J-3 Nouvelles règles sur le partage des données (personnelles et non personnelles) !

J-3 Nouvelles règles sur le partage des données (personnelles et non personnelles) !

Pourquoi le Data Act ?

Le Règlement (UE) 2023/2354 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (« Data Act »), établit un cadre harmonisé destiné à renforcer l’économie des données de l’Union européenne et à favoriser un marché concurrentiel des données en les rendant plus accessibles et utilisables.

Principaux objectifs du règlement

Le Data Act vise notamment à :

• Permettre aux utilisateurs (consommateurs et entreprises) d’accéder aux données générées par leurs objets connectés et services connexes (i.e. un service numérique qui est connecté au produit au moment de l’achat, de la mise en location ou en crédit-bail), de les utiliser et de les partager avec des tiers ;
• Etablir une liste des clauses contractuelles abusives et présumées abusives, imposées unilatéralement dans les contrats liés à l’accès et l’utilisation de données entre entreprises ;
• Faciliter le changement de fournisseurs de traitements de données (prestaires IT).

Qui sont les principaux acteurs concernés par le Data Act ?

Sont notamment concernés :

• Les fabricants de produits connectés tous secteurs confondus (ex. : véhicules, montres, dispositifs médicaux connectés etc.) et les fournisseurs de services numériques connexes (ex. : application mobile permettant de contrôler un objet connecté à distance (type domotique) ou permettant de bénéficier des données que génère un objet connecté etc.) ;
• Les utilisateurs de ces produits et services (consommateurs ou entreprises) ;
• Les prestataires de services de traitement de données (prestataires IT) ;

Entrée en application progressive du Data Act : quelles sont les prochaines dates clés ?

12 septembre 2025 : la majorité des dispositions du Data Act entrera en application (ex. : application des dispositions relatives aux clauses abusives pour les contrats conclus postérieurement au 12 septembre 2025) ;

12 septembre 2026 : pour tous les produits et services connexes mis sur le marché à partir de cette date, les fabricants et fournisseurs devront notamment, par principe et par défaut, mettre à disposition des utilisateurs les données de manière aisée, sécurisée et sans frais ;

12 septembre 2027 : extension de l’application des dispositions relatives aux clauses abusives aux contrats conclus postérieurement au 12 septembre 2025.

Pour information

Les Etats membres doivent désigner une ou plusieurs autorités compétentes pour veiller à l’application du Data Act et définir des sanctions « effectives, proportionnées et dissuasives » en cas de manquement. La France n’a pas encore désigné d’autorité compétente en charge de l’application du Règlement ni déterminé les sanctions administratives associées. Pour autant le Data Act reste applicable à compter du 12 septembre prochain. Ainsi, les clauses abusives listées au sein du règlement seront réputées non écrites pour les contrats conclus après le 12 septembre 2025, par exemple.

La mise en conformité avec le Data Act suppose notamment de cartographier vos données afin d’identifier celles qui devront être partagées et de réviser vos contrats, pour intégrer, entre autres, les nouvelles règles relatives aux clauses abusives, à la portabilité et aux conditions de résiliation.

Nous restons à votre disposition pour vous accompagner dans chacune de ces étapes et transformer les obligations du Data Act en véritables leviers de confiance et de compétitivité.

Ne manquez pas nos prochaines publications sur le Data Act !