Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 1er mai 2026 9 min de lecture

EU Data Act : obligations concrètes pour les entreprises françaises depuis septembre 2025

Le règlement européen sur les données (EU Data Act) est applicable depuis le 12 septembre 2025 dans toute l'Union européenne. Moins médiatisé que le RGPD ou l'EU AI Act, il impose des obligations nouvelles aux fabricants de produits connectés, aux fournisseurs de services liés, aux plateformes cloud et aux utilisateurs de données générées par des objets IoT. Ce guide couvre les obligations concrètes selon le profil de votre entreprise.

Ce qu'il faut retenir

  • Le Data Act impose aux fabricants de produits connectés de donner accès aux données générées aux utilisateurs et aux tiers autorisés
  • Les fournisseurs de services cloud doivent faciliter le changement de prestataire (portabilité) et limiter les frais de sortie
  • Le partage de données B2G (entreprise vers administrations publiques) devient obligatoire dans certains cas d'intérêt public
  • Le Data Act et le RGPD coexistent — le Data Act couvre les données non personnelles, le RGPD les données personnelles

EU Data Act en chiffres

3 500 Md€ Valeur estimée de l'économie européenne des données d'ici 2030 (Commission européenne)
32 milliards Objets connectés IoT attendus dans l'UE d'ici 2030 — tous potentiellement concernés par le Data Act
20 M€ ou 4 % Sanction maximale prévue : 20 millions d'euros ou 4 % du CA mondial en cas de non-conformité grave
12 mois Durée maximale d'un accord B2G d'urgence — renouvelable sous conditions strictes de nécessité et proportionnalité

Qu'est-ce que le Data Act ?

Le règlement (UE) 2023/2854, dit "Data Act", est le pendant du RGPD pour les données non personnelles. Son objectif : rééquilibrer l'accès aux données au profit des utilisateurs, favoriser l'économie des données en Europe, et réduire les dépendances aux grandes plateformes. Entré en vigueur le 11 janvier 2024 et applicable depuis le 12 septembre 2025, il constitue l'un des piliers du cadre réglementaire numérique européen.

Le Data Act s'inscrit dans une stratégie européenne plus large — la souveraineté numérique — visant à reprendre le contrôle sur les flux de données face aux grandes plateformes américaines et asiatiques. Il complète d'autres textes structurants : le RGPD pour les données personnelles, le Data Governance Act pour la gouvernance des espaces de données, et l'EU AI Act pour les systèmes d'intelligence artificielle.

Il s'articule autour de quatre grands chapitres :

  • Accès aux données IoT : les utilisateurs de produits connectés ont le droit d'accéder aux données générées par leur usage du produit
  • Partage B2B : les entreprises peuvent partager des données avec des tiers dans des conditions équitables, sans clauses abusives
  • Partage B2G : dans des situations d'urgence ou d'intérêt public, les autorités peuvent exiger des données des entreprises
  • Portabilité cloud : les fournisseurs cloud doivent faciliter le changement de prestataire et supprimer les frais de sortie

Pour les DSI et les juristes d'entreprise, le Data Act représente à la fois une contrainte (nouvelles obligations de partage, révision des contrats) et une opportunité : il rééquilibre le rapport de force avec les prestataires cloud et donne aux entreprises utilisatrices de produits connectés un droit d'accès inédit à leurs propres données opérationnelles.

Qui est concerné ?

Le champ d'application du Data Act est volontairement large. Il touche l'ensemble de la chaîne de valeur des données générées par les objets connectés et les services numériques distribués sur le marché européen, quel que soit le pays d'établissement de l'entreprise.

Le Data Act s'applique à plusieurs catégories d'acteurs :

  • Fabricants de produits connectés (IoT) mis sur le marché européen : machines industrielles, véhicules connectés, appareils électroménagers intelligents, équipements de santé connectés, bâtiments intelligents, capteurs agricoles, wearables
  • Fournisseurs de services liés aux produits connectés : maintenance prédictive, monitoring à distance, applications compagnon, plateformes de gestion de flotte
  • Fournisseurs de services de traitement de données (cloud, edge, SaaS) : portabilité et interopérabilité imposées
  • Organisations recevant des données dans le cadre d'accords B2B — elles doivent respecter les conditions d'équité et de transparence
  • Autorités publiques dans le cadre des mécanismes B2G d'urgence

Les PME de moins de 50 salariés et 10 M€ de chiffre d'affaires sont exemptées de certaines obligations, notamment l'obligation de partage de données avec des tiers dans le cadre du B2B. Cette exemption ne s'applique pas, en revanche, si la PME est rachetée par ou associée à une grande entreprise dans le but explicite de contourner ces obligations — une clause anti-abus prévue par le règlement.

Les entreprises extra-européennes ne sont pas exemptes : dès lors qu'elles mettent des produits connectés ou des services numériques à disposition d'utilisateurs dans l'UE, elles tombent dans le champ d'application du Data Act. L'approche est similaire à celle du RGPD ou du NIS 2 : la localisation du marché prime sur la localisation du siège social.

Droits des utilisateurs de produits connectés

C'est le cœur du Data Act pour l'industrie : les utilisateurs (entreprises ou particuliers) de produits connectés ont désormais le droit d'accéder aux données générées par leur usage du produit en temps réel et dans un format structuré. Ce droit s'exerce directement ou par l'intermédiaire d'un tiers désigné par l'utilisateur.

Exemple concret : une entreprise industrielle qui utilise une machine connectée achetée chez un équipementier a le droit d'accéder à toutes les données de télémétrie générées par cette machine — même si l'équipementier les collectait jusqu'ici exclusivement pour son propre compte pour alimenter ses services de maintenance prédictive. Cette donnée opérationnelle appartient fonctionnellement à l'utilisateur, pas au fabricant.

Autre exemple : un agriculteur utilisant un tracteur connecté peut exiger d'accéder aux données agronomiques collectées par le véhicule (vitesse, consommation, géolocalisation des opérations culturales) pour les partager avec sa coopérative ou un prestataire de conseil agronomique.

Les obligations des fabricants :

  • Concevoir les produits avec un accès facile aux données dès la conception (data by design) — obligation qui impacte directement les cycles de R&D
  • Fournir les données dans un format structuré, couramment utilisé, lisible par machine — l'interopérabilité devient une exigence de conformité
  • Ne pas utiliser les données de l'utilisateur pour développer des produits concurrents sans accord explicite — fin de certaines pratiques de reverse engineering économique
  • Permettre à l'utilisateur d'autoriser des tiers à accéder à ces données dans les mêmes conditions
  • Informer clairement les utilisateurs, avant l'achat, des types de données collectées et de la manière d'y accéder

Pour les DSI d'entreprises utilisatrices de produits connectés, le Data Act est une opportunité concrète : vous pouvez désormais exiger contractuellement (et légalement) l'accès aux données de vos équipements industriels, bâtiments intelligents ou flottes de véhicules, et les intégrer dans vos propres systèmes d'analyse ou de pilotage.

Partage de données B2B : les nouvelles règles

Le Data Act encadre les contrats de partage de données entre entreprises pour éviter les clauses abusives qui ont longtemps défavorisé les petits acteurs face aux plateformes dominantes :

  • Les termes et conditions de partage de données doivent être équitables, raisonnables et non discriminatoires (principe FRAND, inspiré du droit des brevets)
  • La compensation pour le partage de données doit être raisonnable — les grandes entreprises ne peuvent pas imposer des termes déséquilibrés aux PME
  • Certaines clauses sont explicitement interdites : interdiction totale d'utiliser les données partagées, responsabilité illimitée du fournisseur en cas d'inexactitudes dans les données, termes unilatéralement modifiables sans préavis
  • La Commission européenne peut développer des contrats types pour faciliter le partage équitable — une base contractuelle standardisée attendue courant 2026
  • Les secrets commerciaux sont protégés : le Data Act prévoit des mécanismes pour éviter la divulgation de données sensibles d'entreprise dans le cadre d'un partage

Pour les équipes juridiques, la revue des contrats existants de partage de données est impérative : toute clause contraire aux exigences du Data Act est réputée nulle et non avenue depuis le 12 septembre 2025. Les nouveaux contrats intégrant du partage de données IoT ou de données machine doivent impérativement être rédigés dans le cadre de ce règlement.

Partage de données B2G : quand les autorités peuvent exiger vos données

Le Data Act crée un mécanisme inédit en droit européen : dans certaines situations d'urgence ou d'intérêt public exceptionnel, les autorités publiques peuvent exiger des entreprises privées qu'elles partagent des données, même non personnelles, sans accord préalable de leur part.

Ce mécanisme s'inspire des réquisitions administratives en cas de crise, mais s'applique au domaine des données. Il a vocation à pallier la carence d'informations des pouvoirs publics face à des situations où les entreprises privées détiennent des données critiques — comme les données de mobilité lors d'une pandémie, ou les données de consommation d'énergie lors d'une crise d'approvisionnement.

Les cas légitimant une demande B2G :

  • Situations d'urgence publique avérée (catastrophe naturelle, pandémie, crise sécuritaire majeure)
  • Prévention d'une urgence publique imminente et raisonnablement prévisible
  • Missions d'intérêt général spécifiquement définies par la loi, non couvertes par d'autres mécanismes d'accès aux données

Les garanties pour les entreprises sont substantielles : la demande doit être nécessaire et proportionnée à l'objectif poursuivi, les données confidentielles bénéficient d'un traitement protégé, une compensation financière peut être réclamée pour les coûts engagés, la durée est limitée (12 mois renouvelables), et les données ne peuvent pas être utilisées à des fins commerciales par les autorités. Une entreprise peut refuser si la communication mettrait en péril ses secrets commerciaux sans protection adéquate.

Pour les entreprises disposant de données stratégiques (opérateurs télécoms, énergéticiens, grandes plateformes logistiques), il est conseillé de cartographier dès maintenant les données susceptibles de faire l'objet d'une telle demande et de préparer des procédures de réponse.

Obligations pour les fournisseurs de services cloud

Le chapitre le plus impactant pour les DSI concerne les fournisseurs cloud. Le Data Act impose un rééquilibrage structurel du marché cloud en Europe, en s'attaquant directement aux pratiques de verrouillage propriétaire (vendor lock-in) qui ont longtemps contraint les entreprises à rester captives de leurs prestataires. Ce sujet est directement lié aux enjeux de souveraineté numérique et fait écho aux risques posés par le Cloud Act américain sur les données hébergées auprès de fournisseurs US.

Le Data Act impose aux fournisseurs cloud :

  • Portabilité facilitée : les fournisseurs cloud doivent offrir des outils techniques permettant de migrer l'ensemble des données et des configurations applicatives vers un autre prestataire, dans des formats ouverts et documentés
  • Frais de sortie progressivement supprimés : les frais de transfert de données lors d'un changement de prestataire ont été réduits dès septembre 2025 et seront totalement interdits à partir de septembre 2027
  • Interopérabilité normée : les fournisseurs doivent respecter des normes d'interopérabilité développées par des organismes européens de normalisation (ETSI, CEN/CENELEC), permettant une migration sans perte fonctionnelle majeure
  • Délai de migration raisonnable : délai de 30 jours ouvrables maximum pour la migration complète des données vers un nouveau prestataire, contre des délais souvent inacceptables dans les contrats actuels
  • Transparence contractuelle : les contrats cloud doivent mentionner explicitement les procédures de portabilité, les formats supportés, et les délais garantis

Pour les entreprises clientes : le Data Act renforce structurellement votre pouvoir de négociation face aux grands hyperscalers. Désormais, la menace crédible de changer de fournisseur cloud est un levier contractuel réel. Les DSI ont tout intérêt à initier dès maintenant des audits de portabilité — même sans intention de migrer — pour documenter la conformité de leurs prestataires actuels et renforcer leur position lors des renouvellements de contrats.

Obligations EU Data Act par catégorie d'acteur
Obligation PME (< 50 salariés / 10 M€ CA) Grande entreprise fabricante IoT Fournisseur cloud / SaaS
Accès utilisateur aux données produit (temps réel) Exemptée (sauf si liée à un grand groupe) Obligatoire — dès la mise sur le marché UE Non applicable directement
Partage B2B avec des tiers désignés par l'utilisateur Exemptée de l'obligation active Obligatoire — conditions FRAND Selon accord contractuel
Réponse aux demandes B2G d'urgence Potentiellement concernée selon le secteur Potentiellement obligatoire — selon secteur et données détenues Potentiellement obligatoire — si données critiques hébergées
Portabilité des données clients Non applicable en tant que fournisseur Non applicable directement Obligatoire — outils de migration, formats ouverts
Suppression des frais de sortie cloud Non applicable en tant que fournisseur Non applicable directement Obligatoire — frais réduits dès 09/2025, supprimés en 09/2027
Interopérabilité normée Non applicable en tant que fournisseur Recommandée pour les interfaces de données Obligatoire — normes ETSI/CEN à respecter
Sanctions maximales Proportionnées au CA — plafond adapté Jusqu'à 20 M€ ou 4 % du CA mondial Jusqu'à 20 M€ ou 4 % du CA mondial

Articulation Data Act et RGPD

Le Data Act et le RGPD coexistent et se complètent dans un cadre qui peut sembler complexe mais répond à une logique claire de stratification réglementaire. La règle de base :

  • RGPD : s'applique aux données personnelles (toute information permettant d'identifier directement ou indirectement une personne physique)
  • Data Act : s'applique aux données générées par des produits connectés ou des services numériques, qui peuvent être personnelles ou non personnelles
  • Quand les données sont personnelles, les deux règlements s'appliquent simultanément — le Data Act ne peut pas créer une base légale de traitement autonome contournant le RGPD
  • Le Data Act ne peut pas être utilisé pour contourner le RGPD : si un partage de données B2G implique des données personnelles (ex. données de mobilité individualisées), les obligations RGPD s'appliquent toujours — anonymisation préalable requise

La Commission européenne a précisé que les DPO devront jouer un rôle central dans la mise en conformité Data Act, notamment pour identifier les jeux de données mixtes (personnelles + non personnelles) et définir les procédures de traitement adaptées. Une cartographie des données intégrant la distinction Data Act / RGPD est fortement recommandée.

Pour les entreprises développant des systèmes d'IA à partir de données IoT, l'articulation devient triple : RGPD, Data Act, et EU AI Act. Une gouvernance unifiée de la donnée, couvrant les trois règlements, est désormais indispensable pour les organisations actives dans l'industrie connectée ou les services numériques.

Questions fréquentes — EU Data Act

Mon entreprise est-elle concernée par l'EU Data Act ?

Votre entreprise est concernée si elle remplit l'un des critères suivants : vous fabriquez ou importez des produits connectés (IoT) sur le marché européen ; vous proposez des services numériques liés à des produits connectés (maintenance, monitoring, applications) ; vous fournissez des services cloud, edge computing ou SaaS à des clients européens ; vous recevez ou partagez des données dans le cadre de contrats B2B. Les PME de moins de 50 salariés et 10 M€ de CA bénéficient d'exemptions sur certaines obligations de partage actif, mais restent soumises aux droits d'accès des utilisateurs si elles fabriquent des produits connectés. En cas de doute, une analyse de champ d'application par votre équipe juridique ou un conseil spécialisé est recommandée dès maintenant.

Quelles données sont visées par le Data Act ?

Le Data Act vise les données générées par l'utilisation de produits connectés et de services numériques associés : données de télémétrie (capteurs, mesures, états machines), données de performance et d'utilisation, données de localisation des équipements, données de configuration, logs d'activité. Il couvre aussi bien les données personnelles que non personnelles, à condition qu'elles soient générées dans le contexte d'un produit connecté ou service numérique. Les données créées indépendamment par l'entreprise (bases de données clients, données analytiques internes, propriété intellectuelle) ne sont pas visées. Les secrets commerciaux bénéficient d'une protection spécifique : un fabricant peut refuser de partager des données si cela expose des informations confidentielles sur sa technologie, à condition de le démontrer et de proposer des alternatives (agrégation, anonymisation).

Quelles sanctions en cas de non-conformité au Data Act ?

Les sanctions sont calquées sur le modèle RGPD : chaque État membre désigne une autorité compétente (en France, vraisemblablement la CNIL en coordination avec d'autres régulateurs sectoriels) et fixe ses propres barèmes dans les limites fixées par le règlement. Les plafonds européens sont : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les manquements les plus graves (refus d'accès aux données, clauses contractuelles interdites, obstruction aux demandes B2G). Pour les fournisseurs cloud, des sanctions spécifiques peuvent s'appliquer en cas de non-respect des obligations de portabilité. Les autorités peuvent également ordonner la cessation des pratiques non conformes et imposer des mesures correctives. Comme pour le RGPD, la mise en place d'une documentation de conformité (registre des flux de données, contrats révisés, procédures d'accès) est le meilleur bouclier en cas de contrôle.

Comment préparer mon entreprise à l'EU Data Act ?

La mise en conformité Data Act se déroule en quatre phases : (1) Cartographie — identifier tous les produits connectés que vous fabriquez ou utilisez, les données qu'ils génèrent, et les flux de données existants (B2B, B2G, cloud). (2) Audit contractuel — revoir tous les contrats impliquant du partage de données : contrats clients, contrats fournisseurs, contrats cloud. Identifier les clauses potentiellement nulles depuis septembre 2025. (3) Architecture technique — s'assurer que vos produits connectés offrent des mécanismes d'accès aux données conformes (API, formats ouverts, documentation), et que vos systèmes d'information peuvent répondre aux demandes d'accès dans les délais requis. (4) Gouvernance — désigner un référent Data Act (souvent le DPO ou un juriste spécialisé), former les équipes R&D et achats aux nouvelles obligations, et créer des procédures de réponse aux demandes B2G. Un plan de mise en conformité sur 6 à 12 mois est recommandé pour les entreprises fortement exposées.

Architecture de données conforme Data Act, RGPD et EU AI Act

Intelligence Privée conçoit des architectures IA souveraines compatibles avec l'ensemble du cadre réglementaire européen — Data Act, RGPD, NIS 2, EU AI Act.

Évaluer votre conformité →

Continuer la lecture

Conformité & Droit

CNIL et IA : recommandations 2026

La CNIL surveille aussi l'application du Data Act.

8 min