Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Data Act/Data Act
📈Économie des données

Règlement sur les données (Data Act) — Accès équitable aux données et changement de fournisseur cloud

Analyse du 17 avril 20262 sourcesVersion originaleEUR-Lex Original

Nos produits connectés et nos contrats cloud sont-ils conformes au Data Act avant le 12 septembre 2025 — et que risquons-nous si l'accès aux données IoT ou la portabilité cloud ne sont pas en place ?

Tout fabricant de produits connectés vendus dans l'UE doit garantir aux utilisateurs un accès gratuit à leurs données d'utilisation dès le 12 septembre 2025 — les infractions aux chapitres II, III et V exposent à des amendes pouvant atteindre 20 millions d'EUR ou 4 % du chiffre d'affaires mondial via les autorités RGPD [Art. 40 par. 4].

Réponse courte

Le règlement sur les données impose trois obligations structurantes : les fabricants de produits connectés doivent concevoir leurs produits pour que les données d'utilisation soient accessibles par défaut, gratuitement, dans un format structuré et lisible par machine [Art. 3 par. 1]. Les détenteurs de données doivent partager ces données avec des tiers choisis par l'utilisateur, à des conditions équitables, raisonnables et non discriminatoires [Art. 5]. Les fournisseurs de services cloud doivent supprimer tout obstacle au changement de fournisseur et éliminer les frais de changement d'ici le 12 janvier 2027 [Art. 23, Art. 29 par. 1]. Le chapitre IV invalide les clauses contractuelles B2B abusives relatives à l'accès et à l'utilisation des données [Art. 13].

Concernés

Sont concernés : les fabricants de produits connectés mis sur le marché de l'UE (IoT, machines industrielles, véhicules, équipements domestiques) et les fournisseurs de services connexes, quel que soit leur lieu d'établissement [Art. 1 par. 3 point a]. Les fournisseurs de services de traitement de données (IaaS, PaaS, SaaS) proposant leurs services à des clients dans l'UE [Art. 1 par. 3 point e]. Les détenteurs de données qui contrôlent l'accès aux données IoT [Art. 2 point 13]. Les entreprises recevant des données sur demande d'un utilisateur [Art. 1 par. 3 point c]. Les PME bénéficient de protections contre les clauses abusives [Art. 13] mais restent soumises aux obligations en tant que fabricants ou fournisseurs.

Échéance

Application générale : 12 septembre 2025 [Art. 50]. Obligation de conception (Art. 3 par. 1) : s'applique aux produits connectés et services connexes mis sur le marché après le 12 septembre 2026. Chapitre IV (clauses abusives) : s'applique aux contrats conclus après le 12 septembre 2025 et, à partir du 12 septembre 2027, aux contrats antérieurs à durée indéterminée ou expirant au moins dix ans après le 11 janvier 2024. Suppression des frais de changement cloud : 12 janvier 2027 [Art. 29 par. 1].

Risque

Les autorités de contrôle RGPD peuvent imposer des amendes allant jusqu'à 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial pour les infractions aux chapitres II, III et V [Art. 40 par. 4, renvoyant à l'art. 83 par. 5 du règlement (UE) 2016/679]. Pour les autres chapitres, les États membres définissent un régime de sanctions effectives, proportionnées et dissuasives, tenant compte de la nature et de la gravité de l'infraction, des avantages obtenus et du chiffre d'affaires de l'auteur [Art. 40 par. 1, 3]. Les clauses contractuelles B2B abusives sont déclarées non contraignantes de plein droit [Art. 13 par. 1]. Les entités non établies dans l'UE doivent désigner un représentant légal, à défaut de quoi elles relèvent de la compétence de tous les États membres [Art. 37 par. 11, 13].

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-17
  • Version originale

Sources primaires

À faire maintenant

Juridique / DPO

  • Auditer l'ensemble des contrats de partage de données B2B existants pour identifier les clauses potentiellement abusives au sens de l'article 13 : exclusion de responsabilité, restrictions disproportionnées d'utilisation des données, impossibilité de résiliation dans un délai raisonnable [Art. 13 par. 4-5].
  • Établir des conditions générales de mise à disposition des données conformes aux exigences de transparence, d'équité et de non-discrimination, en intégrant les clauses contractuelles types que la Commission doit publier avant le 12 septembre 2025 [Art. 8, Art. 9, Art. 41].
  • Vérifier les obligations de désignation d'un représentant légal dans l'UE pour toute entité non établie proposant des produits connectés ou des services connexes sur le marché européen [Art. 37 par. 11-12].

Conformité

  • Cartographier les flux de données IoT de l'entreprise : identifier les produits connectés concernés, les données générées, les détenteurs de données et les droits d'accès des utilisateurs afin de préparer la conformité au chapitre II avant le 12 septembre 2025 [Art. 3, Art. 4].
  • Mettre en place un processus de traitement des demandes d'accès aux données par les utilisateurs et les tiers, incluant un mécanisme de simple demande permettant l'exécution automatique sans approbation préalable [Art. 4 par. 1, Art. 5].
  • Documenter les mesures de protection des secrets d'affaires appliquées lors du partage de données, y compris les accords de confidentialité et les mesures techniques proportionnées [Art. 4 par. 6, Art. 5 par. 9].

IT / Sécurité

  • Concevoir ou adapter les produits connectés pour que les données d'utilisation soient accessibles par défaut, de manière sécurisée, dans un format structuré, couramment utilisé et lisible par machine, conformément à l'obligation de conception applicable aux produits mis sur le marché après le 12 septembre 2026 [Art. 3 par. 1].
  • Implémenter des interfaces de programmation d'applications (API) documentées et des protocoles d'accès pour permettre le transfert automatisé des données aux utilisateurs et aux tiers autorisés, tout en maintenant un niveau élevé de sécurité [Art. 3 par. 2 point d, Art. 5 par. 4].
  • Préparer l'infrastructure cloud pour la portabilité et le changement de fournisseur : garantir l'export des données et des actifs numériques dans des formats interopérables, avec une période transitoire maximale de 30 jours calendaires [Art. 25 par. 2 point a, Art. 26].

Produit / Ingénierie

  • Intégrer les obligations d'information précontractuelle dans la documentation produit et le parcours d'achat : type, format et volume estimé des données générées, modalités d'accès et durée de conservation [Art. 3 par. 2-3].
  • Évaluer les services connexes liés à chaque produit connecté et s'assurer que les données générées par ces services sont également accessibles à l'utilisateur selon les mêmes conditions [Art. 3 par. 3, Art. 4].
  • Anticiper les exigences d'interopérabilité du chapitre VIII en adoptant des normes et des formats de données ouverts pour les espaces de données sectoriels, y compris les spécifications de contrats intelligents [Art. 33, Art. 36].

Termes clés

Produit connecté
Objet qui obtient, génère ou recueille des données sur son utilisation ou son environnement et peut les communiquer par un réseau de communications électroniques, une connexion physique ou un dispositif d'accès intégré [Art. 2 point 5].
Service connexe
Service numérique connecté au produit au moment de l'achat ou ultérieurement, dont l'absence empêcherait le produit d'exécuter une ou plusieurs de ses fonctions, ou qui ajoute ou adapte ses fonctionnalités [Art. 2 point 6].
Détenteur de données
Personne physique ou morale qui a le droit ou l'obligation de mettre à disposition certaines données, y compris des données personnelles qu'elle a le droit de rendre disponibles en vertu du règlement, d'un contrat ou du droit applicable [Art. 2 point 13].
Destinataire de données
Personne physique ou morale agissant à des fins liées à son activité commerciale, son entreprise, son artisanat ou sa profession, autre que l'utilisateur, à laquelle le détenteur de données met des données à disposition [Art. 2 point 14].
Service de traitement de données
Service numérique fourni à un client permettant un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables et modulables (cloud computing : IaaS, PaaS, SaaS) [Art. 2 point 8].
Données facilement accessibles
Données relatives au produit ou au service connexe qu'un détenteur peut obtenir légalement du produit connecté ou du service connexe, sans effort disproportionné, par les moyens techniques d'accès dont il dispose [considérant 20].
Frais de changement de fournisseur
Frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services de traitement de données à un client pour les actions de changement de fournisseur requises par le règlement [Art. 2 point 32].
?

Questions fréquentes

Quels produits sont couverts par le règlement sur les données ?
Le règlement s'applique aux produits connectés, c'est-à-dire tout objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement et qui peut les communiquer via un service de communications électroniques, une connexion physique ou un dispositif d'accès intégré [Art. 2 point 5]. Cela inclut les machines industrielles, les véhicules, les équipements domestiques, les dispositifs médicaux, les équipements agricoles et tout objet IoT. Les prototypes sont exclus. Les assistants virtuels sont également couverts lorsqu'ils interagissent avec un produit connecté [Art. 1 par. 4].
L'utilisateur a-t-il un droit d'accès gratuit aux données de ses produits connectés ?
Oui. Les produits connectés doivent être conçus de sorte que les données relatives au produit et au service connexe soient accessibles par défaut, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine [Art. 3 par. 1]. Lorsque l'accès direct n'est pas possible, l'utilisateur peut demander au détenteur de données la mise à disposition dans les meilleurs délais et sans frais [Art. 4 par. 1].
Le détenteur de données peut-il refuser de partager des données avec un tiers choisi par l'utilisateur ?
Le détenteur de données doit mettre les données à disposition du tiers désigné par l'utilisateur, sans retard injustifié, gratuitement pour l'utilisateur, dans la même qualité que celle dont le détenteur dispose [Art. 5 par. 1]. Il ne peut refuser que dans des cas limités, notamment pour protéger des secrets d'affaires, à condition de prendre des mesures proportionnées [Art. 4 par. 6, Art. 5 par. 9]. Le tiers ne peut pas utiliser les données pour développer un produit concurrent du produit connecté d'origine [Art. 6 par. 2 point e].
Quelles sont les règles relatives au changement de fournisseur cloud ?
Le chapitre VI impose aux fournisseurs de services de traitement de données (cloud) de supprimer tous les obstacles au changement de fournisseur [Art. 23]. Le contrat doit prévoir une période transitoire maximale de 30 jours calendaires [Art. 25 par. 2 point a]. Les frais de changement doivent être réduits dès le 11 janvier 2024 et intégralement supprimés à compter du 12 janvier 2027 [Art. 29 par. 1-2]. Le fournisseur doit garantir l'interopérabilité et permettre l'export de toutes les données et actifs numériques [Art. 26].
Les clauses contractuelles entre entreprises peuvent-elles être contestées au titre du Data Act ?
Oui. Le chapitre IV déclare non contraignantes les clauses contractuelles relatives à l'accès aux données imposées unilatéralement par une entreprise à une autre si elles sont abusives [Art. 13 par. 1]. Sont abusives de plein droit les clauses excluant la responsabilité en cas d'acte intentionnel, excluant les voies de recours ou donnant un droit exclusif d'interprétation [Art. 13 par. 4]. Sont présumées abusives les clauses empêchant l'utilisation des données fournies, empêchant la résiliation dans un délai raisonnable ou permettant des modifications substantielles unilatérales de prix [Art. 13 par. 5].
Comment le règlement sur les données interagit-il avec le RGPD ?
Le règlement complète le RGPD sans y porter atteinte [Art. 1 par. 5]. En cas de conflit, le droit de la protection des données prévaut. Le règlement ne crée pas de nouvelle base juridique pour le traitement de données personnelles. Les droits du chapitre II complètent les droits d'accès (art. 15 RGPD) et de portabilité (art. 20 RGPD). Les autorités de contrôle RGPD sont compétentes pour sanctionner les infractions aux chapitres II, III et V, jusqu'au plafond de l'article 83 paragraphe 5 du RGPD [Art. 40 par. 4].
Les organismes du secteur public peuvent-ils exiger l'accès aux données d'entreprises privées ?
Oui, mais uniquement en cas de besoin exceptionnel : urgence publique (pandémie, catastrophe naturelle), impossibilité d'obtenir les données autrement, ou nécessité pour l'exécution d'une mission d'intérêt public prévue par la loi [Art. 15]. La demande doit être proportionnée, préciser la finalité et être limitée dans le temps [Art. 17]. En cas d'urgence publique, les données sont fournies gratuitement [Art. 20 par. 1]. Dans les autres cas, une compensation raisonnable peut être demandée [Art. 20 par. 2].
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.