Le Data Act consacre un véritable droit d’accès aux données générées par les objets connectés. Dès son application complète, prévue le 12 septembre 2025, fabricants, distributeurs et prestataires de services devront partager ces informations avec leurs clients professionnels et, sous conditions, avec des tiers. Cette nouvelle ère de la donnée industrielle bouleverse la stratégie de propriété intellectuelle et la rédaction des contrats.
Introduction – La donnée, nouvel actif stratégique sous contrôle européen
Longtemps, l’Europe a protégé les données industrielles par les seuls mécanismes classiques : secret des affaires, droit des bases de données, clause de confidentialité. L’adoption du Règlement (UE) 2023/2854 dit “Data Act” change le paradigme. En visant les « produits connectés » et les « services connexes », le législateur européen place la donnée d’usage au cœur de la relation B2B. Celui qui achète ou loue un objet connecté – véhicule, machine-outil, capteur IoT – doit pouvoir accéder, en temps réel ou quasi réel, aux informations qu’il génère.
Le législateur poursuit trois objectifs :
-
renforcer la souveraineté numérique en libérant un potentiel de marché estimé à 270 milliards € par an ;
-
corriger l’asymétrie de pouvoir entre fabricant et utilisateur ;
-
stimuler l’économie de la maintenance prédictive, du recyclage et de l’innovation servicielle.
Le Data Act ne s’ajoute pas au RGPD . Il vise des données non personnelles ou mixtes, dès lors qu’elles proviennent d’un équipement connecté. Il complète aussi la directive Secret des affaires. En effet, le secret demeure, mais il ne peut justifier un refus global d’accès. Cette articulation entre ouverture et protection fait désormais partie intégrante du droit de la propriété intellectuelle.
Un champ d’application large : qui est concerné ?
D’abord, le texte s’applique à tout fabricant qui met sur le marché de l’UE un produit connecté capable de collecter ou générer des données. Sont également visés les fournisseurs de services connexes (par exemple, plateformes de maintenance à distance) ainsi que les bénéficiaires – clients professionnels ou particuliers – qui utilisent le produit. Les “data holders” désignent la partie qui contrôle techniquement l’accès aux données. Le plus souvent, il s’agit du constructeur ou de son partenaire cloud.
Ensuite, le règlement impose d’intégrer, « dès la conception », des fonctions techniques permettant l’extraction aisée et sécurisée des données. L’article 4 exige la remise à l’utilisateur d’informations claires sur le type, le format et le volume de données disponibles. L’article 5 permet à ce même utilisateur d’ordonner la transmission directe à un tiers de confiance, pourvu que celui‑ci n’exploite pas ces données pour développer un produit concurrent. Les micro‑entreprises, si elles sont “data holders”, bénéficient d’un allégement : elles n’ont pas l’obligation de partager les données, sauf lorsqu’elles agissent comme sous‑traitants d’un grand groupe.
Enfin, le Data Act s’applique extra‑territorialement : toute entité qui offre un produit connecté dans l’Union, même sans y être établie, doit respecter les règles. Les clauses contractuelles ou techniques contournant cette exigence sont réputées non écrites.
Quelles données IoT doivent être partagées ?
Les données visées sont celles « relatives à l’utilisation » de l’objet : mesures de performance, localisation, diagnostics, historique d’usage. Les métadonnées générées par un service de maintenance à distance sont également couvertes. En revanche, les données brutes captées mais immédiatement anonymisées peuvent être exclues si leur re‑identification est impossible.
L’utilisateur peut demander un accès données IoT “gratuit, sans délai indu et, lorsque c’est pertinent, en continu”. Seuls deux motifs permettent de limiter la restitution :
-
la protection d’informations commerciales “strictement sensibles”, à condition de proposer une solution alternative (agrégation ou retard de diffusion) ;
-
le respect de la cybersécurité, lorsque l’extraction crée un risque manifeste pour l’intégrité du réseau ou du produit.
Les obligations du Data Act prévoient aussi une hiérarchie. Par exemple, le partage avec les pouvoirs publics en cas d’urgence (article 19) prime sur la demande d’un opérateur privé.
Enfin, le détenteur doit fournir les données dans un format interopérable, s’appuyant sur des normes européennes, afin d’éviter le verrouillage propriétaire. L’absence de standard n’exonère pas : il faut alors choisir un format couramment utilisé dans le secteur. Le non‑respect est sanctionné par des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.
Encadrer contractuellement l’accès B2B : clauses autorisées, clauses interdites
Le règlement instaure une présomption d’abus lorsqu’un contrat B2B comporte des clauses « manifestement déséquilibrées ». Sont réputées nulles :
- l’exclusion totale de responsabilité du détenteur,
- le transfert intégral des frais d’extraction,
- ou la cession automatique de tous les droits sur les résultats dérivés.
Le chapitre III propose un ensemble de clauses modèles ; leur utilisation crée une présomption de conformité.
Par ailleurs, l’article 13 impose un prix “raisonnable” pour la mise à disposition des données lorsque le détenteur et le bénéficiaire sont des entreprises. Est jugé raisonnable un prix couvrant les coûts directs de mise à disposition, majorés d’une marge “appropriée”. La Commission pourra publier des orientations sectorielles.
Le contrat doit aussi organiser la protection du secret des affaires : accès dans un environnement sécurisé, accord de confidentialité spécifique, journalisation des opérations. Le détenteur peut retenir ou suspendre la transmission si le tiers viole ces conditions. Enfin, chaque partie doit nommer un point de contact chargé de gérer les demandes d’accès et de coopérer avec l’autorité nationale compétente.
Impacts sur votre stratégie de propriété intellectuelle et vos licences
Le Data Act ne supprime pas les droits existants, mais il les recalibre. D’abord, le droit sui generis des bases de données (directive 96/9) ne peut plus être invoqué pour bloquer l’accès à la partie brute des données générées. Seules les bases enrichies par un investissement substantiel de sélection ou d’agencement restent protégées.
Ensuite, les accords de licence logicielle devront distinguer :
-
le code source (protégé par le droit d’auteur),
-
l’algorithme d’analyse (secret des affaires),
-
la donnée d’usage (partageable).
Par ailleurs, le Data Act encourage la portabilité des services cloud. En effet, un client peut réclamer la restitution totale de ses données et métadonnées, sans frais, pour migrer vers un autre fournisseur (article 35). Les contrats d’hébergement devront prévoir un plan de sortie clair et l’absence de pénalité financière.
Enfin, du point de vue contentieux, le non‑respect des Data Act obligations expose à :
-
des sanctions administratives prononcées par l’autorité nationale désignée,
-
d’éventuelles actions en responsabilité civile des tiers évincés,
-
la résiliation ou la nullité partielle du contrat.
Une auditabilité interne (cartographie des flux, revue des licences, tests d’interopérabilité) devient indispensable pour sécuriser vos actifs et vos engagements commerciaux.
Conclusion
Le Data Act consacre un droit d’accès effectif aux données issues des objets connectés et redessine l’équilibre contractuel entre fabricants, utilisateurs et nouveaux services. Pour transformer cette contrainte en avantage compétitif, anticipez : cartographiez vos flux IoT, vérifiez la compatibilité de vos bases de données, adaptez vos modèles de licence et formez vos équipes à la gestion sécurisée des partages. Une gouvernance data claire aujourd’hui évitera des litiges coûteux demain.
Deshoulières Avocats vous conseille et vous accompagne dans la mise en conformité Data Act : audit de vos contrats, rédaction de clauses équilibrées, sécurisation du secret des affaires et défense de vos droits de propriété intellectuelle.
RESSOURCES :
- Règlement (UE) 2023/2854 sur les règles harmonisées relatives à l’accès et à l’utilisation des données (Data Act).
- Directive 96/9/CE concernant la protection juridique des bases de données
- Deshoulières Avocats, “ Qu’est-ce que le droit des contrats ? ”
