Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Le EU Data Act (règlement UE 2023/2854) est entré en vigueur le 11 janvier 2024 et, après une période de transition à partir du 12 septembre 2025 directement applicable dans tous les États membres de l'UE. L'objectif est de faciliter l'accès à la quantité croissante de données industrielles et IoT (Internet of Things) et de promouvoir des modèles commerciaux innovants. Jusqu'à présent, on estime que 80 % de toutes les données industrielles restaient inexploitées. Souvent parce que seuls les fabricants ou les grandes entreprises contrôlent ces données. Le Data Act vise à Utilisateur avoir un plus grand contrôle sur les données qu'ils génèrent et Transmission des données à Troisième dans des conditions équitables. Les paragraphes suivants mettent en lumière quels acteurs (destinataires) concrètement couverts par le Data Act et quels de nouvelles obligations, notamment pour les fabricants et les fournisseurs de services s'appliquent.
Qui sont les destinataires du Data Act ?
Le Data Act suit le principe du lieu du marché et couvre donc aToutes les entreprises qui proposent des produits connectés ou des services numériques associés dans l'UE, quel que soit leur lieu d'établissement. Elle concerne donc également les fabricants et fournisseurs de services non européens, dès lors que leurs produits ou services sont commercialisés ou proposés dans l'UE. Concrètement, l'article 1 du Data Act mentionne les destinataires suivants :
- Fabricants de produits en réseau (par ex. fabricants d'appareils IdO, de machines intelligentes, de véhicules connectés) et fournisseurs de services connexesLes produits proposés dans l'UE. Cela inclut les logiciels ou les applications sans lesquels un appareil intelligent ne pourrait pas fonctionner (par exemple, l'application permettant de contrôler un appareil de maison intelligente ou le logiciel d'une machine connectée).
- Utilisateur desdits produits et services connectés dans l'UE. Cela comprend à la fois Consommateurs (particuliers) ainsi que utilisateurs professionnels (par exemple, les entreprises qui utilisent des appareils IdO ou qui achètent/louent des machines).
- Détenteur des données (détenteur de données). Il s'agit de personnes physiques ou morales qui ont le droit ou l'obligation de mettre à disposition des données provenant de produits ou de services en réseau. Dans la pratique, cela correspond généralement aux fabricants/fournisseurs des produits.
- Destinataire des données. Ce sont des TroisièmeLes fournisseurs de données. Il s'agit d'entreprises auxquelles l'utilisateur transmet les données de son appareil, par exemple des prestataires de services externes, des ateliers de réparation ou d'autres tiers.
- Fournisseurs de services de traitement des données. Cela permet notamment Fournisseur de services cloudqui offrent leurs services aux clients de l'UE. Ce groupe est couvert par le Data Act, car le règlement vise à promouvoir la portabilité des données et la facilité de changement de fournisseur dans le domaine du cloud.
- Organismes publics et autorités au sein de l'UE. Bien qu'ils ne soient pas explicitement mentionnés dans le champ d'application de l'article 1 en tant que destinataires "obligés", le Data Act octroie Autorités et institutions publiques sous certaines conditions, des droits de demander des données aux entreprises. Le chapitre V du Data Act régit le Échange de données entre l'État et le secteur privé (B2G) et définit quand les autorités peuvent demander l'accès aux données dans l'intérêt général.
Le Data Act définit le cercle des destinataires de manière très large
Outre ces destinataires principaux, le Data Act fait également référence à Participants aux espaces de données et aux applications Smart Contract un. Il s'agit par exemple de personnes ou d'entreprises qui fournissent des contrats intelligents à d'autres afin d'exécuter des accords d'échange de données de manière automatisée.
Aussi Vendeurs, bailleurs et donneurs de leasing font partie du cercle des destinataires du Data-Act. Ils sont soumis à des obligations précontractuelles Obligations d'information (voir plus loin).
Dans l'ensemble, le cercle des destinataires est donc très large. "Tous les acteurs de l'économie basée sur les données" peuvent être concernés par le Data Act, des fabricants d'IoT aux utilisateurs, en passant par les fournisseurs de cloud et les autorités.
Conseil de lecture : L'UE publie une FAQ sur le Data Act
Exceptions : Pour ces entreprises, le Data Act s'applique de manière limitée
Les micro et petites entreprises (moins de 50 salariés et ≤10 millions d'euros de chiffre d'affaires annuel/bilan annuel) sont exemptées de nombreuses obligations. Le législateur entend ainsi alléger la charge des très petites entreprises. Sauf si elles sont des entreprises partenaires ou liées à des entreprises qui ne sont pas considérées comme des micro ou petites entreprises. Les moyennes entreprises plus grandes (à partir de 50 employés) doivent toutefois appliquer les directives. Il existe également des exceptions pour les instituts de recherche.
Mais les fabricants d'appareils connectés et les fournisseurs de services associés sont au cœur du Data Act.. Car ils sont typiquement en même temps les Détenteur des données. Pour eux, les conséquences sont importantes nouvelles obligationspour faciliter l'accès aux données des utilisateurs et des Troisième de garantir le respect de la loi :
Garantir l'accès aux données pour les utilisateurs
La nouveauté la plus importante est peut-être le Droit de l'utilisateur d'accéder aux Données d'utilisation de son produit. Le propriétaire des données (par exemple le fabricant) doit fournir à l'utilisateur gratuit et, lorsque cela est techniquement possible, fournir un accès direct et continu en temps réel aux données générées par l'appareil. En pratique, cela signifie que les produits et services doivent techniquement conçu de manière que l'utilisateur puisse accéder aux données. Les fabricants doivent donc prévoir, dès la conception du produit, des interfaces ou des fonctions permettant de récupérer les données. Une Transmission des données à l'utilisateur "à domicile" n'est pas obligatoire. Il suffit, par exemple, que l'utilisateur puisse consulter ou récupérer les données sur les serveurs du fabricant.
Refuser le propriétaire des données ne peut autoriser l'accès que pour des raisons strictement limitées. Par exemple, lorsque la divulgation de données spécifiques révélerait des informations relevant du secret commercial. Mais même dans ce cas, des accès partiels ou des mesures de protection raisonnables (par ex. Anonymisation) afin de restreindre le moins possible l'accès aux données des utilisateurs. Il est interdit d'abuser de cette possibilité d'exception.
Transparence et Obligations d'information
Transparence et Obligations d'information: Déjà avant la conclusion d'un contrat sur un produit ou un service en réseau doivent fournir des informations complètes aux propriétaires de données. Les utilisateurs doivent savoir avant d'acheter/louer/utiliser, quelles données génère et enregistre le produit, comme et combien de temps elles sont enregistrées, qui y a accès et comme l'utilisateur peut y accéder lui-même. En outre, il doit être indiqué si les données peuvent être transmises à des destinataires potentiels de données et à quelles conditions.
Cette obligation de transparence s'apparente à l'idée d'une "description de produit" de données et vise à éviter les surprises : L'utilisateur apprend par exemple si son téléviseur intelligent Données d'utilisation et s'ils sont liés à des Troisième (comme les partenaires de service). En Allemagne, cela signifie que les fabricants devront compléter leurs informations produits et leurs conditions générales en conséquence.
Convenir des droits d'utilisation
Les détenteurs de données doivent s'engager par contrat à fournir les Droits d'utilisation des données générées par leurs produits de l'entreprise. Jusqu'à présent, il était souvent difficile de savoir à qui "appartenaient" les données IdO non personnelles. À l'avenir, les contrats (par exemple, les contrats d'achat/d'utilisation) devraient stipuler que le fabricant/fournisseur de services peut utiliser les données générées par l'appareil et les partager selon les conditions du Data Act.
Ces clauses créent une sécurité juridique, mais sont pas de carte blanche pour l'utilisation exclusive de données : le Data Act précise que les fabricants doivent payer les Données d'utilisation ne plus valoriser exclusivement seul mais doivent les partager à la demande de l'utilisateur.
Transmission des données à Troisième à la demande de l'utilisateur
Les utilisateurs d'appareils IoT obtiennent le droit leurs données à Troisième de leur choix. Si l'utilisateur en fait la demande, le titulaire des données doit fournir certaines informations. Données d'utilisation sans délai et, si possible, en temps réel, à une personne désignée par l'utilisateur. Destinataire des données (fournisseurs tiers). Cela peut même être un Concurrents du fabricant. Ce droit vise à Services de suivi et services complémentaires peuvent être encouragés. Ainsi, les garages indépendants, les compagnies d'assurance ou les prestataires de services d'analyse peuvent accéder, par le biais de l'utilisateur, à des données qui, jusqu'à présent, étaient souvent détenues de manière monopolistique par le constructeur.
Pour la mise à disposition des données au tiers, le titulaire des données peut en principe demander un Rémunération mais seulement à des conditions équitables et raisonnables (principe FRAND). Les prix excessifs ou les conditions discriminatoires ne sont pas autorisés. Une marge raisonnable sur les coûts de mise à disposition est autorisée. Exception : le destinataire Troisième est une PME. De petites et moyennes entreprises recevant des données ne doit pas exiger de marge du tout de la Commission. La Commission européenne va Lignes directrices pour une rémunération équitable afin de faciliter l'application pratique.
Clauses contractuelles et règles "anti-abus".
Afin de remédier aux déséquilibres de pouvoir, le Data Act interdit les clauses contractuelles abusives dans les contrats de données entre entreprises. En particulier dans les situations B2B où le pouvoir de négociation est inégal, il est interdit d'imposer des conditions unilatérales qui s'écartent considérablement des bonnes pratiques commerciales et qui violent le principe de bonne foi. Sont considérées comme abusives les clauses qui obligent l'utilisateur à s'opposer à la transmission de données à caractère personnel. de tous les de ses données, ou qui permet au titulaire de données de bénéficier d'une large Responsabilité civile excluent sans contrepartie. De telles conditions ne sont pas juridiquement valables. En cas de doute, le propriétaire des données doit démontrer que ses clauses juste et approprié sont
Ces dispositions doivent notamment renforcer les acheteurs de taille moyenne qui, jusqu'à présent, devaient souvent accepter des conditions contractuelles plus désavantageuses. Et elles doivent globalement favoriser des conditions de concurrence équitables en empêchant les acteurs puissants du marché de consolider leur position par des contrats non transparents ou unilatéraux. En outre, dans les relations Titulaire des données - Destinataire des données expressément le principe FRAND (fair, reasonable and non-discriminatory) pour l'accès aux données.
Le marché des données doit devenir plus équitable
Le Data Act de l'UE introduit, à partir de 2025, un nouveau régime d'utilisation des données qui s'applique à tous les secteurs. Fabricant et propriétaire des données en Allemagne doivent se préparer à obligations étendues d'information et de remise de documents régler, Utilisateur gagnent des informations complètes Droits des données, Destinataire des données de nouvelles possibilités sous conditions.
Le règlement n'est pas isolé, mais complète et modifie le cadre juridique existant, de la protection des données à la procédure administrative en passant par les règles de concurrence. Les entreprises feraient bien de profiter du temps qui leur reste pour Mesures de conformité de l'entreprise : interne Inventaires des données de rédiger des contrats, de vérifier des contrats, de mettre en place des interfaces techniques et de former les collaborateurs. En même temps, il ne faut pas négliger les opportunités : Un marché des données plus équitable peut Innovation et concurrence et tout le monde en profite.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French