Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA.

Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩

Le champ couvre tous les objets qui communiquent via Internet ou un réseau public (ex. véhicules connectés, montres/bracelets de santé, thermostats intelligents, machines industrielles à capteurs) et leurs services associés (applications, plateformes d’affichage, gestion de flotte, assistants intégrés). Les acteurs visés incluent : fabricants, détenteurs de données (ceux qui contrôlent effectivement les données, parfois distincts des fabricants), utilisateurs (propriétaires, locataires, salariés, etc.), destinataires (tiers recevant des données pour une activité économique), ainsi que des organismes publics, fournisseurs de services de traitement de données (cloud) et participants aux espaces de données ou vendeurs d’applications à contrats intelligents.

Principales obligations pour faciliter l’accès et le partage :

  • Accessibilité dès la conception : permettre un accès direct, sans frais, sécurisé, dans un format compréhensible et réutilisable aux données générées (ex. montre connectée, véhicule connecté). 🔐
  • Mise à disposition sur demande : si l’accès direct n’est pas possible, le détenteur doit fournir les données facilement, sans délai et gratuitement à l’utilisateur.
  • Partage à des tiers choisi par l’utilisateur : transmission sans frais pour l’utilisateur, dans les meilleurs délais, de qualité équivalente, et si possible en continu et en temps réel; interdiction d’utiliser ces données pour développer un produit concurrent ou pour profiler l’utilisateur, sauf si nécessaire pour le service demandé. 🔄
  • Transparence avant contrat : informer sur le type de données générées, leurs usages par le fabricant/prestataire, l’identité du détenteur des données et les modalités d’exercice des droits. 🔍

Calendrier et gouvernance 📅:

  • Applicabilité principale depuis le 12 septembre 2025; étapes clés:
    • Septembre 2026 : conception des objets/services pour rendre les données directement accessibles.
    • Janvier 2027 : possibilité pour les bénéficiaires de services cloud de changer de fournisseur sans frais.
    • Septembre 2027 : l’interdiction des clauses abusives s’étend aux contrats conclus avant le 12 septembre 2025.
  • Le 19 novembre 2025, la Commission européenne a proposé un règlement pour améliorer l’articulation du Data Act avec d’autres législations (dont le DGA).
  • Côté application, le projet de loi DADDUE (débat en 2026) désigne l’ARCEP comme autorité compétente pour le pilotage du Data Act; les autorités de protection des données (dont la CNIL) contrôlent la partie relative aux données personnelles. La CNIL et l’ARCEP coopéreront pour une régulation coordonnée. L’article rappelle l’application continue du RGPD (rôles, base légale, droits, sécurité du traitement).

Type d’article : présentation réglementaire visant à informer sur le cadre, les obligations, le périmètre et la répartition des responsabilités liés au Data Act.

🔗 Source originale : https://www.cnil.fr/fr/reglement-donnees-data-act-nouveau-cadre-europeen-pour-partage-utilisation-donnees