Entré en vigueur le 12 septembre 2025, le Data Act constitue une étape clé dans la régulation européenne des données. Il répond à un constat simple : les objets connectés et services associés produisent une masse d’informations souvent monopolisées par les géants du cloud et les fabricants, au détriment des utilisateurs et autres acteurs.
Le règlement vise à rééquilibrer ce rapport de force en garantissant à chacun et chacune le droit d’accéder aux données générées, de les consulter et de les partager librement. En favorisant transparence et interopérabilité, il poursuit deux objectifs majeurs : assurer une répartition plus équitable de la valeur créée et lever les barrières à leur circulation.
Cet article identifie les actions clés à anticiper, avec un focus particulier sur le secteur de la santé.
Le Data Act élargit le champ de la régulation en introduisant la notion de détenteurs de données, c’est-à-dire les entités qui contrôlent les données générées ou extraites des objets connectés et/ou services connexes. Les trois grandes typologies d’acteurs concernées par le Data Act sont les suivantes :
Au-delà des détenteurs de données, le Data Act vise également les utilisateurs – entreprises ou particuliers – qui possèdent ou louent un produit connecté et doivent pouvoir accéder aux données générées.
Permettre un accès aux données pour les utilisateurs de produits connectés : ces utilisateurs doivent pouvoir accéder, directement ou via un tiers à leurs données, sans frais, de manière sécurisée et dans un format structuré et lisible par machine (Chapitre 2 du Data Act). Cette obligation s’appliquera aux produits connectés et aux services connexes mis sur le marché après le 12 septembre 2026.
👉 Exemples d’actions : cartographier les données générées par les produits et services, prévoir une information des utilisateurs sur ces données, mettre en place des interfaces techniques (API), revoir les contrats avec les utilisateurs pour y intégrer ces nouveaux droits et leurs modalités d’exercice.
Permettre le transfert et la portabilité des données entre entreprises : si l’utilisateur le demande, une loi ou un règlement l’exige, les données générées par les produits connectés ou services connexes doivent être transférées à une autre entreprise (Chapitres 2 & 3 du Data Act). Il peut s’agir par exemple d’une société de service après-vente réparant les montres connectées de différents fabricants et qui a besoin d’accéder aux données pour réparer la montre d’un utilisateur.
👉 Exemples d’actions : préparer un plan de portabilité des données, rédiger un modèle de contrat de transfert de données encadrant les flux de données sans clauses abusive, prévoir des modèles de redevances raisonnables, mettre en place des moyens techniques pour sécuriser ces transferts de données (API ou téléchargement des données)
Partager les données aux organismes publics : Les organismes publics peuvent demander aux détenteurs de données de leur partager les données en cas de besoin exceptionnel et motivé, telle une pandémie, catastrophe, cybersécurité (Chapitre 5).
👉 Exemples d’actions : établir des procédures internes de réponse aux demandes et définir les garde-fous de confidentialité.
Interopérabilité et changement de prestataire IT : Les fournisseurs cloud et éditeurs de logiciels SaaS vont permettre à leurs clients B2B et B2C de changer de prestataire sans interruption de service ni perte de données (Chapitre VI). L’objectif est de rééquilibrer des relations entre fournisseurs et utilisateurs, en supprimant frais de sortie, pénalités contractuelles ou procédures interminables, qui freinaient jusqu’ici le changement de prestataires. Les utilisateurs doivent pouvoir migrer vers un autre fournisseur tout en conservant leurs données et les fonctionnalités associées.
👉 Exemples d’actions : revoir les contrats clients afin d’y intégrer les modalités pratiques de transfert, mettre en place des solutions techniques assurant une migration fluide, et proposer des interfaces ouvertes capables d’exporter les données dans des formats standards, couramment utilisés et lisibles par machine.
Pour protéger le secret des affaires et la propriété intellectuelle des détenteurs de données, le Data Act précise que l’entité accédant aux données ne peut pas accéder données protégées par des droits de propriété intellectuelle ou constituant un secret d’affaires du fournisseur de services (articles 4, 5 et 30), ni développer un produit concurrent, ni utiliser ces données à d’autres fins (articles 4 et 6). Le règlement prévoit également des mesures pour sanctionner l’accès ou l’usage illégal des données par un utilisateur ou un tiers (art. 11).
Enfin, il est prévu que la mise à disposition des données peut donner lieu à une compensation financière raisonnable (article 9).
Le Data Act génère des bénéfices à plusieurs niveaux.
Pour les entreprises, il ouvre la porte à de nouveaux modèles économiques, stimule l’innovation et réduit la dépendance aux géants du numérique. Pour les utilisateurs, il apporte plus de transparence et de contrôle : chacun peut enfin exploiter, partager ou transférer ses propres données, renforçant la confiance et la qualité des services. Quant aux organismes publics, ils gagnent un accès stratégique aux données en cas de crise, un atout précieux pour mieux anticiper et réagir.
Le secteur de la santé illustre les ambitions et les limites du Data Act. En première ligne, figurent les fabricants de dispositifs médicaux connectés – outils de télésuivi patient, montres connectés, appareils d’imagerie – les fournisseurs de services connexes qui exploitent ces données, ainsi que les établissements de santé susceptibles d’y accéder dans l’intérêt des patients.
Les opportunités sont majeures : un accès facilité aux données issues des dispositifs connectés, une meilleure collaboration entre acteurs publics et privés, l’accélération de la recherche et amélioration de la qualité des soins. Cette dynamique s’inscrit ainsi dans la création de l’Espace européen des données de santé, destiné à renforcer prévention, innovation et coopération transfrontalière entre les acteurs du monde de la santé dans l’Union Européenne.
Ces promesses s’accompagnent toutefois de défis majeurs : il est nécessaire d’assurer une protection renforcée des données sensibles, de sécuriser les transferts, de garantir que les usages restent strictement conformes aux finalités prévues et de préserver en permanence la transparence ainsi que le consentement et le contrôle des patients sur leurs données.
***
Pour en savoir plus sur la réglementation européenne des données de santé des patients, nous vous invitons à consulter notre article : « Données de santé des patients : la régulation monte en puissance en France et en Europe », disponible sur notre blog.
L’équipe IT/Data du cabinet vous accompagne pour sécuriser vos pratiques et intégrer ces exigences dans vos projets. Contactez-nous dès aujourd’hui pour anticiper les évolutions réglementaires et mettre vos outils en conformité.
Clémentine Beaussier, avocate associée chez Squair