À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.
Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.
Accès et partage des données
Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.
Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.
Portabilité et changement de prestataire
Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.
Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?
Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.
