Toutes les obligations du Data Act en septembre pour les entreprises de l'U.E
- 9 sept.
- 4 min de lecture
Dernière mise à jour : 11 sept.
C'est à partir du 12 septembre 2025 que les entreprises seront soumises à de nouvelles obligations en matière de partage de données, d'accès aux données, de portabilité ou d'interopérabilité dans le cloud, en vertu de la mise en application du Data Act dans l'U.E. Rappel sur les principales obligations du Data Act pour les entreprises.
Pour rappel, le Data Act est un règlement européen publié au journal officiel de l'U.E en 2023 qui vise à renforcer l'économie des données de l'U.E et à favoriser un marché des données concurrentiel en rendant les données (en particulier industrielles) plus accessibles et plus faciles à utiliser, pour encourager l'innovation fondée sur la disponibilité des données.
Le Data Act complète le règlement européen sur la gouvernance des données (DGA), premier résultat concret de la stratégie européenne en matière de données, entrée en vigueur en septembre 2023.
Alors que le DGA renforce la confiance dans les mécanismes volontaires de partage des données, le Data Act apporte une clarification juridique concernant l'accès aux données et leurs utilisation.
Ce qui va changer au 12 septembre 2025?
Le Data Act comprend des mesures visant à renforcer l'équité et la concurrence sur le marché européen du cloud computing ainsi qu'à protéger les entreprises contre les clauses contractuelles abusives imposées par des acteurs plus puissants (hyperscalers) en matière de partage des données.
Il établit également un mécanisme permettant aux organismes du secteur public de demander des données à une entreprise en cas de besoin exceptionnel, par exemple dans des situations d'urgence publique, et définit des règles claires sur la manière dont ces demandes doivent être formulées.
En outre, il introduit des garanties visant à empêcher les organismes publics de pays tiers d'accéder à des données non personnelles lorsque cela serait contraire au droit de l'U.E ou au droit national.
Enfin, le Data Act définit des exigences essentielles en matière d'interopérabilité afin de garantir que les données puissent circuler de manière fluide entre les secteurs et les États membres, grâce aux espaces européens communs de données, ainsi qu'entre les prestataires de services de traitement de données.
Afin de remédier aux déséquilibres entre grands fournisseurs cloud et clients privés et publics, le Data Act renforce la transparence des contrats de cloud. Tous les fournisseurs sont aussi tenus de supprimer les obstacles lorsque leurs clients souhaitent changer de fournisseur ou utiliser plusieurs services cloud en même temps.
Clauses contractuelles abusives
Les entreprises européennes qui cherchent à acquérir des données, en particulier les PME seront protégées contre les clauses contractuelles abusives dans les situations où, par exemple, l'une des entreprises se trouve dans une position de négociation plus forte (en raison de sa taille sur le marché) et impose à l'autre une clause non négociable (« à prendre ou à laisser ») relative à l'accès et à l'utilisation des données.
Une liste de clauses abusives est établie, comme par exemple, celles qui limiteraient de manière inappropriée les recours en cas d'inexécution des obligations contractuelles ou la responsabilité en cas de violation de ces obligations.
Une clause considérée comme abusive sera simplement retirée du contrat.
Portabilité des services et des données dans le cloud
Le Data Act offre des mesures visant à garantir que les entreprises puissent basculer rapidement et facilement d'un fournisseur de services (« source ») à un autre (« de destination ») sans perte de donnée, ni perte de fonctionnalité.
Par exemple, les fournisseurs PaaS ou SaaS devront mettre à disposition des API ouvertes et autoriser l'export de données dans un format couramment utilisé.
Les fournisseurs d'IaaS devront faciliter la bascule vers un autre service du fournisseur en garantissant une équivalence fonctionnelle ce qui inclut par exemple, le transfert facilité de workloads.
Suppression totale des frais de sortie cloud
Le règlement prévoit la suppression totale des frais de changement de fournisseur, ce compris les frais de sortie (transit de données) à compter du 12 janvier 2027.
Les CSPs ne pourront plus facturer à leurs clients les opérations nécessaires pour faciliter le basculement de services ou la sortie de données.
A titre de mesure transitoire, pendant les trois premières années suivant l'entrée en vigueur du règlement (du 11 janvier 2024 au 12 janvier 2027), les fournisseurs pourront continuer à facturer ces coûts à leurs clients. A noter que AWS, Google Cloud et Microsoft ont déjà annoncé la suppression de ces frais de sortie.
Interopérabilité renforcée entre services cloud
Le Data Act prépare le terrain pour accroître l'interopérabilité des services de traitement des données grâce à des normes harmonisées et à des spécifications d'interopérabilité ouvertes. Il définit les exigences auxquelles doivent satisfaire les fournisseurs pour l'exécution automatisée des accords de partage de données, afin de garantir qu'ils appliquent correctement les dispositions de l'accord et qu'ils résistent à toute manipulation par des tiers.
Encadrement de l'accès aux données et US Cloud Act
Si le Data Act n'interdit pas les flux transfrontaliers de données, il garantit que la protection accordée aux données dans l'UE s'applique également aux données transférées en dehors de l'UE.
Si un fournisseur de service reçoit une demande d'accès aux données stockées dans l'U.E, en vertu du Cloud Act par exemple, il pourra contacter son organisme national compétent afin de l'aider à évaluer si les conditions énoncées dans la loi sont remplies.
En l'absence de base légale et/ou de conditions vérifiées, les fournisseurs seront en droit de simplement contester ou de refuser la demande d'accès aux données.
Les prestataires de services et fournisseurs cloud devront cependant prendre toutes les mesures raisonnables, de chiffrement, d'audits et de respect des certifications pour empêcher l'accès aux systèmes dans lesquels ils stockent des données non personnelles.
Ces mesures devront être publiées sur leurs sites web pour plus de transparence. Ils devront également informer leurs clients avant de donner accès à leurs données.
La réponse du marché ne s'est pas faite attendre. Google Cloud vient ainsi d'annoncer la suppression des frais de transfert multicloud pour l'Europe et le Royaume-Uni pour répondre aux principes d'interopérabilité, et ce alors même que le règlement européen exclut cette obligation.
Commentaires