Menu
data-act-2025

Mettez-vous en conformité avec le Data Act

Articles 12 septembre 2025
Droit des technologies et du numérique Droit européen Nouvelles Technologies, Numérique et Télécoms Privacy +

Le Règlement (UE) n° 2023/2854, dit Data Act, entré en vigueur le 11 janvier 2024, s’appliquera à partir de ce 12 septembre 2025.

Le Data Act instaure de nouvelles règles définissant les droits d’accès, d’utilisation et de partage des données, en particulier les données industrielles générées par des produits connectés et des services numériques mis sur le marché de l’Union européenne, dans tous les secteurs économiques (industrie, technologie, santé, énergie, automobile, etc.). Ce texte a été adopté afin de rééquilibrer l’accès aux données, dont la valorisation restait souvent limitée à certains acteurs, et de libérer leur potentiel économique et social en favorisant l’émergence d’un véritable marché intérieur des données. Il vise à donner aux utilisateurs et aux entreprises un meilleur contrôle sur les données qu’ils contribuent à générer, tout en stimulant l’innovation et la concurrence grâce à la possibilité, pour de nouveaux acteurs, de développer des services fondés sur ces données.

Le Data Act prévoit également que, dans des situations exceptionnelles relevant de l’intérêt public, les autorités publiques pourront accéder, dans des conditions strictement encadrées, aux données détenues par les entreprises.

Quel est le calendrier d’application du Data Act ?

  • 12 septembre 2025: entrée en application des dispositions relatives aux obligations légales de partage des données pour les contrats conclus à compter de cette date ;
  • 12 septembre 2026 : entrée en application des dispositions relatives aux exigences en matière de conception et de fabrication pour un accès facilité aux données pour tous les produits mis sur le marché à partir de cette date ;
  • 12 janvier 2027 : interdiction pour les fournisseurs de services de traitement de données (cloud, edge, etc.) de facturer des frais de changement de fournisseur (une période transitoire est prévue entre septembre 2025 et janvier 2027, durant laquelle des frais limités peuvent être appliqués) ;
  • 12 septembre 2027 : extension des obligations de partage de données aux contrats conclus avant le 12 septembre 2025, à condition (i) qu’ils soient à durée indéterminée ou (ii) qu’ils viennent à échéance après le 11 janvier 2034.

Quel est le champ d’application du Data Act ?

Le Data Act s’applique à tous les produits et services connectés mis sur le marché européen, quelles que soient la nationalité ou la localisation du fabricant ou du prestataire de services. Concrètement, toute entreprise proposant un produit ou un service susceptible d’être utilisé dans l’Union européenne devra respecter les obligations du Data Act

Les obligations en matière de partage de données ne s’appliquent toutefois pas aux données générées par l’utilisation de produits connectés fabriqués ou conçus ou de services connexes fournis par une microentreprise ou une petite entreprise indépendante.

Quelles sont les principales obligations introduites par le Data Act ?

  • Accès aux données : les utilisateurs doivent pouvoir consulter gratuitement les données générées par leurs produits ou services ;
  • Réutilisation et partage des données : les utilisateurs ont la possibilité de réutiliser ces données à des fins personnelles ou professionnelles et de les partager avec d’autres prestataires ;
  • Interopérabilité et portabilité : les systèmes doivent permettre un transfert fluide des données entre différents services et opérateurs ;
  • Clauses contractuelles encadrées : les contrats de partage de données ne doivent pas limiter indûment l’accès ou l’usage des données.

Quels acteurs sont concernés ?

  • Les fabricants de produits connectés ;
  • Les fournisseurs de services connexes d’un produit connecté, comme les prestataires de traitement des données ou de services cloud/SaaS ;
  • Les détenteurs de données, c’est-à-dire la personne physique ou morale qui a le droit ou l’obligation d’utiliser et de mettre à disposition des données ;
  • Les destinataires des données, c’est-à-dire les tiers avec lesquels les utilisateurs peuvent partager les données.
  • Les utilisateurs finaux, qu’il s’agisse d’entreprises ou de particuliers, qui possèdent ou louent les produits connectés.

Quelles sont les sanctions ?

L’article 40 du Data Act prévoit que chaque État membre doit mettre en place un régime de sanctions « efficaces, proportionnées et dissuasives » en cas de manquement à ses obligations. Ces sanctions doivent être notifiées à la Commission européenne avant le 12 septembre 2025.

À ce jour, la France n’a pas encore publié de dispositif national spécifique relatif aux sanctions du Data Act.

D’ici là, plusieurs régimes existants peuvent déjà trouver à s’appliquer :

  • La loi n° 2024-449 du 21 mai 2024 (SREN), entrée en vigueur le 21 mai 2024, intègre certaines dispositions du Data Act relatives au changement de fournisseur de services cloud. Elle prévoit des sanctions d’amendes administratives, prononcées par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), aller jusqu’à 3 % du chiffre d’affaires annuel mondial, et jusqu’à 5 % en cas de récidive.
  • En cas de violation concernant des données personnelles, les autorités de protection des données (notamment la CNIL) pourront prononcer les sanctions prévues par le RGPD, avec des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu ;
  • Certaines infractions graves prévues par la loi Informatique et Libertés peuvent donner lieu à des sanctions pénales, pouvant aller jusqu’à 5 ans d’emprisonnement et 1,5 million d’euros d’amende pour les personnes morales.

Que retenir ?

Le Data Act impose de nouveaux réflexes contractuels, techniques et organisationnels, tels que l’

identification des données concernées, les questions d’interopérabilité, la révision des contrats, etc.

Il est recommandé aux entreprises de tenir compte de ces nouvelles obligations en cartographiant leurs flux de données afin d’identifier précisément les informations concernées, en mettant en place des procédures robustes de traitement des demandes d’accès et en adaptant leurs architectures techniques pour garantir l’interopérabilité.

Elles doivent également revoir et mettre à jour leurs politiques de confidentialité et leurs dispositifs de protection des secrets d’affaires pour s’aligner sur les restrictions d’usage prévues par le Data Act et sur les éventuelles règles de compensation en cas de partage contraint des données.

Nos avocats sont à votre disposition pour répondre à vos questions, et pour vous accompagner dans l’analyse et la mise en conformité de vos pratiques avec les exigences du Data Act.

Auteurs

Matthieu
Dary
Avocat - Associé
Louisa
Imatte
Avocate
Vous souhaitez être informé de l’actualité sur cette thématique ?
Inscrivez-vous pour recevoir une notification à chaque nouvel article, événement, décryptage… sur les sujets les plus pertinents pour vous.
Créez votre veille
sur-mesure

Recevez les actualités sur les sujets
qui comptent pour vous

Pour aller plus loin

Découvrez nos professionnels

Plus de professionnels
Serge
Lederman
Avocat - Associé
Anne
Maréchal
Avocate - Associée
Julie
Bader
Avocate - Senior
Charles-Edouard
Renault
Avocat - Associé

Dernières actualités

Plus d’actualités
Articles 22 janvier 2026
Spatio présente son rapport de synthèse « Nouveaux horizons pour l’Europe spatiale : coopération et partenariats stratégiques »
espace-cybersecurité
Articles 21 janvier 2026
Cybersécurité spatiale : « Le rôle du juriste est d’accompagner l’innovation, pas de la freiner »
evenement propriété intellectuel
Evénement webinar
29/01/202612h00
Les 5 réflexes en matière du secret des affaires
Articles 14 janvier 2026
Devoir de vigilance : pourquoi les assignations en justice des multinationales sont-elles en chute libre ?