Les objets connectes generent des volumes massifs de donnees : capteurs industriels, vehicules autonomes, dispositifs medicaux, electromenager intelligent, equipements agricoles de precision. Mais a qui “appartiennent” ces donnees ? Au fabricant de l’objet, qui a concu le systeme de collecte ? A l’utilisateur, qui genere les donnees par son usage ? Au fournisseur de services, qui les traite et les exploite ? Le Data Act (reglement (UE) 2023/2854), entre en application le 12 septembre 2025, apporte des reponses partielles a cette question en creant des droits d’acces et de partage. Mais il ne resout pas la question fondamentale de la propriete. Cette ambiguite deliberee merite une analyse approfondie.

L’etat du droit avant le Data Act

L’absence de droit de propriete sur les donnees

Le droit europeen n’a jamais consacre de droit de propriete sur les donnees en tant que telles. Ni la directive 96/9/CE sur les bases de donnees (qui protege l’investissement du producteur de la base, non les donnees individuelles), ni le RGPD (qui confere des droits de controle sur les donnees personnelles sans creer de propriete), ni aucun autre texte europeen ne qualifie les donnees de biens susceptibles d’appropriation.

Cette absence a longtemps ete compensee par des mecanismes contractuels : les fabricants de produits connectes stipulaient dans leurs conditions generales que les donnees generees par leurs produits leur appartenaient ou qu’ils en avaient l’usage exclusif. L’utilisateur, qui avait achete le produit, se trouvait prive de l’acces aux donnees generees par son propre usage – un desequilibre que la Commission europeenne a juge inacceptable.

La captation des donnees par les fabricants

Avant le Data Act, les fabricants captaient systematiquement les donnees via des flux vers leurs serveurs cloud, sans que l’utilisateur n’y ait acces. Cette captation reposait sur une asymetrie technique (le fabricant concoit le systeme de collecte) et contractuelle (les conditions generales excluaient l’acces de l’utilisateur), concentrant les donnees IoT entre un nombre restreint d’acteurs.

L’approche du Data Act : des droits d’acces, pas de propriete

Le choix delibere du legislateur

Le Data Act a explicitement ecarte l’option d’un “droit de propriete des donnees” au profit d’un cadre fonde sur l’acces et le partage – en raison de la difficulte de determiner le “proprietaire” de donnees generees par l’interaction utilisateur-produit, et de l’incompatibilite d’un droit exclusif avec les objectifs d’ouverture.

Comme nous l’analysons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), ce choix revele une tension profonde. Les biens informatiques possedent une dimension corporelle qui pourrait fonder des droits de propriete : materialisation physique, occupation d’espace de stockage, consommation de ressources. Mais le droit europeen a evolue vers un paradigme d’acces plutot que d’appropriation.

Les droits de l’utilisateur

Le Data Act confere a l’utilisateur d’un produit connecte un ensemble de droits substantiels :

Le droit d’acces (article 4). L’utilisateur a le droit d’acceder aux donnees generees par l’utilisation du produit connecte, gratuitement, facilement et, le cas echeant, en continu et en temps reel. Ce droit couvre les donnees brutes et les metadonnees necessaires a leur interpretation. Le fabricant doit concevoir le produit de maniere a rendre cet acces effectif (obligation de design for access).

Le droit au partage avec des tiers (article 5). L’utilisateur peut demander que ses donnees soient partagees avec un tiers de son choix, par exemple un reparateur independant, un prestataire de maintenance predictive, ou un fournisseur de services de donnees. Le tiers recoit les donnees dans les memes conditions de qualite que celles dont beneficie le fabricant.

Le droit a la portabilite. Les donnees doivent etre fournies dans un format structure, couramment utilise et lisible par machine, facilitant leur reutilisation par l’utilisateur ou par un tiers.

Les obligations du fabricant

Le fabricant est soumis a des obligations strictes sans etre depossede : concevoir le produit pour permettre l’acces (by design), informer l’utilisateur avant l’achat, ne pas utiliser les donnees pour concurrencer l’utilisateur, et conserver les donnees suffisamment longtemps. Le secret des affaires constitue une limite : le fabricant peut refuser de communiquer certaines donnees specifiques dont la divulgation porterait atteinte a ses informations confidentielles (article 4, paragraphe 8), mais cette exception doit etre justifiee et proportionnee.

La question non resolue de la propriete des donnees IoT

L’analyse au prisme de la propriete informatique

Dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), nous montrons que les biens informatiques possedent une realite physique qui les distingue des pures informations incorporelles. Les donnees generees par un capteur IoT ne sont pas de simples abstractions : elles sont constituees de signaux electriques convertis en donnees numeriques, stockees sous forme de charges electriques ou d’etats magnetiques sur des supports physiques. Cette materialite pourrait fonder une qualification de bien corporel.

La question se complique par la multiplicite des contributions : le fabricant a concu les capteurs et algorithmes, l’utilisateur genere les donnees par son usage, et l’environnement fournit les donnees brutes (temperature, pression) qui n’appartiennent a personne. Cette multiplicite explique pourquoi le legislateur a refuse de designer un “proprietaire” unique, privilegiant une approche pragmatique par les droits d’acces.

Propriete de l’objet vs. propriete des donnees

La propriete de l’objet connecte (article 544 du Code civil) ne s’etend pas necessairement aux donnees generees. Le Data Act resout cette difficulte en liant le droit d’acces a la qualite d’utilisateur (proprietaire, locataire ou preneur de leasing) plutot qu’a un droit de propriete sur les donnees. C’est une approche fonctionnelle qui contourne le debat theorique.

Les implications pratiques

Pour les fabricants IoT

Les fabricants doivent repenser leur architecture technique pour permettre l’acces aux donnees (article 3 du Data Act) : API, formats d’export standardises, mecanismes d’authentification. Le modele economique fonde sur l’exploitation exclusive des donnees doit etre reconsidere. La conformite croisee avec le RGPD et le Cyber Resilience Act doit etre assuree, les exigences de securite s’appliquant au produit et a ses mecanismes de collecte.

Pour les utilisateurs professionnels

Les entreprises qui utilisent des equipements IoT disposent desormais de droits d’acces ouvrant des possibilites concretes : maintenance predictive independante du fabricant, optimisation des processus, et portabilite des donnees historiques en cas de changement de fournisseur.

L’articulation avec le RGPD

Lorsque les donnees IoT incluent des donnees personnelles, les differences entre le Data Act et le RGPD doivent etre gerees. Le Data Act ne modifie pas les obligations du RGPD. Si un gestionnaire de flotte accede aux donnees de conduite de ses employes via le Data Act, il reste soumis au RGPD pour le traitement de ces donnees personnelles.

Vers une resolution du debat ?

Le Data Act n’a pas clos le debat ; il l’a deplace. En creant des droits d’acces robustes, il a reduit l’urgence pratique de trancher la question de la propriete. Comme nous le soulignons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), l’evolution du droit informatique montre une tendance constante : le droit repond aux problemes pratiques avant de resoudre les questions theoriques. Le droit penal a protege les systemes (loi Godfrain) avant que le droit civil ne qualifie les biens informatiques. Le Data Act cree des droits d’acces avant de trancher la propriete.

Mais des zones d’ombre persistent : en cas de faillite du fabricant, que deviennent les donnees ? Les donnees historiques suivent-elles l’objet en cas de revente ? Autant de questions que la jurisprudence devra eclaircir.

FAQ

A qui appartiennent les donnees generees par un objet connecte ?

En droit europeen, il n’existe pas de droit de propriete sur les donnees generees par les objets connectes. Le Data Act ne tranche pas cette question mais cree des droits d’acces : l’utilisateur du produit (proprietaire, locataire, preneur de leasing) a le droit d’acceder gratuitement aux donnees generees par son usage et de les partager avec des tiers. Le fabricant conserve un acces aux donnees mais ne peut les utiliser pour concurrencer l’utilisateur. Cette approche fonctionnelle evite le debat sur la propriete en garantissant des droits effectifs d’acces et de partage.

Le fabricant peut-il refuser de partager les donnees IoT avec un tiers designe par l’utilisateur ?

Le fabricant ne peut pas refuser le partage des donnees avec un tiers designe par l’utilisateur au titre de l’article 5 du Data Act, sauf dans des cas limites. Il peut invoquer le secret des affaires pour proteger des donnees specifiques dont la divulgation porterait atteinte a ses informations confidentielles, mais cette exception doit etre justifiee et proportionnee. Il ne peut pas non plus invoquer des motifs commerciaux generaux pour refuser le partage. En cas de refus injustifie, l’utilisateur peut saisir les autorites competentes ou les tribunaux.

Comment articuler Data Act et RGPD pour les donnees IoT a caractere personnel ?

Les deux reglements s’appliquent cumulativement. Le Data Act cree des droits d’acces aux donnees IoT independamment de leur caractere personnel, tandis que le RGPD impose des obligations specifiques pour les donnees personnelles (base legale, information, droits des personnes, securite). Lorsqu’un utilisateur exerce son droit d’acces Data Act et obtient des donnees incluant des donnees personnelles de tiers (employes, clients), il devient responsable de traitement au sens du RGPD pour les traitements ulterieurs de ces donnees. Les differences entre Data Act et RGPD doivent etre integrees dans la politique de conformite de l’organisation.