Entré en vigueur le 11 janvier 2024, le Data Act devient applicable à partir du 12 septembre 2025.
Alors que le RGPD, en vigueur depuis 2018, protège nos données personnelles, le Data Act vient compléter ce cadre en encadrant l’usage, le partage et la gouvernance des données non personnelles — celles générées par nos objets connectés, machines industrielles ou services numériques.
Dans un monde où les appareils intelligents prolifèrent dans les foyers, les entreprises et les infrastructures publiques, le Data Act répond à des enjeux majeurs :
-
éviter que les fabricants ou fournisseurs de services ne gardent un monopole sur les données générées ;
-
garantir aux utilisateurs — particuliers comme entreprises — un accès équitable et transparent à ces données ;
-
faciliter le partage sécurisé des données lorsque cela sert l’intérêt général ou l’innovation.
Comprendre la différence : RGPD vs Data Act
Le RGPD protège uniquement les données personnelles : celles qui permettent d’identifier une personne (nom, e-mail, données de santé, etc.).
-
Exemple : votre adresse e-mail ou vos données médicales sont protégées par le RGPD.
Le Data Act, lui, s’applique aux autres données générées par les objets connectés et services numériques : données techniques, d’usage ou de performance.
-
Exemples :
-
les kilomètres enregistrés par une voiture connectée,
-
les cycles de lavage d’une machine à laver intelligente,
-
les données de consommation d’un compteur électrique,
-
ou les informations de performance issues d’une machine industrielle.
-
En résumé : le RGPD protège vos informations personnelles, le Data Act régule toutes les autres données produites par vos objets connectés.
Qui est concerné ?
Le Data Act vise directement :
-
les fabricants d’objets connectés : constructeurs automobiles, fabricants d’appareils électroménagers intelligents, producteurs de machines industrielles ou de dispositifs médicaux connectés ;
-
les fournisseurs de services associés : opérateurs de maintenance prédictive, applications de suivi, services cloud liés à l’usage de l’objet ;
-
les utilisateurs : aussi bien les particuliers (un consommateur qui utilise une montre connectée) que les entreprises (une usine qui exploite des machines générant des données de production).
Des principes proches du RGPD
Le Data Act transpose dans le champ des données non personnelles des principes déjà connus sous le RGPD :
-
minimisation des données collectées ;
-
contrôle des accès par l’utilisateur ;
-
transparence sur les modalités de collecte et de partage.
Nouveaux droits pour les utilisateurs
Le règlement renforce la maîtrise des utilisateurs sur les données générées par leurs objets :
-
Portabilité élargie : possibilité de transférer l’ensemble des données générées vers un autre fournisseur de services (ex. exporter les données d’une montre connectée pour les exploiter sur une nouvelle application) ;
-
Droit d’accès direct : l’utilisateur peut consulter les données produites par l’appareil sans passer uniquement par le fabricant ;
-
Droit à l’information : le fournisseur doit informer clairement sur les capacités du produit en matière de génération, de stockage et de partage des données (ex. si les données d’une voiture connectée sont automatiquement transmises au constructeur ou à l’assureur).
Quand le partage de données devient obligatoire
Le Data Act prévoit également des cas où les données doivent être obligatoirement partagées, par exemple :
-
lorsqu’une législation sectorielle l’impose (ex. données de compteurs intelligents communiquées aux régulateurs de l’énergie) ;
-
pour répondre à un intérêt général (ex. partager des données d’appareils médicaux ou de capteurs environnementaux en cas de menace sanitaire ou climatique) ;
-
ou encore dans le cadre d’une demande d’une autorité publique ayant un fondement légal clair.
Ces obligations visent à concilier l’innovation économique et l’intérêt collectif, tout en évitant les situations de monopole des fabricants sur “leurs” données.
Conclusion
Le Data Act n’interfère pas avec le RGPD : il en est le complément logique, en organisant la circulation et le partage des données non personnelles.
Ce texte crée de nouvelles obligations pour les fabricants et fournisseurs de services, mais il offre aussi aux utilisateurs — particuliers comme entreprises — une plus grande maîtrise de leurs données.
Dans un monde où les objets connectés prolifèrent, le Data Act marque une étape importante vers un écosystème européen de confiance, où la donnée — qu’elle soit personnelle ou non — est mieux protégée, mieux gouvernée et plus équitablement partagée.
