tout ce qu'il faut savoir sur les avocats spécialisés blockchain

Data Act : un nouveau cadre européen pour les données issues de l’IoT

par 20 Nov 2025Numérique

i 3 Table Of Content

Le règlement (UE) 2023/2854 dit « Data Act » est l’un des piliers de la stratégie européenne pour les données. Il vise à organiser l’accès, l’utilisation et le partage des données, en particulier celles générées par les objets connectés (IoT), dans un cadre harmonisé, plus équitable et plus prévisible pour les entreprises comme pour les consommateurs.

Pour les acteurs de l’Internet des objets, des services cloud et plus largement de la donnée (industrielle ou non), il s’agit d’un texte structurant qui impose d’anticiper, dès la conception des produits et des contrats, la question de l’accès aux données, du partage, de la portabilité et de la protection des secrets d’affaires. L’accompagnement d’un avocat en droit des données ou d’un avocat spécialiste de l’IoT devient un avantage stratégique autant qu’un sujet de conformité.

Data Act : objectifs, calendrier et articulation avec les autres textes

 

Dates clés et positionnement dans le « paquet données »

Le Data Act est le règlement (UE) 2023/2854 du 13 décembre 2023 sur des règles harmonisées relatives à l’accès équitable aux données et à leur utilisation. Il est entré en vigueur le 11 janvier 2024 et est applicable depuis le 12 septembre 2025.

Il complète notamment :

  • le RGPD, qui reste la référence pour la protection des données à caractère personnel ;

  • le Data Governance Act, qui organise des mécanismes de partage volontaire de données et encadre certains intermédiaires de données 

  • les règles sectorielles existantes ou à venir (mobilité, énergie, santé, finance, etc.), qui devront désormais s’aligner sur les principes du Data Act.

L’ambition est double :

  • accroître la disponibilité et la réutilisation des données, en particulier industrielles, pour soutenir l’innovation ;

  • répartir plus équitablement la valeur générée entre fabricants, utilisateurs, fournisseurs de services numériques et autorités publiques

Un texte centré sur les objets connectés et les services de traitement de données

Le Data Act répond à la montée en puissance des produits connectés (véhicules, machines industrielles, équipements agricoles, objets domotiques, dispositifs médicaux ou de fitness, etc.) et des services numériques associés. Ces produits génèrent, lors de leur utilisation, un volume considérable de données techniques et d’usage, qui ont longtemps été captées quasi-exclusivement par les fabricants ou fournisseurs de services.

Le Data Act vise à :

  • redonner aux utilisateurs (particuliers ou entreprises) un véritable droit d’accès et d’usage sur les données qu’ils co-génèrent via ces produits ;

  • faciliter le partage de données entre entreprises (B2B) lorsque la loi impose un partage ou qu’un modèle économique de données est mis en place ;

  • organiser l’accès aux données par le secteur public en cas de “besoin exceptionnel”, par exemple pour réagir à une urgence (catastrophe naturelle, crise sanitaire, etc.) ;

  • renforcer la concurrence sur le marché du cloud en rendant plus simple et moins coûteux le changement de fournisseur et en imposant davantage d’interopérabilité.

 

Qui est concerné par le Data Act ?

 

Fabricants d’objets connectés et fournisseurs de services associés

Le cœur du Data Act se situe dans l’Internet des objets (IoT) :

  • Produits connectés : véhicules, machines industrielles, équipements agricoles, robots, appareils électroménagers intelligents, dispositifs de mesure, capteurs, etc.

  • Services liés : applications et services qui s’appuient sur un objet connecté (par exemple une application mobile qui contrôle la température d’un équipement ou mesure la consommation électrique d’un bâtiment).

Ces acteurs doivent désormais :

  • concevoir leurs produits pour permettre l’accès aux données par l’utilisateur (et, le cas échéant, par un tiers choisi par lui) ;

  • informer clairement l’utilisateur sur les données générées : type de données, fréquence de collecte, modalités d’accès, durée de conservation ;

  • mettre ces données à disposition gratuitement pour l’utilisateur, de manière facilement exploitable (format, API, etc.)

Pour un industriel ou un fabricant d’objets connectés, travailler avec un avocat spécialiste de l’IoT permet de vérifier que la conception technique et contractuelle des produits intègre ces obligations dès l’amont (schémas d’architecture, CGV, licences logicielles, documentation, notices, etc.).

 

Entreprises utilisatrices de données industrielles

Les entreprises utilisatrices (agriculteurs, industriels, logisticiens, exploitants d’infrastructures, etc.) sont également bénéficiaires du Data Act.

Le texte leur confère :

  • un droit d’accès aux données générées par leurs objets connectés ;

  • la possibilité de partager ces données avec un tiers (prestataire, partenaire, assureur, etc.), directement ou via le détenteur des données ;

  • des garanties contre les clauses contractuelles “take it or leave it” imposées par des acteurs en position dominante, qui limiteraient excessivement l’accès ou l’utilisation des données.

Fournisseurs de services cloud, edge et autres services de traitement de données

Le Data Act impose également des règles structurantes aux :

  • fournisseurs de services de traitement de données (cloud, edge, plateformes d’hébergement, services PaaS, IaaS, etc.) ;

  • services de traitement de données intégrés dans des solutions IoT ou des plateformes industrielles.

Objectif : faciliter le changement de fournisseur et réduire le risque de verrouillage contractuel et technique (lock-in). Le règlement prévoit notamment :

  • des obligations de portabilité des données et des workloads vers un autre fournisseur ou vers une infrastructure on-premise ;

  • une suppression progressive des frais de “switching” (notamment des frais de sortie de données, ou data egress charges) sur une période de trois ans à compter de l’entrée en vigueur ;

  • des exigences d’interopérabilité : formats de données, interfaces, exigences techniques communes.

Pour un prestataire cloud ou un éditeur SaaS, un avocat en droit des données peut :

  • auditer les contrats existants (CGU, SLA, MSA, annexes techniques) ;

  • ajuster les clauses de réversibilité, de portabilité et de responsabilité ;

  • sécuriser l’articulation avec le RGPD et la protection des secrets d’affaires.

 

Autorités et organismes publics

Les organismes publics (administrations nationales, autorités indépendantes, agences européennes, etc.) peuvent, dans des situations strictement encadrées de « besoin exceptionnel », exiger l’accès à certaines données détenues par des acteurs privés :

  • en cas d’urgence publique (catastrophe, crise sanitaire, menace majeure) ;

  • pour l’exercice d’une mission d’intérêt public clairement définie.

Les entreprises doivent donc anticiper ces hypothèses, prévoir des procédures internes de réponse aux demandes et encadrer les conditions de mise à disposition des données (formats, délais, compensation éventuelle, anonymisation/pseudonymisation).

Les principales obligations opérationnelles du Data Act

Accès aux données issues des objets connectés

Le Data Act consacre un droit d’accès aux données générées par l’utilisation d’un produit connecté ou d’un service associé :

  • sont visées les données brutes et pré-traitées (par exemple les données de capteurs : température, pression, position, vitesse, etc.) dès lors qu’elles sont « facilement disponibles » pour le détenteur des données ;

  • sont exclues les données dérivées ou inférées (données enrichies, analyses complexes, certains contenus audiovisuels, etc.), ainsi que les éléments protégés par des droits de propriété intellectuelle.

En pratique, cela implique :

  • de cartographier les flux de données générés par les produits et services ;

  • de définir précisément qui est détenteur de quelles données (fabricant, intégrateur, exploitant, prestataire) ;

  • de prévoir des processus d’exercice du droit d’accès : interface dédiée, API, portail client, documentation.

 

Partage de données entre entreprises (B2B)

Le Data Act vise aussi les situations où une entreprise est légalement tenue de partager des données avec une autre entreprise (par une loi sectorielle ou par le Data Act lui-même).

Dans ces cas :

  • les conditions contractuelles doivent être équitable, raisonnables et non discriminatoires ;

  • le détenteur des données peut percevoir une « compensation raisonnable », notamment pour couvrir ses coûts techniques de mise à disposition ;

  • pour les micro-entreprises et PME, la rémunération ne peut excéder les coûts effectivement supportés pour la mise à disposition des données.

L’enjeu pour les entreprises est de modéliser des contrats de partage de données clairs, alignés sur ces exigences, et de vérifier la compatibilité de ces flux de données avec le RGPD et la protection des secrets d’affaires.

 

Limites, secrets d’affaires et sécurité

Le Data Act cherche un équilibre entre ouverture des données et protection des intérêts économiques :

  • Secrets d’affaires : le détenteur peut exiger des mesures spécifiques de protection (engagements de confidentialité renforcés, cloisonnement, audits) et suspendre ou refuser un partage s’il démontre un risque sérieux pour ses intérêts économiques.

  • Sécurité : le partage de données peut être limité si l’accès demandé compromet la sécurité du produit ou du système, avec un risque avéré pour la santé, la sécurité ou la cybersécurité.

  • Pays tiers : des garde-fous sont prévus vis-à-vis de demandes émanant de pays tiers, en particulier lorsque celles-ci contrarient le droit de l’Union ou le droit national.

L’arbitrage entre ouverture des données, valeur économique et confidentialité nécessite un diagnostic juridique précis, domaine naturel d’intervention d’un avocat en droit des données.

Clauses contractuelles abusives liées aux données

Le Data Act contient une liste de clauses toujours réputées abusives et une liste de clauses présumées abusives, lorsqu’elles sont imposées unilatéralement par une partie en position de force, par exemple :

  • exclusion ou limitation de responsabilité en cas de faute lourde ou intentionnelle ;

  • droit unilatéral de modifier les conditions d’accès aux données sans motif valable ;

  • obligations manifestement déséquilibrées en matière de garantie, de sécurité ou de réversibilité.

Les acteurs qui rédigent ou négocient des contrats de données (contrats IoT, licences de plateforme, contrats de services de données, CGU/CGV, accords de partenariat, etc.) doivent donc :

  • réviser leurs modèles contractuels à la lumière de ces listes ;

  • vérifier que leurs pratiques ne tombent pas dans le champ des clauses interdites ;

  • intégrer, lorsque c’est pertinent, les clauses types que la Commission entend développer pour sécuriser les échanges de données.

 

Cloud, portabilité et interopérabilité

Sur le terrain des services de traitement de données, le Data Act impose :

  • une obligation d’assistance au changement de fournisseur (documentation, coopération technique, phases de migration) ;

  • une limitation progressive puis suppression des frais de sortie de données

  • des exigences d’interopérabilité pour les services de traitement (formats de données, API, normes techniques) afin de faciliter les interconnexions et l’usage combiné de plusieurs services.

Ces éléments doivent être contractualisés de manière fine : description technique des données, planning de migration, responsabilités respectives, pénalités éventuelles, articulation avec les engagements RGPD (sous-traitance, transfert hors UE, sécurité).

Pourquoi se faire accompagner par un avocat en droit des données et avocat spécialiste de l’IoT ?

Face au Data Act, la question n’est plus de savoir si l’entreprise est concernée, mais comment elle l’est et à quel niveau.

Un avocat en droit des données et avocat spécialiste de l’IoT peut intervenir à plusieurs étapes.

Cartographie et qualification des données

  • Identifier les produits connectés et services concernés (objets, capteurs, plateformes, applications) ;

  • qualifier les catégories de données (personnelles / non personnelles, brutes / dérivées, données techniques, données commerciales, etc.) ;

  • déterminer qui détient quoi (fabricant, intégrateur, exploitant, prestataire cloud, distributeur) et dans quel cadre contractuel.

Mise en conformité des produits et des contrats

  • Adapter les documents contractuels : CGV/CGU, contrats de licence, contrats d’intégration, accords de partenariat, conditions de services cloud ;

  • rédiger ou revoir les clauses d’accès, d’usage et de partage des données (B2C, B2B, B2G) à la lumière du Data Act et du RGPD ;

  • intégrer les mesures de protection des secrets d’affaires et de sécurité dans les contrats de données ;

  • anticiper les demandes du secteur public en cas de besoin exceptionnel et organiser la réponse (process interne, modèles de réponses, clauses spécifiques).

Stratégie de valorisation des données et gestion des risques

  • Construire une stratégie de valorisation des données (monétisation, licences, écosystèmes de données) compatible avec le Data Act ;

  • sécuriser les relations avec les partenaires et sous-traitants (cloud, intégrateurs, data providers, assureurs) ;

  • réduire le risque de contentieux (litiges sur l’accès aux données, secrets d’affaires, concurrence déloyale, clauses abusives, etc.).

 

En pratique : que faire dès maintenant ?

Pour les entreprises qui conçoivent ou utilisent des solutions IoT, des services cloud ou des plateformes de données, quelques actions prioritaires peuvent être envisagées :

Identifier les cas d’usage IoT et données dans l’entreprise : quels objets, quelles données, quels flux, quels partenaires ?

Revoir les contrats clés (fourniture d’objets connectés, maintenance, SaaS, cloud, partenariats data) au regard des exigences du Data Act.

Mettre à jour les documents d’information utilisateurs (notices, interface, documentation contractuelle) sur l’accès aux données et leurs usages possibles.

Organiser la gouvernance interne de la donnée : qui répond aux demandes d’accès ? Qui valide un partage avec un tiers ? Qui gère une demande émanant d’une autorité publique ?

Coordonner Data Act, RGPD et secrets d’affaires, pour éviter les contradictions entre les différents régimes.

 

Le Data Act ne se limite pas à un texte technique sur les données industrielles : il redéfinit la chaîne de valeur des données issues de l’IoT, du fabricant au client final, en passant par les fournisseurs cloud et les autorités publiques.

Pour les entreprises innovantes – industrielles, agritechs, healthtech, éditeurs de solutions connectées ou plateformes cloud – il constitue à la fois :

  • un levier d’ouverture et d’innovation, en facilitant l’accès aux données et le développement de nouveaux services ;

  • un réservoir de risques juridiques, si les choix techniques et contractuels ne sont pas alignés sur ses exigences.

Le cabinet Halt Avocats accompagne les acteurs de la donnée et de l’Internet des objets (IoT), à Toulouse et partout en France, dans la compréhension et la mise en œuvre du Data Act. Travailler avec un avocat en droit des données et un avocat spécialiste de l’IoT permet de transformer cette nouvelle réglementation en véritable avantage compétitif, plutôt qu’en simple contrainte de conformité.

 

 

 

 

Halt Avocats

Halt Avocats

Fort de leur expérience (+10 ans) et de leur polyvalence, nos associés sont devenus des acteurs incontournable dans le domaine du droit des affaires et des innovations. Leur engagement envers leurs clients est sans faille, leur professionnalisme est reconnu et leur expertise largement appréciée. Avec Halt Avocats, les entreprises peuvent compter sur un accompagnement juridique sur-mesure pour répondre à tous leurs besoins en matière de droit des affaires et de technologies de rupture.