Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
12 septembre 2025 : entrée en application de certaines dispositions du Data Act
Article IT et données personnelles | 12/09/25 | 4 min. | Marc Mossé Léa Margono Charlotte Chen
Le Règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (le « Data Act ») encadre l’accès, le partage et la portabilité des données générées par les produits connectés et services connexes. Il vise à garantir aux utilisateurs un contrôle effectif sur leurs données. Ce texte s’applique à une large diversité d’acteurs : les fabricants de produits connectés, les détenteurs de données (entité qui peut être un fabricant de produits connectés ou une entité fournissant des services connexes), les fournisseurs de services de traitement de données, les utilisateurs (particuliers ou entreprises), les destinataires des données (personne physique ou morale, y compris un tiers, recevant des données d’un détenteur dans un cadre professionnel, sur demande de l’utilisateur ou en vertu d’une obligation légale), et les organismes du secteur public.
Entré en vigueur le 11 janvier 2024, voici les principales dispositions qui s’appliquent dès aujourd’hui :
- Accès aux données générées par les produits connectés
L’obligation de rendre les données générées par les produits connectés et les services connexes accessibles aux utilisateurs de manière aisée, sans frais et dans un format complet, structuré, couramment utilisé et lisible par machine s’applique à compter du 12 septembre 2025 mais uniquement aux produits connectés et aux services connexes qui seront mis sur le marché après le 12 septembre 2026.
- Partage des données avec des tiers
Le Chapitre III du Data Act s’applique après le 12 septembre 2025, en ce qui concerne les obligations de mise à disposition de données par les détenteurs de données au titre du droit de l’Union ou de la législation nationale adoptée conformément au droit de l’Union. En vertu de ces dispositions, les utilisateurs peuvent transmettre leurs données à tout tiers de leur choix. Les fabricants et fournisseurs doivent permettre ce partage sans restriction contractuelle, dans un cadre sécurisé et documenté.
- Encadrement des contrats de partage de données
Le Chapitre IV du Data Act qui concerne les clauses contractuelles abusives relatives à l’accès aux données et à l’utilisation des données entre entreprises (B2B), entrera en application pour tous les contrats conclus après le 12 septembre 2025.
Toutefois, pour les contrats conclus le 12 septembre 2025 ou avant cette date ayant une durée indéterminée ou venant à échéance au moins dix ans à compter du 11 janvier 2024, les dispositions du Chapitre IV seront applicables à partir du 12 septembre 2027.
A cet égard, la Commission a élaboré des clauses contractuelles types non contraignantes concernant l'accès aux données et l'utilisation des données, ainsi que des clauses relatives à la compensation raisonnable et à la protection des secrets d'affaires.
- Portabilité des services cloud
Les fournisseurs de services cloud doivent faciliter la migration des données vers un autre prestataire. Dès aujourd’hui, les obstacles techniques ou contractuels doivent être levés. À partir de 2027, les frais de migration seront interdits.
- Sanctions
Conformément aux dispositions de l’article 40 du Data Act, les Etats Membres doivent informer la Commission, au plus tard le 12 septembre 2025, du régime des sanctions applicables aux violations du Data Act et des mesures prises pour assurer la mise en œuvre de ces sanctions. Néanmoins, concernant les infractions aux obligations relatives (i) au partage des données entre entreprises et consommateurs et entre entreprises, (ii) aux détenteurs de données tenus de mettre des données à disposition, et (iii) à la mise à disposition de données à des organismes du secteur public, à la Commission, à la BCE et à des organes d’ l’Union sur le fondement d’un besoin exceptionnel, l’article 40 du Data Act précise que les autorités nationales de contrôle, telles que la CNIL en France, auront le pouvoir d’infliger des amendes administratives conformément au régime de sanctions prévu à l’article 83 du RGPD (i.e., amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial).