Blog

Data Act : comprendre le règlement européen sur les données.

Article

Publié le, 28 janvier 2026 par Farid ARIS
Data Act : comprendre le règlement européen sur les données

Description

Le Data Act européen redéfinit l’accès, le partage et la protection des données. Impacts, obligations et bonnes pratiques pour entreprises et collectivités.

⏱ Temps de lecture estimé : ~10 minutes

📑 Sommaire

Introduction au Data Act

Le Data Act, ou règlement européen sur les données, marque une étape décisive dans la construction d’un espace numérique européen plus équitable, sécurisé et compétitif. Après le RGPD et le DGA (Data Governance Act), l’Union européenne poursuit son ambition : reprendre le contrôle sur la valeur des données, tout en favorisant l’innovation et la souveraineté numérique.

Pour les entreprises, collectivités, DSI, RSSI et dirigeants de TPE-PME, le Data Act soulève de nombreuses questions concrètes :

  • Qui peut accéder aux données ?
  • Dans quelles conditions les partager ?
  • Quels sont les nouveaux risques juridiques et cyber ?
  • Et surtout, comment se mettre en conformité sans freiner son activité ?

Cet article vous propose une analyse complète, claire et opérationnelle du règlement Data Act, avec des exemples concrets, des conseils pratiques et une lecture stratégique orientée protection et valorisation des données.

Qu’est-ce que le Data Act ? Définition et objectifs

Le Data Act est un règlement européen adopté en 2023 et applicable progressivement jusqu’en 2027. Il vise à encadrer l’accès, l’utilisation et le partage des données générées par les objets connectés, les services numériques et les environnements industriels. 

Contrairement au RGPD, qui protège les données personnelles, le Data Act concerne principalement :

  • Les données non personnelles

  • Les données industrielles

  • Les données issues des objets connectés (IoT)

  • Les données générées par l’utilisation de services numériques

Son objectif principal est de rééquilibrer le rapport de force entre les détenteurs de données (fabricants, plateformes) et les utilisateurs (entreprises, collectivités, citoyens).

Le règlement sur les données prévoit une mise en œuvre échelonnée, afin de laisser aux acteurs économiques et publics le temps d’adapter leurs pratiques, leurs systèmes et leurs contrats.

Le Data Act est applicable dans sa majorité depuis le 12 septembre 2025. Des dispositions spécifiques bénéficient néanmoins de délais supplémentaires avant leur pleine application :

  • À partir de septembre 2026, les fabricants d’objets connectés et les fournisseurs de services associés devront concevoir leurs produits de manière à ce que les données générées soient directement accessibles aux utilisateurs, dans des conditions claires et sécurisées.

  • Dès janvier 2027, les clients des services d’informatique en cloud devront pouvoir changer de fournisseur sans frais excessifs, afin de limiter l’enfermement technologique et favoriser la concurrence.

  • En septembre 2027, l’interdiction des clauses contractuelles abusives s’étendra également aux contrats conclus avant le 12 septembre 2025, renforçant ainsi la protection des utilisateurs et des entreprises, en particulier des PME.

À noter que la Commission européenne a présenté le 19 novembre 2025 une proposition de modification du Data Act, visant à améliorer la cohérence entre les différentes réglementations européennes en matière de données, notamment avec le Data Governance Act (DGA).

Pourquoi l’Union européenne a créé le Data Act ?

L’UE part d’un constat simple : Aujourd’hui, une immense quantité de données est produite... mais reste sous-exploitée ou captée par quelques acteurs dominants.

Selon la Commission européenne :

  • Moins de 20 % des données industrielles sont réellement utilisées

  • Le marché de la donnée pourrait représenter plus de 550 milliards d’euros d’ici 2028

Le Data Act répond donc à plusieurs enjeux stratégiques :

  • Favoriser l’innovation et la compétitivité des entreprises européennes

  • Réduire la dépendance aux grandes plateformes extra-européennes

  • Faciliter le partage de données en toute sécurité

  • Protéger les utilisateurs contre les clauses contractuelles abusives

  • Renforcer la cybersécurité et la résilience numérique

À qui s’applique le Data Act ?

Le champ d’application du Data Act est très large.

Sont concernés :

  • Les fabricants d’objets connectés (machines, capteurs, véhicules, dispositifs médicaux, équipements industriels)

  • Les fournisseurs de services cloud, y compris les hyperscalers et acteurs européens, sont concernés dès lors qu’ils proposent des services de traitement ou de stockage de données couverts par le règlement

  • Les éditeurs de logiciels exploitant des données utilisateurs

  • Les entreprises utilisant des données issues d’objets connectés

  • Les collectivités territoriales et les administrations publiques

  • Les sous-traitants et partenaires techniques

Les TPE et PME ne sont pas exclues. Certaines obligations sont adaptées à leur taille, mais le principe de conformité reste applicable à tous.

Données concernées par le Data Act

Le Data Act porte sur plusieurs catégories de données :

Données générées par les objets connectés

Exemples :

  • Données de performance d’une machine industrielle

  • Données de consommation énergétique

  • Données issues de véhicules connectés

  • Données d’équipements agricoles ou médicaux

L’utilisateur de l’objet (entreprise ou particulier) doit pouvoir accéder à ces données.

Données non personnelles et données mixtes

Le règlement distingue :

  • Les données purement non personnelles

  • Les jeux de données mixtes (personnelles + non personnelles)

Lorsque les données sont mixtes, le RGPD continue de s’appliquer en parallèle.

Accès aux données : un droit renforcé pour les utilisateurs

L’un des piliers du Data Act est le droit d’accès aux données générées par l’utilisation d’un produit ou service connecté.

Concrètement :

  • L’utilisateur doit pouvoir accéder facilement à ses données

  • L’accès doit être gratuit pour l’utilisateur final, ou proposé à un coût strictement proportionné et non discriminatoire lorsqu’un tiers est impliqué

  • Les données doivent être fournies dans un format structuré et lisible

  • Les conditions contractuelles doivent être claires et équitables

Exemple concret :
Une PME utilise une machine connectée dans son usine. Jusqu’ici, seul le fabricant exploitait les données. Avec le Data Act, la PME pourra :

  • Accéder aux données de fonctionnement

  • Les utiliser pour améliorer sa production

  • Les partager avec un prestataire de maintenance ou d’audit énergétique

Partage des données avec des tiers

Le Data Act facilite le partage volontaire et encadré des données avec des tiers.

Cela ouvre de nouvelles opportunités :

  • Maintenance prédictive

  • Optimisation des coûts

  • Innovation produit

  • Développement de services à valeur ajoutée

Mais le règlement impose des garde-fous :

  • Consentement explicite de l’utilisateur

  • Interdiction des clauses contractuelles abusives

  • Protection des secrets d’affaires : le détenteur de données peut refuser le partage s'il peut démontrer qu'il existe un risque de préjudice économique irréparable

  • Mesures de cybersécurité adaptées

Encadrement des contrats et lutte contre les abus

Le Data Act s’attaque frontalement aux déséquilibres contractuels.

Il interdit notamment :

  • Les clauses imposant un accès exclusif aux données

  • Les restrictions excessives au partage

  • Les conditions opaques ou unilatérales

Pour les PME, c’est un levier majeur de protection face aux grands fournisseurs technologiques.

Data Act et cybersécurité : un enjeu central pour les RSSI

Le règlement impose que tout partage de données se fasse dans des conditions de sécurité élevées.

Les entreprises doivent :

  • Mettre en place des contrôles d’accès

  • Chiffrer les flux sensibles

  • Garantir l’intégrité et la disponibilité des données

  • Prévenir les risques de fuite ou de sabotage

Pour les RSSI et DSI, cela implique :

  • Une cartographie précise des données

  • Une gouvernance claire des accès

  • Des audits de conformité et de sécurité réguliers

  • Une coordination étroite avec la conformité juridique

  • Le défi du "Security by Design" : Le Data Act impose que les produits soient conçus pour que les données soient accessibles "par défaut" (échéance 2026). Pour les fabricants, c'est un défi majeur : il faut ouvrir l'accès aux données sans créer de vulnérabilités. Chez Core Security, nous soulignons que cette ouverture doit impérativement intégrer les principes de Security by Design pour éviter que ces nouveaux flux de partage ne deviennent des portes d'entrée pour des cyberattaques.

Interaction entre Data Act, RGPD et autres règlements européens

Le Data Act ne remplace pas le RGPD.

Il s’inscrit dans un écosystème réglementaire cohérent :

  • DMA / DSA : régulation des grandes plateformes

Les organisations doivent adopter une vision globale de la conformité numérique.

Impact du Data Act pour les TPE et PME

Contrairement aux idées reçues, le Data Act peut être une opportunité pour les petites structures.

Bénéfices potentiels :

  • Accès à des données jusque-là verrouillées

  • Meilleure négociation avec les fournisseurs

  • Création de nouveaux services

  • Réduction de la dépendance technologique

Risques à anticiper :

  • Complexité juridique

  • Exposition cyber accrue

  • Manque de ressources internes

D’où l’importance d’un accompagnement adapté.

Cas pratique : collectivité territoriale et données urbaines

Une collectivité utilise des capteurs pour la gestion de l’éclairage public et du trafic.

Avec le Data Act :

  • Elle peut récupérer l’ensemble des données générées

  • Les partager avec des start-ups locales

  • Optimiser les politiques publiques

  • Réduire les coûts énergétiques

À condition de :

  • Sécuriser les flux

  • Respecter le RGPD

  • Contractualiser correctement les usages

Comment se préparer concrètement au Data Act ?

Voici une approche pragmatique en 6 étapes :

  1. Identifier les produits et services générant des données

  2. Cartographier les flux de données internes et externes

  3. Analyser les contrats existants

  4. Mettre à jour les clauses de partage

  5. Renforcer les mesures de cybersécurité

  6. Former les équipes (IT, juridique, direction)

Rôle stratégique des dirigeants et décideurs

Le Data Act n’est pas qu’un sujet juridique ou technique.

C’est un enjeu de gouvernance et de stratégie d’entreprise :

  • Valorisation des données

  • Maîtrise des risques

  • Avantage concurrentiel

  • Image de confiance

Les dirigeants doivent porter le sujet au plus haut niveau.

Sanctions et risques en cas de non-conformité

Le Data Act prévoit que pour les données personnelles, les amendes sont les mêmes que le RGPD (jusqu'à 20M€ ou 4% du CA). Pour les données non-personnelles, ce sont les États membres qui fixent les règles, mais la tendance est à l'alignement sur ces montants élevés.

Risques principaux :

  • Amendes financières

  • Contentieux contractuels

  • Atteinte à la réputation

  • Rupture de partenariats

Anticiper vaut toujours mieux que subir.

Le Data Act comme levier de souveraineté numérique

Au-delà des contraintes, le Data Act est un outil politique et économique.

Il vise à :

  • Reprendre le contrôle sur les données stratégiques

  • Favoriser l’innovation européenne

  • Renforcer la résilience face aux cybermenaces

  • Construire une économie de la donnée plus juste

Conclusion : transformer la contrainte réglementaire en opportunité

Le Data Act impose un changement de paradigme dans la gestion des données. Pour les entreprises, collectivités et professionnels du numérique, il représente à la fois un défi et une opportunité majeure.

En anticipant dès aujourd’hui les impacts juridiques, techniques et organisationnels, vous pouvez transformer cette obligation réglementaire en véritable avantage stratégique. Gouvernance des données, cybersécurité renforcée, nouveaux usages : le Data Act est une invitation à reprendre le contrôle.

Dates à retenir

  • Septembre 2026 : accès direct aux données des objets connectés

  • Janvier 2027 : portabilité renforcée des services cloud

  • Septembre 2027 : fin des clauses abusives, y compris pour les contrats antérieurs

Besoin d’un accompagnement pour évaluer votre conformité Data Act et sécuriser vos données ? Faites-vous accompagner par des experts en cybersécurité.

FAQ – Data Act : le règlement européen sur les données

Oui. Des mesures spécifiques existent pour limiter la charge, mais les principes généraux s’appliquent aussi aux PME.

Le RGPD protège les données personnelles, le Data Act encadre l’accès et le partage des données, principalement non personnelles.

Les données générées par les objets connectés, les services numériques et les environnements industriels.

Non. Le partage est encadré, fondé sur les droits des utilisateurs et la protection des intérêts légitimes.

Sanctions financières, risques juridiques, atteinte à la réputation et exposition accrue aux cybermenaces.

Le Data Act est applicable depuis le 12 septembre 2025. Certaines obligations clés entrent toutefois en vigueur de manière progressive jusqu’en 2027, notamment pour les objets connectés et les services cloud.

Une approche transverse est recommandée : direction, DSI, RSSI, juridique et métiers.

Description

Le Data Act européen redéfinit l’accès, le partage et la protection des données. Impacts, obligations et bonnes pratiques pour entreprises et collectivités.

⏱ Temps de lecture estimé : ~10 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique