Avec l’entrée en vigueur du Data Act le 11 janvier 2024 et son application prévue pour septembre 2025, l’Union européenne franchit une nouvelle étape vers la création d’un marché unique de la donnée. Cette régulation ambitieuse s’inscrit dans la stratégie européenne pour la donnée, lancée en 2020, dont l’objectif est de libérer le potentiel de la donnée tout en garantissant un cadre éthique, équitable et sécurisé.
Jusqu’à présent, c’est le Règlement général sur la protection des données (RGPD) qui a constitué la pierre angulaire du droit numérique européen, assurant la protection des données personnelles et les droits fondamentaux des citoyens. Mais face à l’explosion des objets connectés, à la multiplication des données générées dans les secteurs industriels, agricoles ou urbains, et à la nécessité croissante de partage dans l’intérêt public, un nouvel équilibre s’impose.
Le Data Act se veut donc complémentaire, non concurrent. Là où le RGPD protège l’individu, le Data Act cherche à organiser l’accès, la circulation et la réutilisation des données — personnelles ou non — dans des conditions claires, équitables et favorables à l’innovation.
Le Data Act, ou règlement sur des règles harmonisées en matière d’accès équitable aux données, vise à redistribuer plus équitablement la valeur issue de la donnée. Trop souvent, cette valeur reste captée par une poignée d’acteurs dominants — fabricants de produits connectés, géants du cloud, ou détenteurs de plateformes — au détriment des utilisateurs, des petites entreprises ou même des pouvoirs publics.
Désormais, tout produit ou service connecté vendu dans l’Union devra être conçu pour permettre aux utilisateurs — qu’il s’agisse d’un agriculteur, d’un propriétaire de bâtiment ou d’un gestionnaire de flotte — d’accéder aux données qu’ils génèrent par l’usage de ces équipements. Mieux encore : ils pourront choisir de partager ces données avec le prestataire de leur choix, ouvrant la voie à une véritable concurrence dans les services après-vente, la maintenance ou l’optimisation industrielle.
Cet accès renforcé à la donnée s’applique également aux administrations. En cas de crise ou de nécessité d’intérêt public — comme une catastrophe naturelle ou une urgence sanitaire —, les autorités pourront obtenir certaines données privées, dans des conditions strictes de proportionnalité et de compensation.
Un des défis majeurs de cette nouvelle régulation réside dans son articulation avec le RGPD. La donnée étant au cœur de ces deux textes, leur interaction doit être maîtrisée pour éviter toute insécurité juridique.
La frontière entre données personnelles et non personnelles est de plus en plus floue. Une donnée issue d’un capteur peut, selon le contexte, révéler l’identité d’un individu, ses habitudes ou sa localisation. Le RGPD continue de s’appliquer intégralement dès lors qu’une information est susceptible d’identifier une personne physique, et cela même si l’accès est permis par le Data Act.
Le nouveau règlement n’a donc pas vocation à affaiblir les droits conférés par le RGPD, mais à les compléter dans un environnement numérique élargi. Par exemple, le droit à la portabilité, déjà prévu par l’article 20 du RGPD, se voit élargi et renforcé dans le Data Act. Il ne se limite plus aux seules données personnelles obtenues avec consentement : il couvre aussi les données générées par l’utilisation d’un objet, qu’elles soient personnelles ou techniques.
Les entreprises devront donc mettre en place des processus hybrides, capables de respecter simultanément les deux cadres réglementaires. Un partage de données facilité ne signifie pas un affranchissement des obligations de sécurité, de finalité ou de transparence.
L’effet du Data Act se fera sentir dans tous les secteurs. Les fabricants d’équipements connectés devront revoir en profondeur la conception de leurs produits. Ces derniers devront intégrer, dès leur développement, des interfaces d’accès sécurisé aux données, accessibles à l’utilisateur final ou à un tiers autorisé. La logique du « data by design » devient une exigence technique autant que juridique.
Les fournisseurs de services cloud devront garantir une portabilité effective des services, sans frais de transfert abusifs ni dépendances techniques.
Les entreprises utilisatrices, quant à elles, gagnent en autonomie. Elles pourront mieux exploiter les données issues de leur propre activité, y compris lorsqu’elles étaient jusqu’ici conservées par des prestataires ou fabricants. Cette nouvelle liberté s’accompagne toutefois de nouvelles responsabilités, notamment en matière de conformité RGPD lorsqu’une donnée générée est réutilisée à des fins de profilage, de suivi ou de personnalisation.
Enfin, les administrations publiques pourront s’appuyer sur un accès encadré aux données privées pour piloter les politiques publiques, gérer les crises ou soutenir la recherche. Ce partage ne sera pas gratuit, mais devra être raisonnable et proportionné à l’usage envisagé.
Le Data Act ne se limite pas à un encadrement juridique. Il constitue un véritable levier d’innovation économique. Dans l’industrie, l’accès aux données issues des machines ou capteurs permettra d’optimiser la maintenance, de réduire les coûts énergétiques ou de fluidifier les chaînes logistiques. En agriculture, il ouvre la voie à une exploitation fine des données météo, des sols ou des rendements, favorisant l’agriculture de précision.
Pour les consommateurs, le Data Act pourrait signifier des services de réparation moins coûteux, une meilleure transparence sur les performances des appareils, voire une prolongation de la durée de vie des équipements.
Le texte intègre aussi une clarification bienvenue sur le droit sui generis sur les bases de données, en limitant les abus liés à la protection excessive de bases dérivées de l’Internet des objets.
À l’horizon 2025, les organisations devront repenser leurs pratiques en matière de données. Cela implique un audit des systèmes connectés, une refonte des contrats avec les utilisateurs, une attention particulière aux clauses de partage de données, et surtout une collaboration renforcée entre juristes, informaticiens et responsables métiers.
La Commission européenne prépare d’ailleurs des clauses contractuelles types et de nouvelles normes techniques d’interopérabilité pour garantir la portabilité effective.
La gouvernance des données devra évoluer pour ne plus seulement protéger (RGPD), mais valoriser de manière responsable (Data Act).
Le Data Act ne marque pas une rupture, mais une évolution nécessaire. Il prolonge le RGPD dans une logique plus économique, sans en trahir les principes fondamentaux. Ensemble, ces deux textes forment le socle d’un numérique européen fondé sur la confiance, l’équité et la transparence.
L’enjeu est double : garantir les droits des utilisateurs tout en permettant aux entreprises européennes d’accéder aux ressources nécessaires pour innover.
Les équipes de DPO Consulting et de son pôle IA & Innovations sont à votre écoute pour vous proposer un accompagnement sur mesure de vos besoins particuliers.
N’hésitez pas à nous contacter : Prendre RDV avec un expert
Par Christophe Drot, Directeur général de DPO Consulting