Le 12 septembre 2025, le règlement européen sur les données (Data Act) est entré en application. Pour les fabricants de produits connectés et les fournisseurs de services IoT, c’est un changement de paradigme : les données générées par vos objets connectés ne vous appartiennent plus exclusivement. Ce guide décrypte les nouvelles obligations et vous aide à transformer cette contrainte réglementaire en opportunité.
Jusqu’à présent, les fabricants de produits connectés avaient le contrôle quasi exclusif des données générées par leurs devices. Un capteur industriel, une montre connectée, un équipement agricole : les données remontaient vers le cloud du fabricant, et l’utilisateur final n’y avait accès qu’au travers de l’application fournie. Ce modèle est terminé.
Le Data Act (Règlement UE 2023/2854) impose désormais aux détenteurs de données de partager les données d’usage avec les utilisateurs qui les génèrent, qu’il s’agisse de particuliers ou d’entreprises. Plus encore, ces utilisateurs peuvent exiger que leurs données soient transmises à un tiers de leur choix : un prestataire de maintenance indépendant, une plateforme de supervision concurrente, un intégrateur système.
Chez Playmoweb, nous accompagnons des projets IoT dans le médical, l’industrie, l’agriculture et la maison connectée depuis plus de 10 ans. Nous voyons dans le Data Act un signal clair : la valeur se déplacera de la captation des données vers la qualité du service rendu. C’est une bonne nouvelle pour les acteurs qui misent sur l’excellence plutôt que sur le verrouillage.
Le règlement s’applique à l’ensemble de la chaîne de valeur des produits connectés et des services numériques associés. Concrètement, sont concernés :
Point important : le Data Act s’applique extraterritorialement. Toute entreprise qui propose un produit connecté dans l’Union européenne doit respecter ces règles, quel que soit son pays d’établissement. Les microentreprises et petites entreprises (moins de 50 salariés et moins de 10 M€ de CA) bénéficient toutefois d’exemptions partielles sur les obligations de partage.
L’utilisateur d’un produit connecté, qu’il soit propriétaire ou locataire, doit pouvoir accéder aux données générées par l’usage de ce produit. Ces données doivent être accessibles directement (quand c’est techniquement possible), sans frais, dans un format structuré, lisible par machine et réutilisable.
Concrètement, si vous fabriquez un équipement industriel connecté, votre client entreprise doit pouvoir récupérer les données de performance, de consommation ou de diagnostic sans dépendre exclusivement de votre plateforme. S’il utilise un prestataire de maintenance indépendant, celui-ci doit pouvoir accéder aux mêmes données.
Sur demande de l’utilisateur, le détenteur de données doit transmettre les données à un tiers choisi par l’utilisateur, sans frais supplémentaires. Ce tiers peut utiliser les données pour fournir un service à l’utilisateur, voire en créer un nouveau si l’utilisateur y consent. Seule restriction : le tiers ne peut pas utiliser ces données pour développer un produit concurrent au vôtre.
À partir du 12 septembre 2026, tous les nouveaux produits connectés mis sur le marché devront intégrer, dès leur conception, des fonctionnalités permettant l’extraction aisée et sécurisée des données. C’est l’équivalent du « Privacy by Design » du RGPD, appliqué à l’accès aux données.
Pour les architectes IoT, cela signifie que les choix de firmware, de protocoles et de plateforme cloud doivent intégrer cette contrainte dès le départ. Chez Playmoweb, nous recommandons d’anticiper cette exigence sur tous les nouveaux projets, même ceux lancés avant 2026.
Le Data Act encadre strictement les clauses contractuelles relatives à l’accès et au partage des données. Toute clause qui priverait l’utilisateur de ses droits d’accès ou en limiterait la portée est réputée non contraignante. En clair : si vos CGV actuelles interdisent à vos clients de transférer leurs données vers un concurrent, ces clauses ne seront plus valables.
Le Data Act prévoit une entrée en vigueur progressive. Voici les dates clés à retenir :
| Échéance | Ce qui s’applique |
|---|---|
| 12 sept. 2025 | Application générale : droit d’accès aux données, partage avec tiers sur demande de l’utilisateur, interdiction des clauses contractuelles abusives. |
| 12 sept. 2026 | Obligation d’« Access by Design » : tous les nouveaux produits connectés doivent permettre un accès direct et fluide aux données dès leur conception. |
| 12 janv. 2027 | Fin des frais de transfert cloud (« egress fees ») : les fournisseurs cloud ne pourront plus facturer de frais pour le transfert des données vers un autre prestataire. |
| 12 sept. 2027 | Extension aux contrats existants (B2B) : les obligations s’appliqueront aux contrats conclus avant septembre 2025, s’ils sont à durée indéterminée ou expirent après janvier 2034. |
Le Data Act prévoit que chaque État membre doit mettre en place un régime de sanctions « efficaces, proportionnées et dissuasives ». En France, pour les infractions relatives au cloud et à la portabilité, la loi SREN confie à l’ARCEP le pouvoir d’infliger des amendes pouvant aller jusqu’à 3 % du chiffre d’affaires annuel mondial (5 % en cas de récidive).
Pour les infractions relatives au partage des données IoT, les autorités nationales (comme la CNIL) pourront infliger des amendes administratives alignées sur le régime du RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Au-delà des sanctions financières, le non-respect du Data Act expose les entreprises à des risques de contentieux civil, à l’exclusion d’appels d’offres publics (la conformité devient un critère d’achat), et à une perte de réputation auprès des clients professionnels de plus en plus sensibles à la souveraineté de leurs données.
Le Data Act ne remplace pas le RGPD. Les deux règlements coexistent avec une règle de priorité claire : en cas de contradiction, c’est le RGPD qui prévaut lorsque des données personnelles sont concernées.
Concrètement, les données générées par un objet connecté peuvent être de deux natures : des données personnelles (localisation d’un utilisateur, données de santé d’une montre connectée) et des données non personnelles (performance d’une machine industrielle, température d’un capteur). Le RGPD s’applique aux premières, le Data Act encadre l’usage économique de toutes les données, personnelles ou non.
Pour les entreprises qui ont déjà mis en place une gouvernance RGPD solide, le Data Act s’inscrit dans une continuité : cartographie des données, bases légales documentées, transparence envers les utilisateurs. Les organisations moins matures devront engager un travail de fond.
La mise en conformité au Data Act n’est pas qu’un sujet juridique. Elle implique des choix techniques, une révision des modèles économiques et une adaptation des contrats. Voici les étapes clés :
Le Data Act est souvent présenté comme une contrainte. Chez Playmoweb, nous y voyons aussi une opportunité stratégique pour les acteurs qui sauront s’y préparer.
D’abord, parce que la conformité devient un avantage concurrentiel. Les clients professionnels, notamment dans l’industrie et le secteur public, privilégieront les fournisseurs qui leur garantissent un accès ouvert à leurs données. Afficher votre conformité au Data Act envoie un signal fort sur votre engagement en matière de transparence et de souveraineté des données.
Ensuite, parce que l’ouverture des données peut alimenter de nouveaux services. Si vos clients peuvent partager leurs données avec des tiers, pourquoi ne seriez-vous pas ce tiers pour les clients de vos concurrents ? Le Data Act ouvre le marché de la donnée industrielle, estimé à 270 milliards d’euros par an au niveau européen.
Enfin, parce que les architectures conçues pour l’interopérabilité sont plus robustes, plus évolutives et moins coûteuses à maintenir sur le long terme. C’est un cercle vertueux.
Depuis plus de 10 ans, nous concevons des solutions IoT sur mesure pour des secteurs exigeants : médical, industrie, agriculture, maison connectée. Notre équipe pluridisciplinaire (développeurs mobiles et embarqués, experts cloud, designers, spécialistes en cybersécurité) maîtrise l’ensemble de la chaîne, du firmware à l’application mobile.
Nous avons intégré les exigences du Data Act dans notre méthodologie projet. Concrètement, cela signifie que nous concevons les architectures IoT en anticipant les besoins d’accès et de portabilité des données dès la phase de cadrage. Nous privilégions des solutions souveraines (comme Scaleway IoT Hub, hébergé en France) qui facilitent la conformité RGPD et Data Act. Et nous documentons les flux de données pour permettre à nos clients de répondre aux demandes d’accès de leurs utilisateurs.
Si vous développez un nouveau produit connecté ou si vous souhaitez mettre en conformité une solution existante, nous pouvons vous accompagner sur l’audit de vos flux de données, l’adaptation de votre architecture technique et le cadrage réglementaire.
Le Data Act marque un tournant pour l’économie des données en Europe. Pour les acteurs de l’IoT, c’est une invitation à repenser la relation avec leurs utilisateurs : passer d’un modèle de captation exclusive à un modèle de service à valeur ajoutée.
Les entreprises qui anticipent cette transition, en intégrant l’accès aux données dès la conception de leurs produits et en adaptant leurs contrats, seront les mieux positionnées pour prospérer dans ce nouvel environnement réglementaire.
Les autres risqueront de voir leurs clauses contractuelles invalidées, leurs clients partir vers des concurrents plus ouverts, et leurs projets exclus des appels d’offres publics.
Vous développez un projet IoT et vous vous interrogez sur les implications du Data Act ? Vous souhaitez auditer la conformité de vos solutions existantes ? Discutons-en.