[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$frSWzhZSSaMO6u9pGkpCB5ia793J2rUpcxpp5EMTmeLA":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":7,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":88,"imageUrl":89,"imageThumbUrls":90,"id":98},false,"Entré en vigueur en janvier 2024, le [le **Data Act** de l'UE (Règlement (UE) 2023/2854) ](https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng)sera pleinement applicable après l’expiration de sa période transitoire. Ce texte instaure un cadre harmonisé fixant de nouvelles règles sur l’accès, l’utilisation et le partage des données industrielles générées par les produits et services connectés dans l’UE, couvrant l’ensemble des secteurs économiques.\r\n\r\n{% button href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2078\" text=\"Accédez au communiqué officiel de la Commission d'aujourd'hui\" target=\"\\_blank\" role=\"button\" class=\"btn btn-primary\" %}\r\n\r\nLe Data Act est un pilier de la **Stratégie européenne des données** et de la **Décennie numérique 2030**. Son objectif central est de libérer **la valeur des données industrielles et des données IoT (Internet of Things), en veillant à ce qu'elles soient accessibles, réutilisables et portables en éliminant tous les obstacles à la libre circulation des données au sein de l'Union.**\r\n\r\n> *« Un objectif clé du Data Act est de **créer l'équité dans l'économie des données** et de **donner du pouvoir aux utilisateurs** afin qu'ils puissent tirer de la valeur des données qu'ils génèrent en utilisant les produits connectés qu'ils possèdent, louent ou financent. »* ([Explication du Data Act, Commission européenne](https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained)).\r\n\r\n---\r\n\r\n## Champ d'application : qui est concerné ?\r\n\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Catégorie\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Data Act&nbsp;\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Commentaires/Exemples\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Éléments\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>\u003Cstrong>Produits connectés\u003C/strong> : objets physiques qui génèrent, collectent ou obtiennent des données concernant leur utilisation ou leur environnement et peuvent communiquer ces données via une connexion (WiFi, Bluetooth, USB, etc.), un accès sur l'appareil ou via un service de communications électroniques (Article 2.5)\u003C/p>\u003C/li>\u003Cli>\u003Cp>Un \u003Cstrong>service connexe\u003C/strong> est installé sur le produit et peut être connecté au produit au moment de l'achat, de la location ou de la location par le fabricant (Article 2.6)\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>\u003Cstrong>Exemples de produits connectés\u003C/strong> incluent les véhicules intelligents, les traqueurs de santé portables, les scanners IRM, les robots industriels, les appareils électroménagers comme les réfrigérateurs ou les lave-linge intelligents, et les compteurs d'énergie connectés.\u003C/p>\u003C/li>\u003Cli>\u003Cp>\u003Cstrong>Services connexes\u003C/strong> sont ceux qui permettent au produit de fonctionner d'une manière spécifique ou d'améliorer sa fonctionnalité. Par exemple, une application mobile pour contrôler l'éclairage d'une maison, un logiciel qui ajuste les niveaux d'irrigation dans l'équipement agricole intelligent ou une plateforme qui surveille et optimise les performances des éoliennes.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Opérateurs impliqués\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Fabricants de produits connectés, fournisseurs de services connexes et tout opérateur d'infrastructure cloud en Europe.\u003C/p>\u003Cp>\u003Cbr>Fournisseurs de services de traitement des données à l'échelle mondiale, à l'exception des services d'hébergement conventionnels.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Un détenteur de données est généralement la société qui fabrique le produit connecté ou qui fournit un service connexe.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exemple de fournisseurs de traitement des données : Cloud IaaS, PaaS, SaaS, Stockage, Données, Edge\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Utilisateurs &amp; Destinataires\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les utilisateurs et les destinataires de données doivent être dans l'UE. \u003Cbr>\u003C/p>\u003Cp>Les organismes publics lorsque cela est pertinent.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Un utilisateur peut être à la fois une personne physique ou morale.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Secteurs\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Concerne tous les secteurs. \u003Cbr>\u003Cbr>Inclut les organismes du secteur public.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>IoT industriel, automobile, fintech, dispositifs de santé, énergie, logistique, plateformes de jeux, services d'assurance reposant sur la télématique, et cloud computing.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Données couvertes\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Toutes les données brutes générées par l'utilisation d'un produit connecté ou d'un service connexe et qui est facilement accessible pour le détenteur de données.\u003C/strong>\u003C/p>\u003Cp>\u003Cbr>Les données facilement accessibles signifient que le détenteur de données les a réellement ou peut les obtenir sans effort démesuré.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Données personnelles et non personnelles (par exemple, relevés de machine) incluant les métadonnées pertinentes. Cela inclut :\u003C/p>\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>Données résultant de l'utilisation d'un produit connecté\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données qui doivent être partagées légalement\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données qui peuvent être partagées en vertu d'une obligation contractuelle\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données via des services de traitement des données\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>La définition de données dans le Data Act est large : une donnée est toute représentation numérique d'actes, de faits ou d'informations et toute compilation de tels actes, faits ou informations, y compris sous forme d'enregistrements sonores, visuels ou audiovisuels.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Tout ce qui est généré par des produits connectés est inclus, comme de simples indicateurs de statut, des données sur les interactions des utilisateurs et des rapports de panne.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n## Partage des données B2B et B2C : de nouveaux droits pour les utilisateurs\r\n\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Catégorie\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Data Act\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Commentaires/exemples\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Portabilité des données &amp; accès aux données\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Le principe est simple : si un produit connecté ou des services connexes génèrent des données, l'utilisateur (personne physique ou morale) doit pouvoir y accéder. \u003C/strong>Cela signifie :\u003C/p>\u003Cul>\u003Cli>\u003Cp>\u003Cstrong>Toutes les données du produit et du service\u003C/strong> doivent être mises à disposition, et non des extraits soigneusement sélectionnés.\u003C/p>\u003C/li>\u003Cli>\u003Cp>L'accès doit être \u003Cstrong>opportun, gratuit\u003C/strong>, dans un \u003Cstrong>format structuré et lisible par machine\u003C/strong>, et \u003Cstrong>en temps réel\u003C/strong> lorsque c'est possible.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Les utilisateurs peuvent partager des données avec \u003Cstrong>des tiers de leur choix\u003C/strong> directement ou peuvent demander au détenteur de données de le faire.\u003C/p>\u003C/li>\u003C/ul>\u003Cp>Avec seulement une compensation limitée autorisée pour des investissements substantiels dans un contexte B2B.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Un propriétaire de voiture accède à tous les journaux de maintenance, pas seulement aux résumés. \u003Cbr>\u003Cbr>Un locataire peut demander des données détaillées sur la maison intelligente.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Limites et garanties\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Toutes les données ne doivent pas être partagées. La loi s'applique \u003Cstrong>uniquement aux données facilement accessibles\u003C/strong>, \u003Cstrong>qui ne requièrent pas d'effort démesuré.\u003C/strong> \u003Cbr>\u003Cbr>Les \u003Cstrong>données et contenus inférés ou dérivé\u003C/strong>s (par exemple, les données hautement enrichies) ne sont pas couverts.\u003C/p>\u003Cp>\u003Cbr>L'accès peut être refusé lorsque la divulgation compromettrait \u003Cstrong>le secret des affaires ou la sécurité\u003C/strong>, mais ces refus doivent être \u003Cstrong>justifiés par écrit\u003C/strong> et sont soumis à supervision et résolution de litiges.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Les plateformes désignées comme \u003Cstrong>\u003Cem>gatekeepers \u003C/em>\u003C/strong>au sens du Digital Markets Act ne bénéficient pas de ces droits.\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>Les micro-entreprises et PME \u003C/strong>ne sont pas soumises aux mêmes obligations imposées aux grandes entreprises, notamment en ce qui concerne le partage obligatoire de données.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Les données obtenues ne peuvent pas être utilisées pour développer un \u003Cstrong>produit connecté concurrent\u003C/strong>.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Des refus généraux invoquant les droits de propriété intellectuelle ou des secrets commerciaux ne suffiront plus. \u003Cbr>\u003C/p>\u003Cp>Le détenteur de données ne peut refuser de partager des données que s'il peut démontrer qu'il est très probable qu'il subisse un grave dommage économique dû à la divulgation de secrets des affaires.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Devoirs précontractuels\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>La loi façonne également le processus de vente. \u003Cstrong>Avant de vendre ou de louer un produit ou service connecté, \u003C/strong>les entreprises doivent informer les utilisateurs sur :\u003C/p>\u003Cul>\u003Cli>\u003Cp>Quelles données seront générées ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Où et comment elles seront stockées ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Comment et quand elles peuvent être accessibles ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Si l'accès est continu ou périodique.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Cela nécessite que les entreprises mettent en place des protocoles clairs et forment les équipes de vente qui devront communiquer ces informations avant la signature des contrats.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n---\r\n\r\n## Partage obligatoire de données entre entreprises\r\n\r\nLe Chapitre III du Data Act établit des règles pour les cas où une **entreprise est obligée en vertu de mettre des données à disposition d'une autre entreprise (« destinataire de données »)**, y compris dans le contexte de l'IoT. Ce partage de données doit toujours se faire dans des conditions équitables, raisonnables et non discriminatoires.\r\n\r\nLes règles couvrent tous les types de données, à la fois personnelles et non personnelles, y compris les situations déjà abordées dans le Chapitre II sur les droits d'accès des utilisateurs. En pratique, les détenteurs de données peuvent facturer les coûts engagés pour rendre les données disponibles, tels que l'extraction, la diffusion et le stockage. Cependant, les micro-entreprises, PME et organisations de recherche à but non lucratif ne peuvent être facturées que des frais basés sur les coûts, sans marge supplémentaire.\r\n\r\nPour protéger les détenteurs de données, la loi introduit également des recours en cas d'accès ou d'utilisation illégale des données. Les mesures possibles incluent l'obligation pour la partie enfreignant la loi de cesser de produire le produit concerné, de détruire les données obtenues illégalement ou de fournir une compensation.\r\n\r\n---\r\n\r\n### Des contrats équilibrés\r\n\r\nUn **détenteur de données** est tenu de conclure un contrat avec l'utilisateur, par exemple, un contrat de vente, de location ou de service connexe, qui doit définir les droits de l'utilisateur concernant **l'accès, l'utilisation et le partage des données** générées par le produit connecté ou le service connexe.\r\n\r\nLorsque le Data Act régit la relation entre le fabricant d'un produit connecté (ou le fournisseur d'un service connexe) et l'utilisateur final, il introduit des obligations contractuelles spécifiques. Dans ce contexte, la législation de l'UE sur la protection des consommateurs continue de s'appliquer, en particulier la **Directive 93/13/CEE sur les conditions abusives dans les contrats conclus avec les consommateurs** et la **Directive 2005/29/CE sur les pratiques commerciales déloyales**, garantissant que les utilisateurs sont protégés contre des dispositions contractuelles abusives.\r\n\r\n---\r\n\r\n## Changer de fournisseur de services cloud : de nouvelles règles\r\n\r\nPour promouvoir un **marché numérique compétitif au sein de l'UE**, les clients de services de traitement des données, y compris le cloud et le edge computing, doivent être en mesure de **changer de fournisseur sans difficulté**. Actuellement, ce passage est souvent entravé par des obstacles significatifs, tels que **des frais de sortie excessifs, des procédures longues et complexes, et une interopérabilité insuffisante** entre les fournisseurs, ce qui peut entraîner la perte de données ou d'applications.\r\n\r\nLe **Data Act** aborde ces problèmes.\r\n\r\n\u003Ctable style=\"min-width: 50px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Champ d'application\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Fournisseurs de IaaS, PaaS, SaaS et autres modèles. Par exemple : Google Cloud, OVH Cloud, Azure...\u003Cbr>\u003Cbr>Évaluez si vos services relèvent du Chapitre VI du Data Act.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Objectif\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>En exigeant que le changement soit \u003Cstrong>sans frais, efficace et techniquement fluide\u003C/strong>, le cadre renforce le choix du client en lui permettant de sélectionner les services qui répondent le mieux à ses besoins, tout en favorisant la concurrence en élargissant la base de clients potentiels disponible pour les fournisseurs.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Dans les mots de la Commission :\u003Cem> 'Promouvoir la concurrence et le choix sur le marché tout en empêchant le verrouillage fournisseurs.'\u003C/em>\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Obligations concrètes\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul>\u003Cli>\u003Cp>\u003Cstrong>Supprimer les obstacles au passage à un autre fournisseur ou à une infrastructure sur site\u003C/strong>, y compris les barrières techniques et contractuelles.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Les contrats doivent inclure des \u003Cstrong>droits de passage\u003C/strong>, de courtes \u003Cstrong>périodes de préavis\u003C/strong> (maximum deux mois), des \u003Cstrong>conditions de portabilité des données\u003C/strong> et des méthodes de transfert de données.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Mettre en place une \u003Cstrong>infrastructure technique pour le transfert de données\u003C/strong> et garantir la compatibilité avec les normes d'interopérabilité.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Soutenir la \u003Cstrong>migration\u003C/strong>, maintenir la \u003Cstrong>continuité des affaires\u003C/strong>, l'\u003Cstrong>équivalence fonctionnelle\u003C/strong> et sécuriser les transferts de données dans les délais de 30 jours. Récupération de données sous 30 jours.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Démanteler les \u003Cstrong>frais de sortie\u003C/strong> d'ici janvier 2027, après quoi seuls des frais basés sur les coûts resteront.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Mettre en œuvre des \u003Cstrong>mesures de transparence\u003C/strong> telles que rendre disponible des informations sur la procédure de passage.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n---\r\n\r\n## Partage de données avec les autorités publiques (B2G)\r\n\r\nLe Chapitre V du Data Act établit un cadre pour le **partage de données entre entreprises et gouvernements (B2G)** dans des situations de **besoin exceptionnel**, où des données détenues par des entités privées sont nécessaires aux autorités publiques pour accomplir des tâches d'intérêt public.\r\n\r\nLe besoin exceptionnel couvre à la fois les **urgences publiques**, telles que les catastrophes naturelles, les pandémies ou les incidents de cybersécurité, et les **situations non urgentes**, comme l'amélioration de la gestion du trafic par les données GPS agrégées et anonymisées.\r\n\r\n- Dans des **scénarios d'urgence,** les autorités publiques peuvent demander l'accès à des données aux entreprises qui doivent les fournir rapidement, en toute sécurité et gratuitement, sauf si des coûts justifiés sont impliqués. Bien que l'accent soit mis par défaut sur les données non personnelles, des données personnelles peuvent également être demandées si cela est strictement nécessaire, avec anonymisation appliquée autant que possible.\r\n- Pour des **objectifs d'intérêt public non urgents**, les autorités ne peuvent demander que des données non personnelles, et les détenteurs de données ont droit à **une compensation équitable** pour les coûts de préparation et de transmission.\r\n\r\nLes demandes doivent toujours être spécifiques, proportionnées et transparentes, et ne doivent pas imposer une charge administrative excessive aux entreprises.Les entités ayant le droit de demander des données comprennent les **organismes publics nationaux, les institutions de l'UE, les agences et certaines organisations de recherche**. Les détenteurs de données sont généralement des entreprises privées, mais peuvent également inclure des entreprises publiques.\r\n\r\n---\r\n\r\n## Protection contre l’accès illégal par des pays tiers\r\n\r\nLe Data Act introduit des garanties spécifiques pour prévenir l'**accès ou le transfert illégal de données non personnelles détenues dans l'UE** par des gouvernements de pays tiers (c'est-à-dire, des États non membres de l'UE). Ces dispositions répondent à la préoccupation croissante selon laquelle des autorités étrangères peuvent émettre des décisions ou des jugements obligeant les entreprises à divulguer ou transférer des données stockées dans l'UE, même lorsque de telles demandes sont en conflit avec le droit de l'UE, la protection des droits fondamentaux, les intérêts de sécurité nationale ou la confidentialité des informations commerciales sensibles.\r\n\r\nLe Data Act renforce la transparence et la sécurité juridique en précisant clairement les conditions dans lesquelles des données non personnelles peuvent être accessibles par des autorités étrangères.\r\n\r\nPour les entreprises, y compris **les fournisseurs de cloud, les intermédiaires de données et les entreprises offrant des produits et services numériques**, les règles imposent de nouvelles obligations. Elles doivent **évaluer soigneusement si la demande d'un gouvernement étranger est conforme au droit de l'UE et, le cas échéant, contester les demandes illégales.** Tout transfert de données non personnelles vers un pays tiers doit respecter des **garanties strictes**, qui peuvent inclure une autorisation judiciaire et le respect des normes de droits fondamentaux de l'UE.\r\n\r\n---\r\n\r\n## Défis de mise en œuvre et risques de non-conformité\r\n\r\nLes **États membres** doivent adopter leurs propres régimes nationaux d'application d'ici le **12 septembre 2025**, veillant à ce que les sanctions soient *efficaces, proportionnées et dissuasives*. Celles-ci peuvent inclure des **amendes financières**, des **ordres de conformité**, des **avertissements**, ou même la **suspension des activités de traitement**.\r\n\r\nLes entreprises doivent se conformer simultanément au RGPD puisque de nombreux ensembles de données incluent des données personnelles. Le non-respect de la distinction entre données personnelles et non personnelles pourrait déclencher des **investigations parallèles** par les autorités de protection des données et les régulateurs sectoriels.\r\n\r\nLes manquements au partage de données incluant des donneés personnelles peuvent entraîner des **réclamations combinées au titre du Data Act et du RGPD**, avec des dommages-intérêts demandés en vertu de l'**Article 82 du RGPD**.\r\n\r\nLes entreprises et les utilisateurs lésés par un refus de partage de données, ou par des conditions anticoncurrentielles, peuvent **soumettre des litiges devant les tribunaux ou des organes de règlement des différends**. Attendez-vous à des **actions collectives** (associations de consommateurs ou de PME) dans les États membres où cela est permis.\r\n\r\nDes **démarche précontractuelles** incomplètes ou trompeuses concernant l'utilisation des données et les droits d'accès exposeront les entreprises à des **réclamations au titre du droit des consommateurs** en vertu des Directives 93/13/CEE et 2005/29/CE.\r\n\r\n---\r\n\r\n## Que doivent faire les entreprises maintenant\r\n\r\n> Selon la déclaration [publiée aujourd’hui par la Commission,](https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2078) celle-ci accompagnera la mise en œuvre du Data Act en lançant un **guichet d’assistance juridique** destiné aux entreprises, en publiant des **lignes directrices sur la protection des secrets d’affaires**, ainsi que des **clauses types pour le partage de données** et des **clauses contractuelles standards pour les contrats cloud** afin de faciliter la conformité.\r\n\r\n- **Cartographiez vos flux de données et cas d'usage** : identifiez toutes les données générées par des produits connectés et des services connexes, classez-les comme personnelles/non personnelles, identifiez leur origine et documentez les bases légales. Identifiez si elles sont protégées par des règles sectorielles spécifiques ou non.\r\n\r\n- **Adaptez vos systèmes pour l'interopérabilité :** Assurez-vous d'être techniquement prêt à fournir des données dans des formats structurés, normalisés et lisibles par machine. Mettez à jour ou mettez en œuvre des API et des mécanismes de partage qui soutiennent l'accessibilité, la portabilité et l'interopérabilité conformément aux exigences de la loi.\r\n\r\n- **Documentez les exceptions** : établissez un processus pour refuser l'accès sur la base de secrets commerciaux ou de sécurité, avec justification.\r\n\r\n- **Renforcez la gouvernance** : analysez qui contrôle l'accès aux données. Passez en revue les arrangements de partage de données existants, en particulier dans les contextes B2B.\r\n\r\n- **Mettez à jour les contrats** : incluez des clauses de transparence obligatoires et préparez-vous aux obligations de changement de cloud.\r\n\r\n- **Établissez des politiques internes :** Développez et documentez des politiques internes claires de partage des données conformes aux obligations de transparence et d'équité. Précisez quelles données peuvent être partagées, dans quelles conditions, avec qui et à quelles fins, et assurez-vous que cela est communiqué de manière cohérente aux utilisateurs et partenaires.\r\n\r\n- **Vérifiez la cohérence avec le RGPD** : identifiez et clarifiez les points de recoupement entre le Data Act et le RGPD. Déterminez et documentez la base légale applicable au traitement des données personnelles, et veillez à ce que cette conformité se reflète dans vos politiques de confidentialité, vos mécanismes de recueil du consentement et vos registres de traitement.\r\n\r\n- **Gérez les transferts internationaux :** Mettez en œuvre des protocoles pour évaluer et, le cas échéant, restreindre les transferts de données non personnelles vers des autorités non-UE. Établissez des processus internes pour évaluer la légalité, informer les utilisateurs et respecter les restrictions de l'UE.","\u003Cp>Entré en vigueur en janvier 2024, le \u003Ca href=\"https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng\" rel=\"nofollow\">le \u003Cstrong>Data Act\u003C/strong> de l'UE (Règlement (UE) 2023/2854) \u003C/a>sera pleinement applicable après l’expiration de sa période transitoire. Ce texte instaure un cadre harmonisé fixant de nouvelles règles sur l’accès, l’utilisation et le partage des données industrielles générées par les produits et services connectés dans l’UE, couvrant l’ensemble des secteurs économiques.\u003C/p>\r\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2078\" target=\"_blank\" role=\"button\" class=\"btn btn-primary\" rel=\"nofollow\">Accédez au communiqué officiel de la Commission d'aujourd'hui\u003C/a>\u003C/div>\r\n\u003Cp>Le Data Act est un pilier de la \u003Cstrong>Stratégie européenne des données\u003C/strong> et de la \u003Cstrong>Décennie numérique 2030\u003C/strong>. Son objectif central est de libérer \u003Cstrong>la valeur des données industrielles et des données IoT (Internet of Things), en veillant à ce qu'elles soient accessibles, réutilisables et portables en éliminant tous les obstacles à la libre circulation des données au sein de l'Union.\u003C/strong>\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Cem>« Un objectif clé du Data Act est de \u003Cstrong>créer l'équité dans l'économie des données\u003C/strong> et de \u003Cstrong>donner du pouvoir aux utilisateurs\u003C/strong> afin qu'ils puissent tirer de la valeur des données qu'ils génèrent en utilisant les produits connectés qu'ils possèdent, louent ou financent. »\u003C/em> (\u003Ca href=\"https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained\" rel=\"nofollow\">Explication du Data Act, Commission européenne\u003C/a>).\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"champ-dapplication-qui-est-concerne\">Champ d'application : qui est concerné ?\u003C/h2>\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Catégorie\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Data Act&nbsp;\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Commentaires/Exemples\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Éléments\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>\u003Cstrong>Produits connectés\u003C/strong> : objets physiques qui génèrent, collectent ou obtiennent des données concernant leur utilisation ou leur environnement et peuvent communiquer ces données via une connexion (WiFi, Bluetooth, USB, etc.), un accès sur l'appareil ou via un service de communications électroniques (Article 2.5)\u003C/p>\u003C/li>\u003Cli>\u003Cp>Un \u003Cstrong>service connexe\u003C/strong> est installé sur le produit et peut être connecté au produit au moment de l'achat, de la location ou de la location par le fabricant (Article 2.6)\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>\u003Cstrong>Exemples de produits connectés\u003C/strong> incluent les véhicules intelligents, les traqueurs de santé portables, les scanners IRM, les robots industriels, les appareils électroménagers comme les réfrigérateurs ou les lave-linge intelligents, et les compteurs d'énergie connectés.\u003C/p>\u003C/li>\u003Cli>\u003Cp>\u003Cstrong>Services connexes\u003C/strong> sont ceux qui permettent au produit de fonctionner d'une manière spécifique ou d'améliorer sa fonctionnalité. Par exemple, une application mobile pour contrôler l'éclairage d'une maison, un logiciel qui ajuste les niveaux d'irrigation dans l'équipement agricole intelligent ou une plateforme qui surveille et optimise les performances des éoliennes.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Opérateurs impliqués\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Fabricants de produits connectés, fournisseurs de services connexes et tout opérateur d'infrastructure cloud en Europe.\u003C/p>\u003Cp>\u003Cbr>Fournisseurs de services de traitement des données à l'échelle mondiale, à l'exception des services d'hébergement conventionnels.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Un détenteur de données est généralement la société qui fabrique le produit connecté ou qui fournit un service connexe.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exemple de fournisseurs de traitement des données : Cloud IaaS, PaaS, SaaS, Stockage, Données, Edge\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Utilisateurs &amp; Destinataires\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les utilisateurs et les destinataires de données doivent être dans l'UE. \u003Cbr>\u003C/p>\u003Cp>Les organismes publics lorsque cela est pertinent.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Un utilisateur peut être à la fois une personne physique ou morale.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Secteurs\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Concerne tous les secteurs. \u003Cbr>\u003Cbr>Inclut les organismes du secteur public.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>IoT industriel, automobile, fintech, dispositifs de santé, énergie, logistique, plateformes de jeux, services d'assurance reposant sur la télématique, et cloud computing.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Données couvertes\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Toutes les données brutes générées par l'utilisation d'un produit connecté ou d'un service connexe et qui est facilement accessible pour le détenteur de données.\u003C/strong>\u003C/p>\u003Cp>\u003Cbr>Les données facilement accessibles signifient que le détenteur de données les a réellement ou peut les obtenir sans effort démesuré.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Données personnelles et non personnelles (par exemple, relevés de machine) incluant les métadonnées pertinentes. Cela inclut :\u003C/p>\u003Cul class=\"tight\" data-tight=\"true\">\u003Cli>\u003Cp>Données résultant de l'utilisation d'un produit connecté\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données qui doivent être partagées légalement\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données qui peuvent être partagées en vertu d'une obligation contractuelle\u003C/p>\u003C/li>\u003Cli>\u003Cp>Données via des services de traitement des données\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>La définition de données dans le Data Act est large : une donnée est toute représentation numérique d'actes, de faits ou d'informations et toute compilation de tels actes, faits ou informations, y compris sous forme d'enregistrements sonores, visuels ou audiovisuels.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Tout ce qui est généré par des produits connectés est inclus, comme de simples indicateurs de statut, des données sur les interactions des utilisateurs et des rapports de panne.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\u003Ch2 id=\"partage-des-donnees-b2b-et-b2c-de-nouveaux-droits-pour-les-utilisateurs\">Partage des données B2B et B2C : de nouveaux droits pour les utilisateurs\u003C/h2>\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Catégorie\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Data Act\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Commentaires/exemples\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Portabilité des données &amp; accès aux données\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Le principe est simple : si un produit connecté ou des services connexes génèrent des données, l'utilisateur (personne physique ou morale) doit pouvoir y accéder. \u003C/strong>Cela signifie :\u003C/p>\u003Cul>\u003Cli>\u003Cp>\u003Cstrong>Toutes les données du produit et du service\u003C/strong> doivent être mises à disposition, et non des extraits soigneusement sélectionnés.\u003C/p>\u003C/li>\u003Cli>\u003Cp>L'accès doit être \u003Cstrong>opportun, gratuit\u003C/strong>, dans un \u003Cstrong>format structuré et lisible par machine\u003C/strong>, et \u003Cstrong>en temps réel\u003C/strong> lorsque c'est possible.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Les utilisateurs peuvent partager des données avec \u003Cstrong>des tiers de leur choix\u003C/strong> directement ou peuvent demander au détenteur de données de le faire.\u003C/p>\u003C/li>\u003C/ul>\u003Cp>Avec seulement une compensation limitée autorisée pour des investissements substantiels dans un contexte B2B.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Un propriétaire de voiture accède à tous les journaux de maintenance, pas seulement aux résumés. \u003Cbr>\u003Cbr>Un locataire peut demander des données détaillées sur la maison intelligente.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Limites et garanties\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Toutes les données ne doivent pas être partagées. La loi s'applique \u003Cstrong>uniquement aux données facilement accessibles\u003C/strong>, \u003Cstrong>qui ne requièrent pas d'effort démesuré.\u003C/strong> \u003Cbr>\u003Cbr>Les \u003Cstrong>données et contenus inférés ou dérivé\u003C/strong>s (par exemple, les données hautement enrichies) ne sont pas couverts.\u003C/p>\u003Cp>\u003Cbr>L'accès peut être refusé lorsque la divulgation compromettrait \u003Cstrong>le secret des affaires ou la sécurité\u003C/strong>, mais ces refus doivent être \u003Cstrong>justifiés par écrit\u003C/strong> et sont soumis à supervision et résolution de litiges.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Les plateformes désignées comme \u003Cstrong>\u003Cem>gatekeepers \u003C/em>\u003C/strong>au sens du Digital Markets Act ne bénéficient pas de ces droits.\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>Les micro-entreprises et PME \u003C/strong>ne sont pas soumises aux mêmes obligations imposées aux grandes entreprises, notamment en ce qui concerne le partage obligatoire de données.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Les données obtenues ne peuvent pas être utilisées pour développer un \u003Cstrong>produit connecté concurrent\u003C/strong>.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Des refus généraux invoquant les droits de propriété intellectuelle ou des secrets commerciaux ne suffiront plus. \u003Cbr>\u003C/p>\u003Cp>Le détenteur de données ne peut refuser de partager des données que s'il peut démontrer qu'il est très probable qu'il subisse un grave dommage économique dû à la divulgation de secrets des affaires.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Devoirs précontractuels\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>La loi façonne également le processus de vente. \u003Cstrong>Avant de vendre ou de louer un produit ou service connecté, \u003C/strong>les entreprises doivent informer les utilisateurs sur :\u003C/p>\u003Cul>\u003Cli>\u003Cp>Quelles données seront générées ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Où et comment elles seront stockées ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Comment et quand elles peuvent être accessibles ;\u003C/p>\u003C/li>\u003Cli>\u003Cp>Si l'accès est continu ou périodique.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Cela nécessite que les entreprises mettent en place des protocoles clairs et forment les équipes de vente qui devront communiquer ces informations avant la signature des contrats.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\u003Chr />\r\n\u003Ch2 id=\"partage-obligatoire-de-donnees-entre-entreprises\">Partage obligatoire de données entre entreprises\u003C/h2>\r\n\u003Cp>Le Chapitre III du Data Act établit des règles pour les cas où une \u003Cstrong>entreprise est obligée en vertu de mettre des données à disposition d'une autre entreprise (« destinataire de données »)\u003C/strong>, y compris dans le contexte de l'IoT. Ce partage de données doit toujours se faire dans des conditions équitables, raisonnables et non discriminatoires.\u003C/p>\r\n\u003Cp>Les règles couvrent tous les types de données, à la fois personnelles et non personnelles, y compris les situations déjà abordées dans le Chapitre II sur les droits d'accès des utilisateurs. \u003Cbr />\r\n\u003Cbr />\r\nEn pratique, les détenteurs de données peuvent facturer les coûts engagés pour rendre les données disponibles, tels que l'extraction, la diffusion et le stockage. Cependant, les micro-entreprises, PME et organisations de recherche à but non lucratif ne peuvent être facturées que des frais basés sur les coûts, sans marge supplémentaire.\u003C/p>\r\n\u003Cp>Pour protéger les détenteurs de données, la loi introduit également des recours en cas d'accès ou d'utilisation illégale des données. Les mesures possibles incluent l'obligation pour la partie enfreignant la loi de cesser de produire le produit concerné, de détruire les données obtenues illégalement ou de fournir une compensation.\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"des-contrats-equilibres\">Des contrats équilibrés\u003C/h3>\r\n\u003Cp>Un \u003Cstrong>détenteur de données\u003C/strong> est tenu de conclure un contrat avec l'utilisateur, par exemple, un contrat de vente, de location ou de service connexe, qui doit définir les droits de l'utilisateur concernant \u003Cstrong>l'accès, l'utilisation et le partage des données\u003C/strong> générées par le produit connecté ou le service connexe.\u003C/p>\r\n\u003Cp>Lorsque le Data Act régit la relation entre le fabricant d'un produit connecté (ou le fournisseur d'un service connexe) et l'utilisateur final, il introduit des obligations contractuelles spécifiques. \u003Cbr />\r\n\u003Cbr />\r\nDans ce contexte, la législation de l'UE sur la protection des consommateurs continue de s'appliquer, en particulier la \u003Cstrong>Directive 93/13/CEE sur les conditions abusives dans les contrats conclus avec les consommateurs\u003C/strong> et la \u003Cstrong>Directive 2005/29/CE sur les pratiques commerciales déloyales\u003C/strong>, garantissant que les utilisateurs sont protégés contre des dispositions contractuelles abusives.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"changer-de-fournisseur-de-services-cloud-de-nouvelles-regles\">Changer de fournisseur de services cloud : de nouvelles règles\u003C/h2>\r\n\u003Cp>Pour promouvoir un \u003Cstrong>marché numérique compétitif au sein de l'UE\u003C/strong>, les clients de services de traitement des données, y compris le cloud et le edge computing, doivent être en mesure de \u003Cstrong>changer de fournisseur sans difficulté\u003C/strong>. \u003Cbr />\r\n\u003Cbr />\r\nActuellement, ce passage est souvent entravé par des obstacles significatifs, tels que \u003Cstrong>des frais de sortie excessifs, des procédures longues et complexes, et une interopérabilité insuffisante\u003C/strong> entre les fournisseurs, ce qui peut entraîner la perte de données ou d'applications.\u003C/p>\r\n\u003Cp>Le \u003Cstrong>Data Act\u003C/strong> aborde ces problèmes.\u003C/p>\r\n\u003Ctable style=\"min-width: 50px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Champ d'application\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Fournisseurs de IaaS, PaaS, SaaS et autres modèles. Par exemple : Google Cloud, OVH Cloud, Azure...\u003Cbr>\u003Cbr>Évaluez si vos services relèvent du Chapitre VI du Data Act.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Objectif\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>En exigeant que le changement soit \u003Cstrong>sans frais, efficace et techniquement fluide\u003C/strong>, le cadre renforce le choix du client en lui permettant de sélectionner les services qui répondent le mieux à ses besoins, tout en favorisant la concurrence en élargissant la base de clients potentiels disponible pour les fournisseurs.\u003C/p>\u003Cp>\u003C/p>\u003Cp>Dans les mots de la Commission :\u003Cem> 'Promouvoir la concurrence et le choix sur le marché tout en empêchant le verrouillage fournisseurs.'\u003C/em>\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Obligations concrètes\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cul>\u003Cli>\u003Cp>\u003Cstrong>Supprimer les obstacles au passage à un autre fournisseur ou à une infrastructure sur site\u003C/strong>, y compris les barrières techniques et contractuelles.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Les contrats doivent inclure des \u003Cstrong>droits de passage\u003C/strong>, de courtes \u003Cstrong>périodes de préavis\u003C/strong> (maximum deux mois), des \u003Cstrong>conditions de portabilité des données\u003C/strong> et des méthodes de transfert de données.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Mettre en place une \u003Cstrong>infrastructure technique pour le transfert de données\u003C/strong> et garantir la compatibilité avec les normes d'interopérabilité.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Soutenir la \u003Cstrong>migration\u003C/strong>, maintenir la \u003Cstrong>continuité des affaires\u003C/strong>, l'\u003Cstrong>équivalence fonctionnelle\u003C/strong> et sécuriser les transferts de données dans les délais de 30 jours. Récupération de données sous 30 jours.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Démanteler les \u003Cstrong>frais de sortie\u003C/strong> d'ici janvier 2027, après quoi seuls des frais basés sur les coûts resteront.\u003C/p>\u003C/li>\u003Cli>\u003Cp>Mettre en œuvre des \u003Cstrong>mesures de transparence\u003C/strong> telles que rendre disponible des informations sur la procédure de passage.\u003C/p>\u003C/li>\u003C/ul>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\u003Chr />\r\n\u003Ch2 id=\"partage-de-donnees-avec-les-autorites-publiques-b2g\">Partage de données avec les autorités publiques (B2G)\u003C/h2>\r\n\u003Cp>Le Chapitre V du Data Act établit un cadre pour le \u003Cstrong>partage de données entre entreprises et gouvernements (B2G)\u003C/strong> dans des situations de \u003Cstrong>besoin exceptionnel\u003C/strong>, où des données détenues par des entités privées sont nécessaires aux autorités publiques pour accomplir des tâches d'intérêt public.\u003C/p>\r\n\u003Cp>Le besoin exceptionnel couvre à la fois les \u003Cstrong>urgences publiques\u003C/strong>, telles que les catastrophes naturelles, les pandémies ou les incidents de cybersécurité, et les \u003Cstrong>situations non urgentes\u003C/strong>, comme l'amélioration de la gestion du trafic par les données GPS agrégées et anonymisées.\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Dans des \u003Cstrong>scénarios d'urgence,\u003C/strong> les autorités publiques peuvent demander l'accès à des données aux entreprises qui doivent les fournir rapidement, en toute sécurité et gratuitement, sauf si des coûts justifiés sont impliqués. Bien que l'accent soit mis par défaut sur les données non personnelles, des données personnelles peuvent également être demandées si cela est strictement nécessaire, avec anonymisation appliquée autant que possible.\u003C/li>\r\n\u003Cli>Pour des \u003Cstrong>objectifs d'intérêt public non urgents\u003C/strong>, les autorités ne peuvent demander que des données non personnelles, et les détenteurs de données ont droit à \u003Cstrong>une compensation équitable\u003C/strong> pour les coûts de préparation et de transmission.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les demandes doivent toujours être spécifiques, proportionnées et transparentes, et ne doivent pas imposer une charge administrative excessive aux entreprises.\u003Cbr />\r\n\u003Cbr />\r\nLes entités ayant le droit de demander des données comprennent les \u003Cstrong>organismes publics nationaux, les institutions de l'UE, les agences et certaines organisations de recherche\u003C/strong>. Les détenteurs de données sont généralement des entreprises privées, mais peuvent également inclure des entreprises publiques.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"protection-contre-lacces-illegal-par-des-pays-tiers\">Protection contre l’accès illégal par des pays tiers\u003C/h2>\r\n\u003Cp>Le Data Act introduit des garanties spécifiques pour prévenir l'\u003Cstrong>accès ou le transfert illégal de données non personnelles détenues dans l'UE\u003C/strong> par des gouvernements de pays tiers (c'est-à-dire, des États non membres de l'UE). \u003Cbr />\r\n\u003Cbr />\r\nCes dispositions répondent à la préoccupation croissante selon laquelle des autorités étrangères peuvent émettre des décisions ou des jugements obligeant les entreprises à divulguer ou transférer des données stockées dans l'UE, même lorsque de telles demandes sont en conflit avec le droit de l'UE, la protection des droits fondamentaux, les intérêts de sécurité nationale ou la confidentialité des informations commerciales sensibles.\u003C/p>\r\n\u003Cp>Le Data Act renforce la transparence et la sécurité juridique en précisant clairement les conditions dans lesquelles des données non personnelles peuvent être accessibles par des autorités étrangères.\u003C/p>\r\n\u003Cp>Pour les entreprises, y compris \u003Cstrong>les fournisseurs de cloud, les intermédiaires de données et les entreprises offrant des produits et services numériques\u003C/strong>, les règles imposent de nouvelles obligations. Elles doivent \u003Cstrong>évaluer soigneusement si la demande d'un gouvernement étranger est conforme au droit de l'UE et, le cas échéant, contester les demandes illégales.\u003C/strong> Tout transfert de données non personnelles vers un pays tiers doit respecter des \u003Cstrong>garanties strictes\u003C/strong>, qui peuvent inclure une autorisation judiciaire et le respect des normes de droits fondamentaux de l'UE.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"defis-de-mise-en-uvre-et-risques-de-non-conformite\">Défis de mise en œuvre et risques de non-conformité\u003C/h2>\r\n\u003Cp>Les \u003Cstrong>États membres\u003C/strong> doivent adopter leurs propres régimes nationaux d'application d'ici le \u003Cstrong>12 septembre 2025\u003C/strong>, veillant à ce que les sanctions soient \u003Cem>efficaces, proportionnées et dissuasives\u003C/em>. Celles-ci peuvent inclure des \u003Cstrong>amendes financières\u003C/strong>, des \u003Cstrong>ordres de conformité\u003C/strong>, des \u003Cstrong>avertissements\u003C/strong>, ou même la \u003Cstrong>suspension des activités de traitement\u003C/strong>.\u003C/p>\r\n\u003Cp>Les entreprises doivent se conformer simultanément au RGPD puisque de nombreux ensembles de données incluent des données personnelles. Le non-respect de la distinction entre données personnelles et non personnelles pourrait déclencher des \u003Cstrong>investigations parallèles\u003C/strong> par les autorités de protection des données et les régulateurs sectoriels.\u003C/p>\r\n\u003Cp>Les manquements au partage de données incluant des donneés personnelles peuvent entraîner des \u003Cstrong>réclamations combinées au titre du Data Act et du RGPD\u003C/strong>, avec des dommages-intérêts demandés en vertu de l'\u003Cstrong>Article 82 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cp>Les entreprises et les utilisateurs lésés par un refus de partage de données, ou par des conditions anticoncurrentielles, peuvent \u003Cstrong>soumettre des litiges devant les tribunaux ou des organes de règlement des différends\u003C/strong>. Attendez-vous à des \u003Cstrong>actions collectives\u003C/strong> (associations de consommateurs ou de PME) dans les États membres où cela est permis.\u003C/p>\r\n\u003Cp>Des \u003Cstrong>démarche précontractuelles\u003C/strong> incomplètes ou trompeuses concernant l'utilisation des données et les droits d'accès exposeront les entreprises à des \u003Cstrong>réclamations au titre du droit des consommateurs\u003C/strong> en vertu des Directives 93/13/CEE et 2005/29/CE.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"que-doivent-faire-les-entreprises-maintenant\">Que doivent faire les entreprises maintenant\u003C/h2>\r\n\u003Cblockquote>\r\n\u003Cp>Selon la déclaration \u003Ca href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2078\" rel=\"nofollow\">publiée aujourd’hui par la Commission,\u003C/a> celle-ci accompagnera la mise en œuvre du Data Act en lançant un \u003Cstrong>guichet d’assistance juridique\u003C/strong> destiné aux entreprises, en publiant des \u003Cstrong>lignes directrices sur la protection des secrets d’affaires\u003C/strong>, ainsi que des \u003Cstrong>clauses types pour le partage de données\u003C/strong> et des \u003Cstrong>clauses contractuelles standards pour les contrats cloud\u003C/strong> afin de faciliter la conformité.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Cartographiez vos flux de données et cas d'usage\u003C/strong> : identifiez toutes les données générées par des produits connectés et des services connexes, classez-les comme personnelles/non personnelles, identifiez leur origine et documentez les bases légales. Identifiez si elles sont protégées par des règles sectorielles spécifiques ou non.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Adaptez vos systèmes pour l'interopérabilité :\u003C/strong> Assurez-vous d'être techniquement prêt à fournir des données dans des formats structurés, normalisés et lisibles par machine. Mettez à jour ou mettez en œuvre des API et des mécanismes de partage qui soutiennent l'accessibilité, la portabilité et l'interopérabilité conformément aux exigences de la loi.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Documentez les exceptions\u003C/strong> : établissez un processus pour refuser l'accès sur la base de secrets commerciaux ou de sécurité, avec justification.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Renforcez la gouvernance\u003C/strong> : analysez qui contrôle l'accès aux données. Passez en revue les arrangements de partage de données existants, en particulier dans les contextes B2B.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Mettez à jour les contrats\u003C/strong> : incluez des clauses de transparence obligatoires et préparez-vous aux obligations de changement de cloud.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Établissez des politiques internes :\u003C/strong> Développez et documentez des politiques internes claires de partage des données conformes aux obligations de transparence et d'équité. Précisez quelles données peuvent être partagées, dans quelles conditions, avec qui et à quelles fins, et assurez-vous que cela est communiqué de manière cohérente aux utilisateurs et partenaires.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Vérifiez la cohérence avec le RGPD\u003C/strong> : identifiez et clarifiez les points de recoupement entre le Data Act et le RGPD. Déterminez et documentez la base légale applicable au traitement des données personnelles, et veillez à ce que cette conformité se reflète dans vos politiques de confidentialité, vos mécanismes de recueil du consentement et vos registres de traitement.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Gérez les transferts internationaux :\u003C/strong> Mettez en œuvre des protocoles pour évaluer et, le cas échéant, restreindre les transferts de données non personnelles vers des autorités non-UE. Établissez des processus internes pour évaluer la légalité, informer les utilisateurs et respecter les restrictions de l'UE.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n","Data Act : ce que les entreprises doivent savoir","À partir du 12 septembre 2025, le Data Act impose de nouvelles règles d’accès, de portabilité et de partage des données générées par les produits connectés. ",3545,20,0,null,"fr","data-act-ce-que-les-entreprises-doivent-savoir","À partir du 12 septembre 2025, le Data Act impose de nouvelles règles d’accès, de portabilité et de partage des données générées par les produits connectés. Découvrez les détails dans cet article.","Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":12,"blogUrl":12,"color":12,"userId":18,"creationDate":21},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2025-09-12T09:53:00","2025-09-12T09:53:06.3928244","2025-11-21T14:48:24.3845365",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":13,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46,67],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":42},[43,44,45],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":12,"imageUrl":12,"parent":52,"order":11,"translations":57},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":53},[54,55,56],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},[58,61,64],{"lang":13,"name":59,"description":60},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":35,"name":62,"description":63},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":38,"name":65,"description":66},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",{"id":68,"name":69,"description":70,"url":71,"color":72,"parentId":26,"count":12,"imageUrl":12,"parent":73,"order":78,"translations":79},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":74},[75,76,77],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},5,[80,82,85],{"lang":13,"name":69,"description":81},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":38,"name":83,"description":84},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":35,"name":86,"description":87},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-original.png",[91,92,93,94,95,96,97],"https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-1000.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-1500.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-800.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-600.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-300.webp","https://static.dastra.eu/content/0ba38811-c7b3-4892-8681-00cac259346c/visuel-article-100.webp",59588]