Data Act et fabricants IoT : partage de donnees

Le Data Act (reglement (UE) 2023/2854), applicable depuis le 12 septembre 2025, impose aux fabricants d’objets connectes (IoT – Internet of Things) des obligations inedites en matiere de partage de donnees. Jusqu’a l’entree en application de ce texte, les fabricants d’objets connectes maitrisaient quasi exclusivement les donnees generees par leurs produits. Le Data Act renverse cette logique en consacrant le droit des utilisateurs a acceder aux donnees generees par les produits connectes qu’ils utilisent, et a les partager avec des tiers de leur choix.

Pour les fabricants d’objets connectes, cette obligation de partage transforme profondement la conception des produits, les modeles economiques et les relations avec les clients et les prestataires de services.

Le champ d’application : quels produits connectes sont concernes

La notion de “produit connecte”

Le Data Act s’applique aux produits connectes definis comme tout objet qui obtient, genere ou collecte des donnees concernant son utilisation ou son environnement, et qui est capable de communiquer ces donnees via un service de communication electronique, une connexion physique ou un acces sur l’appareil.

Cette definition couvre un spectre tres large de produits : les appareils electromenagers connectes (refrigerateurs, lave-linge, aspirateurs robots), les vehicules connectes, les dispositifs de sante connectes (montres, bracelets, balances), les equipements industriels connectes (machines, capteurs, automates), les systemes domotiques (thermostats, cameras, serrures), les jouets connectes, et les equipements agricoles connectes.

Les donnees concernees

Les donnees visees par le Data Act sont les donnees generees par l’utilisation du produit connecte, qu’il s’agisse de donnees brutes captees par les capteurs du produit (temperature, mouvement, son, image) ou de donnees derivees du traitement interne (statistiques d’utilisation, diagnostics, performances). Les donnees inferees ou deduites par le fabricant a partir des donnees brutes au moyen d’algorithmes proprietaires ne sont en principe pas couvertes par l’obligation de partage.

Les obligations des fabricants IoT

L’obligation de conception pour l’acces (article 3)

L’article 3 du Data Act impose aux fabricants de concevoir et fabriquer les produits connectes de maniere a ce que les donnees soient accessibles a l’utilisateur de maniere aisee, securisee, gratuite et dans un format structure, couramment utilise et lisible par machine.

Cette obligation de conception implique des choix techniques structurants. Le fabricant doit integrer des interfaces d’acces aux donnees (API, portail web, application mobile), implementer des formats de donnees standardises et interoperables, prevoir des mecanismes d’authentification securises pour l’acces aux donnees, et documenter les types de donnees accessibles, leur volume et leur frequence de generation.

L’obligation de conception pour l’acces s’applique a tout nouveau produit connecte mis sur le marche a compter du 12 septembre 2025. Les produits existants mis sur le marche avant cette date ne sont pas concernes, sauf modification substantielle.

L’obligation de mise a disposition des donnees a l’utilisateur (article 4)

L’article 4 impose au fabricant (ou au “detenteur de donnees” – le titulaire du droit de mettre a disposition les donnees) de mettre les donnees generees par le produit connecte a la disposition de l’utilisateur. Cette mise a disposition doit etre gratuite, sans retard injustifie, de maniere continue et en temps reel le cas echeant, dans un format structure, couramment utilise et lisible par machine, et dans la meme qualite que celle accessible au fabricant lui-meme.

L’utilisateur n’a pas a justifier sa demande. L’acces aux donnees est un droit attache a l’utilisation du produit connecte.

L’obligation de partage avec des tiers (article 5)

L’article 5 du Data Act impose au fabricant de mettre les donnees a la disposition d’un tiers designe par l’utilisateur, a la demande de ce dernier. Le tiers peut etre un prestataire de maintenance, un fournisseur de services complementaires, un concurrent du fabricant proposant des services bases sur les donnees du produit, ou toute autre entite choisie par l’utilisateur.

Le fabricant ne peut pas s’opposer au choix du tiers par l’utilisateur, sauf si le tiers utilise les donnees pour developper un produit connecte concurrent (article 6). Le fabricant peut exiger du tiers une compensation raisonnable couvrant les couts de mise a disposition, mais cette compensation ne doit pas etre dissuasive.

L’information prealable de l’utilisateur (article 3.2)

Avant la conclusion du contrat de vente ou de location, le fabricant doit informer l’utilisateur, de maniere claire et comprehensible, de la nature des donnees generees par le produit, du volume et de la frequence de generation, de la finalite de la collecte par le fabricant, des modalites d’acces aux donnees, et des droits de partage avec des tiers.

Cette information doit figurer dans la documentation du produit, les conditions contractuelles, ou un document specifique accessible avant l’achat.

L’articulation avec le RGPD

Les donnees personnelles dans les donnees IoT

Les donnees generees par les produits connectes sont frequemment des donnees personnelles au sens du RGPD : les donnees d’utilisation d’un thermostat connecte revelent les habitudes de vie, les donnees d’une montre connectee sont des donnees de sante, les donnees d’un vehicule connecte permettent la geolocalisation du conducteur.

Le Data Act s’articule avec le RGPD selon le principe suivant : le Data Act ne modifie pas les obligations du RGPD. Lorsque les donnees generees par un produit connecte sont des donnees personnelles, le fabricant doit satisfaire simultanement aux obligations du Data Act et a celles du RGPD. L’articulation entre Data Act et RGPD est un point de vigilance majeur.

Les implications pratiques

La base legale pour le traitement des donnees personnelles (RGPD) est distincte du droit d’acces aux donnees (Data Act). L’utilisateur a le droit d’acceder aux donnees au titre du Data Act, independamment de la base legale du traitement au titre du RGPD. Le partage avec un tiers doit respecter les droits des personnes concernees : si les donnees partagees contiennent des donnees personnelles de tiers (par exemple, les donnees d’un assistant vocal captant les voix de tous les occupants du domicile), le consentement de ces tiers peut etre requis.

Le fabricant doit mettre en oeuvre les mesures de securite appropriees pour proteger les donnees personnelles lors de l’acces et du partage, conformement a l’article 32 du RGPD et aux recommandations de la CNIL.

L’articulation avec le CRA

Les fabricants d’objets connectes sont egalement concernes par le Cyber Resilience Act, qui impose des exigences de cybersecurite pour les produits comportant des elements numeriques. L’obligation de conception pour l’acces aux donnees (Data Act) doit etre articulee avec l’obligation de conception securisee (CRA). Les interfaces d’acces aux donnees doivent etre securisees par conception et ne pas creer de vulnerabilites exploitables.

L’articulation entre le Data Act et les obligations de securite des objets connectes impose une approche integree de la conception produit.

Les secrets d’affaires et les donnees proprietaires

La protection des secrets d’affaires

Le Data Act prevoit que le fabricant peut prendre des mesures pour proteger ses secrets d’affaires. Le partage de donnees ne doit pas permettre au tiers ou a l’utilisateur de reconstituer les algorithmes proprietaires du fabricant. Les donnees brutes doivent etre partagees, mais les donnees inferees par des algorithmes proprietaires peuvent etre exclues.

Des accords de confidentialite peuvent etre conclus avec les tiers destinataires des donnees. Le fabricant peut refuser le partage s’il demontre que la divulgation de certaines donnees compromettrait de maniere disproportionnee ses secrets d’affaires, mais cette exception est d’interpretation stricte.

Les donnees non personnelles

Pour les donnees non personnelles generees par le produit connecte, le Data Act s’applique pleinement sans les contraintes du RGPD. Le fabricant doit neanmoins garantir la securite et l’integrite des donnees lors du partage, conformement aux exigences d’interoperabilite du Data Act et aux normes techniques applicables.

Les consequences sur les modeles economiques

Le Data Act remet en question les modeles economiques fondes sur l’exclusivite des donnees IoT. Les fabricants qui monétisaient les donnees de leurs produits connectes (vente d’analyses, services premium bases sur les donnees) doivent adapter leur strategie. Les pistes d’adaptation incluent le developpement de services a forte valeur ajoutee exploitant les donnees inferees (non couvertes par l’obligation de partage), la monetisation de l’expertise et de l’interpretation des donnees, la creation d’ecosystemes de partenaires autour des donnees partagees, et l’amelioration de l’experience utilisateur pour fideliser au-dela de l’acces aux donnees brutes.

Le Data Act est aussi une opportunite : l’ouverture des donnees favorise l’innovation et la creation de services complementaires, qui peuvent renforcer la valeur du produit pour l’utilisateur et, indirectement, pour le fabricant.

FAQ

Les fabricants doivent-ils partager toutes les donnees generees par le produit connecte ?

Le Data Act impose le partage des donnees brutes generees par l’utilisation du produit connecte et des donnees derivees du traitement interne accessible au fabricant. En revanche, les donnees inferees par des algorithmes proprietaires (analyses avancees, predictions, modeles) ne sont pas couvertes par l’obligation de partage. Le fabricant peut egalement proteger ses secrets d’affaires en limitant le partage aux donnees necessaires, sous reserve que cette limitation ne vide pas le droit d’acces de sa substance. La frontiere entre donnees “derivees” et “inferees” peut donner lieu a des interpretations divergentes, que les juridictions europeennes seront amenees a preciser.

Un fabricant peut-il facturer l’acces aux donnees ?

L’acces aux donnees par l’utilisateur doit etre gratuit (article 4). En revanche, lorsque les donnees sont mises a disposition d’un tiers a la demande de l’utilisateur, le fabricant peut demander au tiers une compensation raisonnable couvrant les couts techniques de mise a disposition. Cette compensation ne doit pas etre dissuasive et ne doit pas servir de barriere a l’entree. Pour les PME designees comme tiers destinataires, la compensation est plafonnee aux couts marginaux de mise a disposition.

Le Data Act s’applique-t-il aux produits connectes vendus avant le 12 septembre 2025 ?

Non. L’obligation de conception pour l’acces aux donnees s’applique aux produits connectes mis sur le marche a compter du 12 septembre 2025. Les produits mis sur le marche avant cette date ne sont pas soumis a l’obligation de conception. Toutefois, si les donnees sont accessibles au fabricant pour ces produits existants, l’obligation de mise a disposition des donnees a l’utilisateur s’applique neanmoins a compter du 12 septembre 2025. Le fabricant n’a pas a modifier un produit existant pour creer un acces aux donnees, mais il doit partager les donnees auxquelles il a deja acces.