Le droit d'accès des entités publiques aux données privées consacré par le Data Act

Publié le par Olivier Devillers , pour Localtis
Europe et international, Numérique

Le règlement sur les données ou Data Act est entré en vigueur le 12 septembre 2025.  Dernière pierre au marché de la donnée européen, il consacre notamment la portabilité du cloud et le droit d'accès des entités publiques aux données des entreprises privées.

data act

© Adobe stock

Le règlement UE 2023/2854 ou Data Act est la dernière brique du cadre conçu par l'Europe pour réguler le numérique et son carburant, la donnée. Il complète le règlement général sur la protection des données (RGPD) et s'articule avec les règlements sur la gouvernance des données (DGA), les marchés numériques (DMA), les services numériques (DSA) et l'intelligence artificielle (AI Act). Tandis que le RGPD protège les droits des individus sur leurs données personnelles, le Data Act organise l'accès, la circulation et la réutilisation des données de l'internet des objets, que celles-ci soient personnelles ou non, en clarifiant les conditions et les responsabilités de chacun.

Accès aux données des objets connectés

Proposé en 2022 sous la présidence française, adopté en 2023, le Data Act est entré en application progressivement à partir de janvier 2024 pour devenir pleinement applicable le 12 septembre 2025. Désormais, tout utilisateur de produit connecté ou de services liés, tel qu'un appareil électroménager intelligent, un véhicule, un capteur ou une machine industrielle, a le droit d'accéder gratuitement aux données qu'il a généré en l'utilisant. Ces données peuvent également être récupérées par des tiers - grandes plateformes exclues - moyennant une compensation financière. Les objectifs sous-jacents du Data Act sont d'ouvrir le marché du traitement des données, de faciliter la réparation des produits et de réduire les dépendances techniques et contractuelles à l'égard des fournisseurs dominants.

Ouvrir le marché du cloud

Le Data Act vise par ailleurs à favoriser la concurrence dans le domaine du cloud. Il cherche à lutter contre les "obstacles commerciaux, techniques, contractuels et organisationnels" qui entravent le changement de fournisseur d'informatique en nuage. Il prévoit notamment de supprimer, à partir de septembre 2027, les frais de migration. En France, l'application de ces dispositions a été anticipée par la loi pour sécuriser et réguler l'espace numérique (Sren) de mai 2024, l'Arcep étant désignée comme l'autorité chargée de mettre en œuvre l'interopérabilité et la portabilité du cloud. 

Faciliter la gestion des crises

Le chapitre V consacre le droit des administrations à accéder aux données du secteur privé pour des missions d'intérêt général. Le Data Act prévoit que cet accès soit strictement réservé aux situations où émerge un "besoin exceptionnel". Les services de Bruxelles précisent qu'il s'agit d'une "situation imprévisible et limitée dans le temps, où les données détenues par une entité privée sont nécessaires à l'exécution de la mission d'intérêt public, notamment pour améliorer la prise de décision fondée sur des données probantes". Il s'agira par exemple de catastrophes naturelles ou de pandémie, durant lesquelles les données de géolocalisation de mobiles ou de véhicules connectés peuvent aider les entités publiques à piloter la crise.

Deux cas de figure

Concrètement, ce droit d'accès est conféré à tout organisme public, les réquisitions s'appliquant aux entreprises privées comme publiques. Deux cas de figure sont distingués : 
- en cas de crise, une entité publique justifiant d'une finalité précise peut accéder sans délai à des données non personnelles, voire personnelles, l'anonymisation n'étant que recommandée ;
- dans les situations non urgentes, l'entité doit prouver que les données ne sont pas accessibles par d'autres moyens et seules des données non personnelles peuvent être exigées. 
Les secrets commerciaux doivent en outre être protégés et les données supprimées dès qu'elles ne sont plus nécessaires. Dans le premier cas, l'accès aux données est gratuit, des compensations pour couvrir des frais techniques pouvant être exigées dans le second cas.

Alimenter les espaces communs de données

Ce Data Act répond à une exigence ancienne des collectivités sur l'accès aux données du secteur privé. Il devrait notamment contribuer à faciliter l'alimentation des "espaces communs de données" créés par le Data Governance Act, maillons indispensables au développement des services d'IA. 
Généralement thématiques – agriculture, tourisme, mobilité, santé… – ces espaces mobilisent aussi des territoires comme Rennes, la région Centre-Val de Loire ou l'Occitanie. Pour l'accès aux données dans des situations exceptionnelles, le règlement induit que les structures publiques se coordonnent, car les mêmes données ne peuvent être demandées plus d'une fois par plusieurs entités publiques. Le critère de l'urgence devra en outre être affiné pour éviter les abus comme l'avaient souligné les sénateurs de la délégation aux affaires européenne. 

 

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page