Data Act vs RGPD : differences, interactions et hierarchie

L’entree en application du Data Act le 12 septembre 2025 a ajoute une nouvelle couche de reglementation au paysage deja dense du droit europeen des donnees. Pour les praticiens comme pour les entreprises, la question de l’articulation entre le Data Act et le RGPD est devenue un sujet de conformite incontournable. Ces deux textes coexistent, mais ne poursuivent pas les memes objectifs, ne couvrent pas le meme perimetre et n’obeissent pas a la meme logique. Leur interaction merite un examen attentif.

Deux reglements, deux philosophies

Le RGPD : proteger les personnes

Le reglement general sur la protection des donnees (reglement (UE) 2016/679) a pour objet la protection des personnes physiques a l’egard du traitement de leurs donnees a caractere personnel. Son champ d’application est determine par la nature de la donnee : des lors qu’une information se rapporte a une personne physique identifiee ou identifiable, le RGPD s’applique.

Le RGPD repose sur des principes fondamentaux : licite, loyaute et transparence du traitement, limitation des finalites, minimisation des donnees, exactitude, limitation de la conservation, integrite et confidentialite, responsabilite (accountability). Il confere aux personnes concernees des droits subjectifs (acces, rectification, effacement, portabilite, opposition) et impose aux responsables de traitement des obligations structurantes (analyse d’impact, registre des traitements, designation d’un DPO dans certains cas).

Le Data Act : fluidifier l’acces aux donnees

Le Data Act (reglement (UE) 2023/2854) poursuit un objectif fondamentalement different. Il vise a favoriser l’acces equitable aux donnees et leur utilisation dans l’economie numerique. Son champ d’application est determine non pas par la nature de la donnee, mais par son origine : les donnees generees par l’utilisation de produits connectes et de services connexes.

Le Data Act s’applique a toutes les donnees generees par les objets connectes, qu’elles soient personnelles ou non personnelles. Son objectif est economique : debloquer la valeur des donnees industrielles et commerciales, prevenir les abus de position dominante dans le partage de donnees et faciliter la mobilite entre fournisseurs de services cloud.

Les differences structurelles

Champ d’application materiel

Critere	RGPD	Data Act
Donnees couvertes	Donnees a caractere personnel uniquement	Toutes donnees generees par des produits connectes (personnelles et non personnelles)
Critere declencheur	Nature de la donnee (caractere personnel)	Origine de la donnee (produit connecte / service connexe)
Secteurs	Tous secteurs	Principalement IoT, cloud, services numeriques

Acteurs concernes

Le RGPD s’articule autour des notions de responsable de traitement et de sous-traitant, definies par le critere de la determination des finalites et des moyens du traitement.

Le Data Act introduit des categories d’acteurs differentes :

• Le detenteur de donnees (data holder) : le fabricant du produit connecte ou le fournisseur du service connexe qui dispose des donnees.
• L’utilisateur (user) : la personne physique ou morale qui possede, loue ou prend en leasing le produit connecte et qui beneficie du droit d’acces.
• Le destinataire des donnees (data recipient) : le tiers auquel l’utilisateur demande la transmission de ses donnees.

Ces categories ne se superposent pas automatiquement aux categories du RGPD. Un detenteur de donnees au sens du Data Act peut etre simultanement responsable de traitement au sens du RGPD, mais ce n’est pas systematique. Un utilisateur au sens du Data Act peut etre une personne morale, ce qui n’est jamais le cas d’une personne concernee au sens du RGPD.

Droits conferes

Les droits conferes par les deux textes different dans leur fondement et leur portee :

• Le droit d’acces RGPD (article 15) permet a une personne physique d’obtenir une copie de ses donnees personnelles. Il est fonde sur la protection de la vie privee.
• Le droit d’acces Data Act (article 4) permet a un utilisateur (personne physique ou morale) d’acceder aux donnees generees par un produit connecte. Il est fonde sur la relation d’usage avec le produit.

Le droit de portabilite illustre egalement cette divergence. La portabilite RGPD (article 20) est limitee aux donnees fournies par la personne concernee, sur la base du consentement ou de l’execution d’un contrat, dans un format structure. La portabilite Data Act est plus large : elle couvre toutes les donnees generees par le produit, independamment de leur caractere personnel.

La question des donnees mixtes

La difficulte majeure reside dans les situations ou les donnees generees par un produit connecte sont a la fois des donnees personnelles et des donnees relevant du Data Act. C’est le cas, par exemple :

• Des donnees de conduite d’un vehicule connecte (vitesse, itineraires, comportement de conduite), qui sont des donnees personnelles du conducteur et simultanement des donnees generees par un produit connecte.
• Des donnees d’utilisation d’un dispositif medical connecte, qui sont des donnees de sante au sens du RGPD et des donnees IoT au sens du Data Act.
• Des donnees d’un compteur intelligent, qui revelent les habitudes de vie des occupants d’un logement.

Pour ces donnees mixtes, les deux reglements s’appliquent cumulativement. Le Data Act cree un droit d’acces, mais l’exercice de ce droit doit respecter les exigences du RGPD.

La hierarchie : le RGPD prevaut

L’article 1(5) du Data Act pose un principe de hierarchie sans ambiguite : le reglement est “sans prejudice” du RGPD et de la directive ePrivacy. Concretement, cela signifie que :

1. Le RGPD prime en cas de conflit. Si une disposition du Data Act conduisait a un resultat contraire au RGPD, c’est le RGPD qui s’applique.

2. Les bases legales du RGPD restent necessaires. Le fait qu’un utilisateur exerce son droit d’acces au titre du Data Act ne dispense pas le detenteur de donnees de disposer d’une base legale au sens de l’article 6 du RGPD pour traiter des donnees personnelles.

3. Les droits des personnes concernees sont preserves. L’utilisateur Data Act qui demande le partage de donnees personnelles avec un tiers ne peut pas porter atteinte aux droits des personnes concernees dont les donnees seraient incluses dans le jeu de donnees transmis.

4. Les principes du RGPD continuent de s’appliquer. Minimisation, limitation des finalites, limitation de la conservation : ces principes encadrent tout traitement de donnees personnelles, y compris ceux rendus possibles par le Data Act.

Le considerant 7 du Data Act precise que le reglement ne doit pas etre interprete comme creant une nouvelle base juridique pour le traitement de donnees a caractere personnel. Les detenteurs de donnees qui rendent accessibles des donnees personnelles dans le cadre du Data Act doivent donc s’assurer qu’ils disposent d’une base legale appropriee au titre du RGPD.

Implications pratiques : la double conformite

Pour les fabricants de produits connectes

Les fabricants sont tenus, au titre du Data Act, de concevoir leurs produits de maniere a permettre l’acces aux donnees (design for access). Mais ils sont egalement tenus, au titre du RGPD, de mettre en oeuvre la protection des donnees des la conception (privacy by design). Ces deux obligations doivent etre articulees :

• Les mecanismes d’acces doivent integrer des controles d’authentification et d’autorisation garantissant que seul l’utilisateur legitime accede aux donnees.
• Lorsque les donnees contiennent des informations personnelles de tiers (par exemple, les donnees d’un vehicule partage), des mecanismes d’anonymisation ou de pseudonymisation peuvent etre necessaires.
• Les formats de mise a disposition des donnees doivent etre compatibles avec les exigences de portabilite du RGPD.

Pour les fournisseurs de services cloud

Les fournisseurs cloud doivent respecter simultanement les obligations de portabilite du Data Act (chapitre VI) et les exigences du RGPD en matiere de transferts de donnees et de securite. La migration de donnees vers un nouveau fournisseur doit notamment :

• Garantir la continuite de la protection des donnees personnelles pendant la phase de transition.
• Respecter les exigences relatives aux transferts internationaux si le nouveau fournisseur est etabli hors de l’EEE.
• Assurer la suppression effective des donnees chez l’ancien fournisseur conformement aux politiques de conservation.

Pour les entreprises destinataires de donnees

Les tiers qui recoivent des donnees au titre de l’article 5 du Data Act doivent, lorsque ces donnees incluent des donnees personnelles, determiner leur role au sens du RGPD (responsable de traitement ou sous-traitant), definir une base legale et mettre en oeuvre les garanties appropriees.

Checklist de double conformite Data Act / RGPD

Pour les organisations soumises aux deux textes, voici les points de controle essentiels :

1. Cartographier les flux de donnees en distinguant donnees personnelles, donnees non personnelles et donnees mixtes pour chaque produit connecte.

2. Verifier les bases legales RGPD pour chaque flux de donnees personnelles rendu accessible au titre du Data Act.

3. Mettre a jour les registres de traitement (article 30 RGPD) pour integrer les nouveaux traitements lies aux obligations du Data Act.

4. Realiser des analyses d’impact (AIPD) lorsque le partage de donnees au titre du Data Act est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes concernees.

5. Adapter les informations de transparence (articles 13 et 14 RGPD) pour couvrir les traitements lies au Data Act.

6. Revoir les contrats avec les tiers destinataires de donnees pour integrer les clauses requises par le RGPD (article 28 si sous-traitance, ou responsabilite conjointe le cas echeant).

7. Mettre en place des mecanismes d’anonymisation ou de separation des donnees lorsque les jeux de donnees contiennent des donnees personnelles de tiers non directement concernes par la demande d’acces.

8. Auditer les mesures de securite pour s’assurer qu’elles couvrent les risques specifiques lies aux nouveaux flux de donnees. Un audit RGPD regulier est indispensable pour verifier la conformite dans la duree. Des outils tels que Legiscope peuvent faciliter le suivi de cette conformite croisee.

9. Former les equipes juridiques et techniques aux interactions entre les deux textes.

10. Documenter la conformite en conservant des traces des mesures prises pour respecter simultanement le Data Act et le RGPD.

Conclusion

Le Data Act et le RGPD ne sont pas des textes concurrents mais complementaires. Le RGPD protege les personnes ; le Data Act organise l’economie de la donnee. Leur coexistence impose neanmoins aux entreprises un effort de conformite accru, particulierement dans le domaine des donnees mixtes ou les deux reglements s’appliquent cumulativement. La cle reside dans une approche integree, ou la gouvernance des donnees personnelles et la gouvernance des donnees industrielles sont pensees ensemble, et non en silos. Pour une vue d’ensemble du Data Act, nous renvoyons a notre guide complet.