ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Le règlement sur les données (Data Act) : un nouveau cadre européen pour le partage et l’utilisation des données

Le règlement sur les données (Data Act) : un nouveau cadre européen pour le partage et l’utilisation des données

22 décembre 2025

Le règlement sur les données établit un cadre européen pour organiser le partage et l’utilisation des données des objets connectés. Il renforce les droits des utilisateurs et crée de nouvelles obligations pour les acteurs concernés. La CNIL présente son rôle et les nouvelles règles applicables.

Faciliter le partage des données des objets connectés

Un nouveau cadre pour mieux accéder aux données générées par les objets connectés

Le règlement européen sur les données (Data Act) doit permettre de développer une économie de la donnée plus ouverte et plus compétitive. Pour cela, il fixe des règles équitables sur l’accès et l’utilisation des données personnelles ou non, générées par les objets connectés. Il détaille qui peut utiliser quelles données et comment.

Concrètement, le règlement sur les données permet à toute personne qui possède ou utilise un objet connecté d’accéder aux données générées par cet objet. Il facilite aussi leur partage avec d’autres acteurs, en interdisant notamment les clauses contractuelles abusives.

La mise en œuvre de ce règlement doit se faire de manière articulée avec le RGPD. Il prévoit notamment qu’en cas de contradiction entre les deux textes, c’est le RGPD qui prévaut lorsque des données personnelles sont concernées.

De même, il convient de prendre en compte le règlement sur la gouvernance des données (Digital Governance Act ou DGA), qui a mis en place de nouveaux intermédiaires de confiance pour encourager le partage volontaire de données.

Un règlement applicable progressivement  

La plupart des dispositions du règlement sur les données sont applicables depuis le 12 septembre 2025. D’autres obligations entreront en application ultérieurement :

  • Septembre 2026 : les fabricants et les fournisseurs devront concevoir les objets connectés et leurs services pour que les données qu’ils génèrent soient directement accessibles.
  • Janvier 2027 : les bénéficiaires d’un service d’informatique en nuage (cloud) devront pouvoir changer de fournisseur sans frais.
  • Septembre 2027 : l’interdiction des clauses abusives s’appliquera aux contrats conclus avant le 12 septembre 2025.

À noter : la Commission européenne a présenté, le 19 novembre 2025, une proposition de règlement susceptible de modifier le règlement sur les données afin d’améliorer l’articulation entre les législations européennes (notamment avec le DGA).

Couvrir toutes les données générées par l’utilisation d’objets connectés

Le règlement sur les données s’applique à toutes les données produites par l’utilisation d’objets connectés et les services qui leur sont associés, qu’elles soient personnelles ou non.

  • Les objets concernés sont tous ceux qui communiquent des données par le biais d’Internet ou un autre réseau public comme un véhicule connecté, une montre ou un bracelet de santé connecté, un thermostat intelligent ou encore une machine industrielle équipée de capteurs.
  • Les services associés sont ceux nécessaires au fonctionnement de ces objets. Ce sont, par exemple, l’ qui permet de régler un thermostat connecté, la plateforme en ligne où sont affichées les données d’un capteur, un service de gestion commerciale de flotte de véhicules, lié au boîtier télématique installé dans les véhicules ou encore un assistant intelligent intégré au produit.

Lorsque des données personnelles sont concernées, leur traitement doit rester conforme au RGPD.

Identifier les acteurs concernés par le règlement sur les données

Le règlement sur les données s’applique à de nombreux acteurs, qu’ils soient publics ou privés.

Les fabricants et les détenteurs de données

Les fabricants sont ceux qui conçoivent ou fabriquent un objet connecté ou le service associé.

Les détenteurs de données sont ceux qui génèrent ou détiennent les données. Pour être qualifié de détenteur de données, il est nécessaire d’exercer un vrai contrôle sur ces données. Dans la pratique, les fabricants sont souvent détenteurs de données, mais ce n’est pas systématique.

Exemple

Un fabricant de montre connectée collecte les données générées lors de leur utilisation pour fournir des fonctionnalités de suivi sportif dans l’application associée. Dans ce cas-là, le fabricant est aussi détenteur de données.

Si le fabricant confie à une entreprise externe la conception et la gestion de l’application mobile et que celle-ci collecte les données pour fournir le service, alors elle devient détentrice de données

Les utilisateurs d’objets connectés ou de services associés

Les utilisateurs sont toutes les personnes (particuliers, entreprises, etc.) qui possèdent ou utilisent, même temporairement, un objet connecté ou un service associé.

Ces personnes peuvent exercer les droits prévus par le règlement sur les données, notamment le droit de demander l’accès aux données générées par l’utilisation de l’objet connecté ou des services qui y sont liés.

Exemples
Pour un même objet connecté, plusieurs utilisateurs peuvent coexister, selon les usages et les situations : 

  • Le propriétaire d’un véhicule connecté (un particulier, une société de location ou encore une société qui possède des véhicules de fonction pour ses salariés) est un utilisateur.
  • La personne qui loue ce véhicule auprès d’une société de location ou l’utilise dans le cadre de son travail (voiture de fonction) est également un utilisateur. 
  • Une personne qui utilise un service connecté proposé dans le véhicule, même si elle n’en est pas la propriétaire, est un utilisateur.

Les destinataires

Les destinataires sont des personnes ou organismes, autres que les utilisateurs, qui reçoivent des données de la part du détenteur de données pour exercer une activité économique. Cette transmission peut notamment avoir lieu suite à une demande par l’utilisateur de transmettre ses données à un tiers. Cette demande doit être effectuée auprès du détenteur de données.

Les autres acteurs

Le règlement sur les données vise également les entités suivantes :

  • Les organismes du secteur public, institutions, agences ou organes de l’Union européenne. Dans certains cas, ces organismes peuvent exiger l’accès à certaines données afin de répondre à des situations urgentes ou à des missions d’intérêt public.
  • Les fournisseurs de services de traitement de données (par exemple un service d’informatique en nuage) proposés dans l’Union européenne.
  • Les participants aux espaces de données et vendeurs d'applications utilisant des contrats intelligents, c’est-à-dire des acteurs qui conçoivent ou utilisent des contrats automatisés dans leurs services.

Respecter les principales obligations pour faciliter le partage des données

Le règlement prévoit plusieurs obligations pour faciliter le partage des données.

Rendre les données accessibles aux utilisateurs dès la conception

Les fabricants doivent permettre aux utilisateurs – particuliers comme entreprises – d’accéder facilement aux données qu’ils génèrent. Ces données doivent être accessibles directement, lorsque c’est techniquement possible, sans frais, en toute sécurité, dans un format compréhensible et réutilisable.

Concrètement :

  • Un utilisateur d’une montre connectée doit pouvoir récupérer les données générées par l’utilisation de sa montre.
  • Un conducteur doit pouvoir récupérer les données générées par l’utilisation de son véhicule connecté.

Mettre les données à disposition de l’utilisateur sur demande

Lorsque l’utilisateur, pour des raisons techniques, ne peut pas avoir directement accès aux données à partir de l’objet connecté ou du service associé, le détenteur de données doit rendre les données facilement accessibles, sans délai, gratuitement, sur simple demande de l’utilisateur.

Permettre le partage des données à des tiers

L’utilisateur peut demander au détenteur de données de les partager avec un de son choix, à des fins commerciales ou non. Ce partage doit être effectué dans les meilleurs délais, gratuitement pour l’utilisateur, avec la même qualité que celle dont bénéficie le détenteur et, lorsque c’est techniquement possible, de façon continue et en temps réel.

Ce droit vient renforcer le droit à la portabilité prévu par le RGPD notamment en l’étendant à toutes les données (personnelles ou non).

Le règlement sur les données vient encadrer ce partage en interdisant notamment d’utiliser ces données pour développer un produit concurrent au produit connecté dont proviennent les données ou d’utiliser ces données pour profiler l’utilisateur, à moins que cela ne soit nécessaire pour fournir le service demandé.

Garantir la transparence sur les données générées par les objets connectés

Les utilisateurs doivent être informés, avant la conclusion de tout contrat concernant un objet connecté ou un service associé (notamment avant l’achat ou la location) :

  • du type de données générées lors de l’utilisation de cet objet et du service associé ;  
  • de l'utilisation des données par le fabricant/prestataire de services ;
  • de l'identité du détenteur des données ;
  • des modalités d’exercice de leurs droits.

Lorsqu’il s’agit de données personnelles, les exigences de transparence et d’information prévues par le RGPD s’appliquent également.

Faciliter le changement de prestataires de services d’informatique en nuage (cloud)

Adoptée en 2024, la loi visant à sécuriser et à réguler le numérique avait commencé à encadrer les services d’informatique en nuage pour faciliter le changement de prestataire. Le règlement sur les données vient renforcer et élargir ce cadre, en allant plus loin dans la mobilité et l’interopérabilité des services.

Les utilisateurs de services d’informatique en nuage doivent désormais pouvoir changer de fournisseur ou utiliser plusieurs services en même temps sans difficulté. Le règlement supprime ainsi les obstacles au passage d’un service à un autre (coûts, longueur des procédures, manque d’interopérabilité entre les fournisseurs, etc.).

Rappeler l’application continue des exigences du RGPD aux données personnelles

Dès que des données personnelles sont concernées, le RGPD reste applicable. Cela signifie notamment que:

  • chaque acteur doit avoir un rôle défini au sens du RGPD : responsable du traitement,  ;
  • une base légale est nécessaire pour traiter ou mettre à disposition des données personnelles ;
  • les personnes concernées conservent leurs droits : information, accès, rectification, opposition, effacement, portabilité, etc.
  • les acteurs doivent garantir un traitement sécurisé.

La CNIL confirme son rôle central dans la protection des données personnelles

Le projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, environnementale, énergétique, d’information, de transport, de santé, d’agriculture et de pêche (DADDUE), qui sera discuté au Parlement en 2026, désigne l’ARCEP en tant qu’autorité compétente pour le pilotage du règlement sur les données.

Les autorités de protection des données – dont la CNIL en France – contrôlent l’application du règlement sur les données pour ce qui concerne la protection des données personnelles.

La CNIL et l’Arcep travailleront ensemble afin d’assurer une régulation efficace et complémentaire de leurs actions dans l’application de ce règlement.

Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Géolocalisation des enfants : quels enjeux pour leur vie privée ?

22 septembre 2025

 Objets connectés
Tables Informatique et Libertés : la CNIL met à jour sa doctrine et publie des Cahiers rassemblant...

05 mars 2025

 Données personnelles
Éducation au numérique : jouez aux « Données paires-sonnelles » et apprenez à protéger votre ...

19 février 2025

 Éducation