Data Act et API : obligations de mise a disposition des donnees

Le Data Act (reglement (UE) 2023/2854) impose aux fabricants de produits connectes et aux fournisseurs de services connexes de mettre a disposition les donnees generees par l’utilisation de leurs produits. Cette obligation de mise a disposition souleve des questions techniques majeures, notamment quant aux interfaces de programmation applicative (API) qui devront etre deployees pour satisfaire aux exigences du reglement. L’article analyse en detail les obligations techniques et juridiques pesant sur les detenteurs de donnees en matiere d’acces programmatique.

Le cadre juridique de la mise a disposition des donnees

L’obligation de conception accessible (article 3)

L’article 3 du Data Act impose une obligation de design for access : les produits connectes et les services connexes doivent etre concus et fabriques de maniere a ce que les donnees generees par leur utilisation soient accessibles facilement, gratuitement et, le cas echeant, de maniere continue et en temps reel. Cette obligation de conception conditionne directement l’architecture technique des systemes d’information des fabricants.

Concretement, le fabricant doit prevoir, des la phase de developpement du produit, les mecanismes techniques permettant l’extraction et la transmission des donnees. Il ne s’agit pas d’une simple faculte mais bien d’une obligation de resultat : si le produit ne permet pas techniquement l’acces aux donnees, le fabricant est en infraction.

Le droit d’acces de l’utilisateur (article 4)

L’article 4 du Data Act consacre le droit de l’utilisateur d’acceder aux donnees generees par l’utilisation du produit connecte. Ce droit s’exerce directement – lorsque les donnees sont accessibles depuis le produit lui-meme – ou sur demande aupres du detenteur des donnees. Dans ce second cas, le detenteur doit fournir les donnees sans retard injustifie, gratuitement et, le cas echeant, de maniere continue et en temps reel.

Le partage avec des tiers (article 5)

L’article 5 permet a l’utilisateur de demander que ses donnees soient mises a disposition d’un tiers de son choix. Le detenteur des donnees doit alors fournir ces donnees au tiers designe dans les memes conditions que celles applicables a l’utilisateur, c’est-a-dire sans retard injustifie, dans la meme qualite et de maniere continue si la demande le prevoit.

Les exigences techniques pour les API

L’obligation d’interoperabilite

Le Data Act ne mentionne pas expressement le terme “API” dans ses dispositions relatives a l’acces aux donnees des produits connectes. Neanmoins, les exigences qu’il pose – acces continu, en temps reel, dans un format structure et lisible par machine – impliquent necessairement le deploiement d’interfaces programmatiques. Le chapitre VIII du reglement, relatif a l’interoperabilite, renforce cette interpretation en exigeant que les donnees soient mises a disposition dans des formats conformes aux specifications d’interoperabilite et aux normes harmonisees applicables.

L’article 33 precise que les donnees doivent etre mises a disposition dans un format qui respecte les exigences essentielles d’interoperabilite definies a l’article 33, paragraphes 1 et 2. Ces exigences couvrent notamment la transparence des formats, la documentation technique et la possibilite de traitement automatise.

Les standards techniques applicables

La Commission europeenne est habilitee, en vertu de l’article 34, a demander aux organisations europeennes de normalisation (CEN, CENELEC, ETSI) d’elaborer des normes harmonisees pour les API de mise a disposition des donnees. En attendant l’adoption de ces normes, les detenteurs de donnees doivent s’appuyer sur les standards techniques existants, notamment :

• Les API RESTful conformes aux specifications OpenAPI, qui constituent le standard de facto pour les echanges de donnees en temps reel.
• Les protocoles de communication IoT tels que MQTT, CoAP ou OPC UA pour les donnees industrielles.
• Les formats de donnees structures comme JSON, XML ou CSV, qui garantissent l’interoperabilite et la lisibilite par machine.

Le recours a des formats proprietaires fermant l’acces aux donnees constituerait une violation des obligations d’interoperabilite du reglement.

Les exigences de securite des API

La mise a disposition des donnees via des API doit s’effectuer dans le respect des exigences de securite imposees par le reglement. L’article 4, paragraphe 6, precise que le detenteur des donnees peut prendre des mesures raisonnables pour proteger les secrets d’affaires et assurer la securite des systemes. Ces mesures doivent neanmoins rester proportionnees et ne pas constituer un obstacle injustifie a l’exercice du droit d’acces.

En pratique, cela implique la mise en oeuvre de mecanismes d’authentification robustes (OAuth 2.0, certificats clients), de controles d’acces granulaires, de chiffrement des communications (TLS) et de journalisation des acces. Les recommandations de l’ANSSI en matiere de securisation des API constituent un referentiel technique pertinent en la matiere.

L’articulation avec le RGPD

La question des donnees personnelles

Lorsque les donnees mises a disposition via les API contiennent des donnees a caractere personnel, les obligations du RGPD s’appliquent cumulativement a celles du Data Act. L’article 1er, paragraphe 5, du Data Act affirme expressement que le reglement ne porte pas atteinte au RGPD et qu’en cas de conflit entre les deux textes, le RGPD prevaut.

Cette articulation a des consequences pratiques directes sur la conception des API. Le detenteur des donnees doit notamment s’assurer que les mecanismes d’acces respectent le principe de minimisation (article 5 du RGPD) en ne transmettant que les donnees strictement necessaires, et qu’une base legale appropriee fonde le traitement.

La protection des donnees des tiers

L’article 4, paragraphe 5, du Data Act interdit a l’utilisateur d’utiliser les donnees obtenues pour developper un produit en concurrence directe avec le produit connecte dont elles sont issues. Mais au-dela de cette restriction, lorsque les donnees mises a disposition via une API contiennent des donnees personnelles de tiers (par exemple, dans le cas d’un vehicule connecte utilise par plusieurs conducteurs), le detenteur doit veiller a ce que la transmission s’effectue dans le respect des droits de ces personnes.

Le Data Act prevoit a cet egard que la mise a disposition de donnees personnelles de tiers ne peut intervenir que sur un fondement juridique valide au titre du RGPD, ce qui peut necessiter le recueil du consentement des personnes concernees ou l’identification d’un autre fondement prevu a l’article 6 du RGPD.

Les obligations de compensation

Le principe de gratuite pour l’utilisateur

Le Data Act pose le principe de la gratuite de l’acces aux donnees pour l’utilisateur (article 4, paragraphe 1). Le deploiement et la maintenance des API constituent donc un cout a la charge exclusive du detenteur des donnees, qui ne peut le repercuter sur l’utilisateur.

La compensation raisonnable pour les tiers

En revanche, lorsque les donnees sont mises a disposition d’un tiers a la demande de l’utilisateur (article 5), le detenteur peut exiger du tiers une compensation raisonnable. L’article 9 precise que cette compensation ne doit pas depasser les couts directement lies a la mise a disposition, incluant les couts de formatage, de stockage et de mise a disposition technique. Les couts de developpement et de maintenance des API peuvent donc etre partiellement repercutes sur les tiers.

Pour les micro, petites et moyennes entreprises tierces, l’article 9, paragraphe 2, plafonne la compensation aux couts directement lies a la mise a disposition, sans marge supplementaire.

Le calendrier de mise en conformite

Le Data Act est entre en application le 12 septembre 2025. A compter de cette date, les fabricants de produits connectes mis sur le marche doivent respecter les obligations de conception accessible de l’article 3. Pour les produits deja sur le marche avant cette date, l’article 50 prevoit une application differee au 12 septembre 2026.

Les entreprises concernees doivent donc, sans tarder, planifier le deploiement de leurs infrastructures API. Ce chantier implique :

1. L’inventaire des donnees generees par chaque produit connecte
2. La conception de l’architecture API conforme aux exigences du reglement
3. Le developpement et les tests des endpoints d’acces
4. La documentation technique complete a destination des utilisateurs et des tiers
5. L’audit de securite des interfaces deployees

Les sanctions en cas de non-conformite

Le Data Act confie aux Etats membres le soin de definir les sanctions applicables (article 40). Neanmoins, le reglement precise que ces sanctions doivent etre effectives, proportionnees et dissuasives. Le refus systematique de mettre a disposition les donnees via une API conforme, ou le deploiement d’obstacles techniques injustifies a l’acces, pourrait ainsi donner lieu a des sanctions significatives.

En France, la CNIL et les autorites sectorielles competentes seront chargees du controle du respect des obligations du Data Act. Les entreprises ont tout interet a anticiper ces obligations pour eviter le risque de sanctions et de contentieux.

FAQ

Les fabricants doivent-ils obligatoirement fournir une API pour le Data Act ?

Le Data Act n’impose pas expressement le deploiement d’une API au sens strict. Il exige en revanche que les donnees soient accessibles facilement, de maniere continue et en temps reel, dans un format structure et lisible par machine. En pratique, ces exigences cumulees rendent le deploiement d’une API quasi incontournable pour la plupart des produits connectes, a moins qu’un autre mecanisme technique ne remplisse ces conditions.

Quels formats de donnees sont acceptables pour les API au titre du Data Act ?

Le reglement impose que les donnees soient mises a disposition dans un format structure, couramment utilise et lisible par machine. Les formats JSON, XML et CSV sont expressement compatibles avec ces exigences. Les formats proprietaires ne repondant pas aux criteres d’interoperabilite de l’article 33 ne sauraient etre imposes comme seule option d’acces.

Comment articuler les exigences de securite des API avec l’obligation de mise a disposition ?

Le detenteur des donnees peut mettre en oeuvre des mesures de securite raisonnables pour proteger ses systemes et ses secrets d’affaires. Il peut notamment exiger une authentification prealable, limiter les volumes de requetes ou chiffrer les communications. Toutefois, ces mesures ne doivent pas constituer un obstacle disproportionne a l’exercice du droit d’acces. Le detenteur doit documenter et justifier chaque mesure restrictive au regard des risques effectifs.