Blog Données personnelles
Le Data Act entre en application : vos nouvelles obligations à partir du 12 septembre 2025
Depuis plusieurs années, l’Union Européenne a adopté plusieurs règlements visant à encadrer l’économie de la donnée et à créer un marché unique permettant une libre circulation des actifs entre secteurs et Etats membres.
Ainsi, après le Data Governance Act en 2023 visant à encadrer le partage volontaire de données, l’UE poursuit sa démarche avec le Data Act. Ce règlement complète la boîte à outils législative européenne destinée à garantir à la fois innovation, souveraineté numérique et protection des acteurs économiques.
Adopté fin 2023 et entré en vigueur en janvier 2024, le Data Act s’appliquera pleinement à partir du 12 septembre 2025.
Son ambition est de libérer le potentiel des données, personnelles ou non, générées par les objets connectés et les services numériques connexes et de créer un écosystème plus équitable pour les utilisateurs comme pour les entreprises. Le Data Act couvre ainsi le secteur de l’internet des objets, autrement dit IoT.
Des règles harmonisées visant à mettre à disposition de l’utilisateur ou d’organismes publics les données générées par l’utilisation d’un produit connecté ou d’un service lié
- obligation de rendre accessible, par défaut et de manière sécurisée, les données générées par l’utilisation de produits connectés ou services liés ;
- droit pour l’utilisateur de transmettre les données à des tiers (sans qu’elles ne soient utilisées pour développer un produit concurrent) ;
- assurer un meilleur équilibre contractuel, notamment pour protéger les PME contre les clauses abusives imposées par des acteurs dominants ;
- définir un cadre de partage avec les pouvoirs publics, dans des situations exceptionnelles (crises sanitaires, catastrophes naturelles, politiques publiques) ;
- des obligations pour les fournisseurs de services cloud, afin de faciliter la portabilité et l’interopérabilité et de limiter le verrouillage technologique.
Prenons l’exemple des dispositifs médicaux qui intègrent des capteurs et génèrent des flux de données (pompes à insuline, pacemakers, dispositifs de télésurveillance) :
- le Data Act confère aux utilisateurs finaux (patients, hôpitaux, laboratoires) un droit d’accès direct et gratuit aux données générées par ces dispositifs ;
- ces mêmes utilisateurs pourront demander le transfert de leurs données à un tiers de confiance (par exemple une autre plateforme e-santé ou un prestataire de suivi médical) ;
- ces données devront être transmises dans un format structuré, lisible par machine et si possible standard (respect de l’exigence d’interopérabilité) afin qu’elles puissent être partagées facilement avec d’autres acteurs.
Ainsi, les fabricants et laboratoires doivent anticiper des demandes d’accès et de transmission, avec des obligations techniques d’interopérabilité.
Chaque acteur doit donc s’interroger en particulier sur les modalités de mise à disposition de ces données et sur les clauses contractuelles applicables afin que celles-ci soient conformes au Data Act. Il devra donc :
- cartographier les dispositifs et services connectés,
- mettre en place des processus de conformité au Data Act, à adapter aux obligations également issues du RGPD,
- réviser leurs contrats avec fournisseurs et partenaires pour inclure des clauses FRAND (fair, reasonable, non-discriminatory),
- anticiper les exigences ANSM en matière de certification et de cybersécurité,
- former leurs équipes (juridiques, techniques, compliance) à ce nouveau cadre.