Data Act : un cadre légal pour le partage des données

Data Act : un cadre légal pour le partage des données

L’entrée en application du Data Act à partir de  septembre 2025 marque une étape majeure dans la transformation de l’économie numérique européenne. Contrairement au RGPD, centré sur les données personnelles, le Data Act adopte une approche beaucoup plus large. Il vise principalement les données non personnelles et les données mixtes générées par les produits et services connectés : objets IoT, machines industrielles, véhicules, capteurs, logiciels embarqués, etc.

Ce nouveau règlement ouvre une ère où l’accès, le partage et la portabilité des données deviennent des moteurs de compétitivité, d’innovation et de souveraineté numérique.

Qu’est-ce que le Data Act ? 

Adopté par l’Union européenne pour encadrer l'utilisation et la circulation des données, le Data Act a pour objectif d’établir un cadre harmonisé permettant :

  • de mieux exploiter les données générées par les appareils connectés,

  • de faciliter leur accès par les utilisateurs,

  • de favoriser un partage plus équitable entre entreprises,

  • et de créer un marché numérique européen plus ouvert et plus compétitif.

À la différence du RGPD, qui se concentre sur la protection des personnes, le Data Act s'intéresse avant tout à la valeur économique des données issues des produits intelligents.

Après avoir posé les bases et les objectifs du Data Act, il convient désormais d’examiner plus en détail son impact sur les données non personnelles, qui constituent l’essentiel des informations générées par les objets connectés.

Données non personnelles : enjeux et opportunités du Data Act

Les données non personnelles constituent la majorité des informations générées par les objets connectés : données de performance, historiques d’utilisation, statistiques, mesures techniques, logs, etc.

Avec le Data Act, ces données ne peuvent plus être monopolisées par les fabricants. Elles deviennent accessibles à l’utilisateur, qui peut :

  • consulter les données générées par son propre appareil,

  • les partager avec un prestataire tiers,

  • ou les réutiliser pour changer de service sans friction.

Cela ouvre la porte à de nouveaux business models, notamment dans l’IoT industriel, l’énergie, la santé connectée et la mobilité.

Dans cette logique d’ouverture et de circulation plus fluide des données, le Data Act renforce également un autre levier clé : la portabilité des données.

Portabilité des données : un nouveau droit pour les utilisateurs 

Le Data Act renforce la portabilité des données, un concept déjà présent dans le RGPD, mais qui restait limité aux données personnelles.

Désormais, les utilisateurs particuliers comme entreprises peuvent exiger :

  • la récupération des données générées par leur équipement connecté,

  • la transmission de ces données à un autre fournisseur,

  • ou leur exploitation par des services innovants (maintenance prédictive, optimisation énergétique, analyse avancée…).

Le règlement impose aussi aux fabricants de concevoir des produits permettant un accès simple, clair et sécurisé aux données qu’ils produisent.

Ces nouveaux droits ne sont pas sans conséquence : ils transforment en profondeur les obligations et les pratiques des entreprises européennes.

Un impact majeur pour les entreprises européennes 

La mise en œuvre du Data Act représente un changement profond pour les entreprises technologiques, industrielles et IoT :

1. Obligation de transparence 

Les fabricants devront expliquer clairement quelles données sont générées par leurs produits, qui peut y accéder et dans quelles conditions.

2. Accès équitable aux données 

Le Data Act empêche les pratiques de verrouillage. Une entreprise qui utilise un équipement industriel pourra enfin accéder aux données qu’elle génère, sans dépendre entièrement du constructeur.

3. Partage sécurisé et contractualisé 

Les accords de partage de données devront respecter des modèles contractuels équitables et éviter les abus de position dominante.

4. Opportunités pour les prestataires tiers 

Les start-ups et PME pourront accéder à des données industrielles auparavant inaccessibles, ouvrant la voie à :

  • de nouveaux services IoT,

  • des solutions analytiques avancées,

  • une concurrence plus saine.

Au-delà des fabricants et des industriels, le Data Act impacte également de manière structurante un autre pilier du numérique : le cloud.

Cloud, souveraineté et continuité de service : nouvelles obligations 

Le Data Act introduit aussi des règles ambitieuses pour le marché du cloud :

  • Portabilité facilitée entre fournisseurs cloud,

  • Réduction du vendor lock-in (dépendance vis-à-vis d’un fournisseur),

  • Exigences de continuité de service,

  • Obligation d’interopérabilité renforcée.

Ces mesures ont pour objectif d’encourager une économie numérique plus ouverte et plus compétitive. Mais ces exigences techniques et organisationnelles posent toutefois de nombreux défis, que les entreprises doivent anticiper pour assurer leur conformité.

Quels défis pour les organisations ? 

La mise en conformité au Data Act nécessite :

  • une revue complète des architectures de données,

  • la classification précise des données (personnelles, non personnelles, mixtes),

  • la mise en place d’API d’accès sécurisé,

  • une gouvernance des données adaptée au partage,

  • la révision des contrats et SLA avec clients et partenaires.

Les entreprises devront également repenser la conception de leurs produits connectés pour garantir un accès simple, sécurisé et transparent aux données générées.

Pour relever ces défis, les organisations doivent s’appuyer sur des solutions capables d’apporter visibilité, contrôle et sécurité sur l’ensemble de leurs données.

ManageEngine DataSecurity Plus : un atout pour maîtriser les données non personnelles 

Pour répondre aux exigences du Data Act, les organisations peuvent s’appuyer sur des outils capables de surveiller, classifier et sécuriser les informations qu’elles manipulent. Dans cette optique, ManageEngine DataSecurity Plus fournit une solution stratégique pour renforcer la gouvernance des données non personnelles.

Cette solution permet d’auditer en continu les serveurs de fichiers et de suivre précisément les accès, modifications et mouvements de données. Grâce à sa fonction de classification automatique, l’outil distingue les données personnelles, non personnelles ou mixtes, un élément essentiel pour assurer une conformité efficace au Data Act.

Elle offre également une visibilité claire sur les zones sensibles, les autorisations excessives et les risques liés aux accès non maîtrisés. En facilitant la surveillance, la détection et le contrôle des flux de données, DataSecurity Plus aide les entreprises à sécuriser les données générées par leurs produits et services connectés et à garantir leur exploitation dans le respect du cadre réglementaire européen.

Ces évolutions montrent que le Data Act ne se limite pas à un texte réglementaire : il redéfinit la manière dont les données circulent et créent de la valeur.

Le Data Act, un moteur de transparence et d’innovation  

L’entrée en vigueur du Data Act en 2025 ouvre un nouveau chapitre dans l’économie numérique européenne. En facilitant l’accès, le partage et la portabilité des données, le règlement veut créer un marché plus ouvert, innovant et compétitif.

Il redonne du pouvoir aux utilisateurs, encourage la création de services basés sur les données non personnelles et limite les monopoles technologiques dans un écosystème dominé par l’IoT.

Pour les entreprises, la mise en conformité représente un défi important… mais aussi une formidable opportunité pour repenser la valeur des données et développer de nouveaux modèles économiques.