseurs doivent exiger des garanties équivalentes de protection lorsqu’une transmission est sollicitée. Ce blocage par défaut, sauf garanties, répond à une attente forte des donneurs d’ordre européens qui internalisent désormais le facteur de souveraineté numérique dans leurs clauses de cloud et d’infogérance.

Selon des projections portées par la Commission européenne, la dynamique de partage et de portabilité pourrait générer jusqu’à 270 milliards d’euros de valeur ajoutée pour l’économie numérique européenne d’ici 2028. La captation de cette valeur suppose toutefois un effort d’ingénierie de données et de migration qui ne peut pas être improvisé.

Préparez des « playbooks » de réversibilité détaillant : inventaire des données et métadonnées, format cible par composant, mapping des identités et droits, séquences de transfert et de validation, points de reprise applicative, critères de recette et de bascule finale. La cohérence documentaire entre contrat, annexes techniques et plan de migration est indispensable.

Accès B2G en cas d’urgence : cadre et gouvernance interne

Besoin exceptionnel : critères et limites

Le règlement prévoit un mécanisme d’accès aux données privées par les autorités publiques en cas de besoin exceptionnel, par exemple lors d’une urgence sanitaire ou d’une catastrophe. Les demandes doivent rester proportionnées, justifiées et traçables. Les secrets d’affaires et la sécurité demeurent protégés : l’État n’acquiert pas un droit général d’aspiration des données.

L’architecture de ce dispositif s’inspire des enseignements post-pandémiques, avec une vigilance accrue sur la minimisation des données et la documentation des échanges. Des contrôles juridictionnels et administratifs peuvent s’appliquer en cas d’abus ou de disproportion.

Plan de réponse entreprise : organisation et traçabilité

Les entreprises doivent structurer un plan de réponse B2G : désigner des responsables, standardiser les processus de réception, d’évaluation et de traitement des demandes, et tenir des registres de divulgation. Un tel plan évite les improvisations dans l’urgence, facteur de non-conformité autant que de sur-exposition médiatique.

Le ministère de la Santé souligne l’articulation avec l’Espace européen des données de santé, entré en vigueur le 26 mars 2025. Les opérateurs exposés aux données de santé doivent s’attendre à une coordination plus fine entre exigences sectorielles et principes transverses du Data Act.

Lien avec l’Espace européen des données de santé

L’Espace européen des données de santé structure des usages secondaires et transfrontières des données de santé. Les organisations opérant des dispositifs médicaux connectés doivent aligner : gouvernance de la donnée, traçabilité des accès, documentation des finalités, et processus de minimisation. La cohérence entre référentiels sectoriels et Data Act devient une exigence d’audit.

Sanctions, risques économiques et feuille de route d’exécution

Exposition financière : au-delà des amendes

Les sanctions administratives seront fixées par les autorités compétentes nationales, sur la base du chiffre d’affaires. Le risque le plus immédiat tient à la nullité automatique des clauses non conformes, aux injonctions de mise en conformité et aux actions judiciaires par les utilisateurs ou des concurrents. Les associations de consommateurs pourraient aussi engager des actions collectives.

Un chiffrage récent évoque un risque de perte de 1 à 5 % du chiffre d’affaires annuel en cas de violation et de gestion de crise associée, selon la nature des manquements et leur durée (Lexology, octobre 2025). Les coûts ne se limitent pas aux amendes : arrêt de projets, contentieux, remises commerciales, migrations précipitées.

Plan d’action priorisé pour 2025

Pour transformer l’obligation en avantage concurrentiel, une feuille de route réaliste s’impose :

  • Audit des données et contrats : cartographie des données par produit, inventaire des API, revue des clauses d’accès et de portabilité.
  • Outillage : exposer des API documentées, définir les formats d’export, renforcer l’observabilité et les journaux d’accès.
  • Acculturation interne : former les équipes produit, juridique et commerciale pour fluidifier les réponses aux demandes et éviter les refus irréguliers.
  • Gouvernance : créer un comité Data Act transverse pour arbitrer sécurité, secrets d’affaires, délais de réponse et priorités techniques.
  • Contrats types : intégrer rapidement les modèles contractuels qui seront publiés par la Commission européenne.

En France, la CNIL et l’ANSSI encouragent une mise en œuvre progressive, avec des lignes directrices publiées en septembre 2025. Le point clé : sécuriser la cohérence entre documentation juridique, notices produits et architecture technique.

Initiez la cartographie par produit et par service associé : identifiez les flux générés au runtime, séparez données brutes et dérivées, qualifiez la sensibilité (secret d’affaires, sécurité), associez chaque jeu à une API d’export. Documentez les limites de bande passante et les contraintes de latence, afin d’anticiper les engagements de service lors des transferts tiers.

Compétitivité et souveraineté : cap à tenir pour les entreprises françaises

Le Data Act participe d’une stratégie européenne qui fait de la donnée un actif industriel. Pour les entreprises françaises, il s’agit d’ajuster les chaînes IoT, l’interopérabilité logicielle et la gouvernance contractuelle pour extraire de la valeur plutôt que subir la conformité.

Les analyses prospectives soulignent un marché européen des données susceptible d’atteindre 829 milliards d’euros d’ici 2028, tandis que le programme Digital Europe mobilise 7,5 milliards d’euros sur 2021-2027. L’Hexagone, fort de plus de 10 000 startups tech en 2024, a une carte à jouer en privilégiant la portabilité, des standards ouverts et des partenariats sectoriels.

Au-delà des chiffres, l’enjeu est d’organiser des communs numériques sectoriels qui fluidifient l’innovation et les transferts de données, avec un bénéfice attendu sur l’intensité d’innovation dans les filières connectées. La posture gagnante : transformer la conformité en proposition de valeur client, et inscrire la réversibilité comme argument commercial autant que comme assurance de souveraineté.

Les entreprises qui anticipent aujourd’hui lisseront demain les coûts de mise en conformité et capteront les flux d’opportunités que la portabilité rend enfin accessibles.