Le Data Act atteindra-t-il son objectif d’équité d’accès à la donnée ?

Le 12 septembre 2025, le règlement européen 2023/2854 concernant les règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données – Data Act – est entré en application¹. L’objectif de ce règlement est de maximiser l’exploitation de la valeur des données générées par les produits connectés constitutifs de l’internet des objets (IoT), jusqu’ici limitée par la difficulté d’accès à ces données² : un intérêt critique à l’ère de l’IA³.

Sur les cinquante articles qui composent ce règlement seront étudiées ici les dispositions relatives au partage de données des produits connectés et services connexes, et plus précisément celles sur l’utilisateur du produit connecté ou du service connexe. Il est défini par le règlement sur les données comme « une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d’utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes »⁴.

Le règlement européen promet de résoudre les inégalités d’accès aux données en améliorant leur accessibilité vis-à-vis d’un plus grand nombre d’acteurs, notamment l’utilisateur, par le biais de différentes dispositions. Toutefois, il apparaît que cet accès aux données ne suffit pas à résoudre les causes de l’asymétrie de pouvoir sur le sujet des données entre les fabricants et les utilisateurs de produits connectés. Les réflexions proposées dans cet article se fondent sur deux projets de recherche au sein desquels une application anticipée du règlement européen a été envisagée⁵.

Un règlement destiné à résoudre les inégalités d’accès aux données

Réduire les inégalités d’accès aux données

Le règlement européen sur les données part d’un constat simple : les données produites par des objets connectés ne sont pas réparties équitablement entre les acteurs du marché européen. L’asymétrie de pouvoir, couplée à une asymétrie informationnelle, est particulièrement significative entre les PME et les grandes entreprises du numérique. Ce déséquilibre se retrouve dans les clauses des contrats signés entre ces deux catégories d’acteurs. Le texte ambitionne donc de réduire cet état de fait à la fois dans les relations B2B et B2C⁶. Avec ce règlement, le législateur européen considère que le droit exclusif des fabricants d’objets connectés sur les données générées par leurs produits est un frein important à l’innovation, généralisant ainsi la position de la CJUE en droit de la concurrence dans les situations de position dominante⁷.

Les données visées par le champ d’application matériel

Par son champ d’application matériel, le règlement sur les données démontre une ambition certaine de la part du législateur européen. Indifférent aux domaines d’activité, le texte s’applique aux secteurs privé et public⁸. De la même manière, le règlement européen « couvre les données à caractère personnel et non personnel »⁹. Selon le législateur européen, les données sont la « numérisation des actions de l’utilisateur et des évènements et devraient, dès lors, être accessibles à l’utilisateur »¹⁰. Par ses actions, l’utilisateur contribue à la génération des données, et donc à la valeur économique qui leur est associée. Du fait de sa participation dans le processus, l’utilisateur devrait donc avoir la capacité de bénéficier de cette valeur, une possibilité nécessitant d’avoir un certain contrôle sur lesdites données¹¹. Le règlement ne vise toutefois que les données brutes, à savoir celles directement générées par l’utilisation du produit connecté. Les informations déduites ou dérivées de ces données brutes par le fabricant sont exclues du champ d’application matériel du texte¹².

L’obligation d’accessibilité des données

Pour parvenir à rééquilibrer l’accès aux données entre les différents acteurs, le règlement européen impose au fabricant de rendre accessible à l’utilisateur les données générées lors de l’usage de son produit connecté ou du service connexe associé (art. 3). L’utilisateur peut alors compter sur un nouvel acteur instauré par le règlement européen : le détenteur de données. Ce dernier a le droit ou l’obligation d’utiliser et de mettre à disposition les données relatives au produit ou les données relatives à un service connexe¹³. En d’autres termes, il est l’acteur en charge de transférer les données issues d’un produit connecté ou d’un service à d’autres acteurs, les destinataires de données, à la demande de l’utilisateur ou lorsque le partage de données est imposé par la législation nationale ou européenne (voir La rem n°68, p.12). En effet, le règlement encadre le partage des données issues de l’IoT à des tiers autres que l’utilisateur (art. 5). S’il en fait la demande, l’utilisateur peut obtenir du détenteur de données la communication desdites données à des tiers¹⁴. De façon lucide, le règlement sur les données refuse la qualification de tiers destinataires des données aux contrôleurs d’accès – les groupes gatekeepers des infrastructures numériques – au sens du règlement européen 2022/1925 sur les marchés numériques (DMA, art. 5.3). Par cette exception, le législateur européen prévient le risque que les grandes plateformes en position de force sur le marché exploitent l’ouverture des données de l’IoT pour renforcer encore davantage l’asymétrie de pouvoir existante.

Une ouverture insuffisante des données liées aux produits connectés ?

L’éducation aux données de l’utilisateur d’un produit connecté

Selon le règlement européen sur les données, « l’éducation aux données renvoie aux compétences, aux connaissances et à la compréhension permettant aux utilisateurs, consommateurs et entreprises, en particulier les PME relevant du champ d’application du présent règlement, d’être sensibilisés à la valeur potentielle des données qu’ils génèrent, produisent et partagent et qu’ils sont disposés à offrir et auxquelles ils sont prêts à donner accès, conformément aux règles juridiques applicables »¹⁵. L’éducation aux données d’un utilisateur de produit connecté est donc un élément décisif à la fois pour comprendre l’inégalité actuelle d’accès aux données dudit utilisateur et pour analyser les conséquences du Data Act envers ce dernier. Deux exemples illustrent la place de l’éducation aux données, l’un issu de la recherche publique et l’autre de l’agriculture.

Dans le contexte de la recherche publique tout d’abord, l’accès aux données est indispensable à la réalisation des analyses scientifiques qui feront ensuite l’objet de publication, voire de valorisation commerciale. En outre, l’accès aux données brutes permet aussi de les partager, offrant une garantie d’intégrité de la recherche effectuée. Les données sont des matériaux de base. La collecte et l’analyse des données font partie intégrante de tout apprentissage à la recherche scientifique. Par conséquent, la formation des chercheurs inclut nécessairement une éducation à la donnée. L’incitation et l’encadrement par la loi à l’ouverture des données de recherche renforcent encore cet aspect de leur formation. Cette pleine éducation à la donnée a deux conséquences directes. Premièrement, le chercheur connaît l’importance d’accéder aux données brutes générées par le produit connecté, et il y accordera donc plus d’importance au moment de conclure la relation contractuelle (au travers du choix du fabricant et/ou de la négociation contractuelle). Il n’est pas question d’acheter un produit connecté qui ne permettra pas d’accéder aux données nécessaires à la validation, à l’analyse et au partage des résultats obtenus. Deuxièmement, les acteurs de la recherche ont la capacité d’exploiter ces données brutes pour atteindre leurs objectifs (produire des analyses, générer de la valeur économique). Ils peuvent aussi avoir accès relativement aisément à du personnel qui possèdent lesdites compétences (assistants de recherche, ingénieur de recherche, etc.). Par conséquent, l’accès aux données brutes est en principe une bonne nouvelle pour la recherche. Néanmoins, concrètement, le texte améliore la situation des chercheurs dans un nombre de cas très limité, notamment lorsque le produit connecté a été acheté en dépit de l’absence d’accès aux données.

Quant au secteur de l’agriculture, les données y revêtent également une importance centrale. Par l’utilisation croissante de machines intelligentes et de capteurs, l’agriculture produit de nombreuses données. Grâce à elles, les agriculteurs peuvent optimiser l’utilisation de leurs ressources (engrais, eau, etc.) et détecter plus rapidement l’apparition de maladies dans leurs exploitations. Pour autant, et contrairement à la recherche scientifique, les utilisateurs d’objets connectés dans l’agriculture bénéficient, dans leur grande majorité, d’une faible éducation à la donnée. De par leur expérience et leur formation, ils ne possèdent ni les compétences, ni les connaissances ou les ressources suffisantes pour tirer parti des données brutes générées par leurs outils de travail connectés. Or, le règlement européen sur les données n’encadre pas l’accès aux données agrégées ou déduites. De plus, en raison d’un manque de temps, de savoir-faire ou plus simplement à défaut de moyens, les agriculteurs présentent une incapacité à modéliser leur travail. Il reste complexe pour cette profession de déterminer l’utilité de ces données nouvellement accessibles. Peu sensibilisés à la valeur des données issues de leurs produits connectés, les agriculteurs capables d’exploiter efficacement les données concernées par le Data Act sont peu nombreux.

L’éducation à la donnée apparaît comme une condition indispensable pour que l’utilisateur puisse pleinement bénéficier des données brutes générées par ses produits connectés. A contrario, l’absence d’une éducation aux données adéquate constitue un obstacle important qui empêche l’utilisateur de rééquilibrer le rapport de force qu’il entretient avec le fabricant concernant l’accès aux données. Dans ce cas, l’utilisateur restera dans une situation de dépendance vis-à-vis du fabricant ou de tout autre acteur possédant un haut niveau d’éducation à la donnée. L’exclusion du champ d’application du Data Act des informations déduites ou dérivées du traitement des données brutes se révèle particulièrement limitative du point de vue de l’utilisateur.

Un accès équitable à la donnée, excepté à sa valeur économique

Parce qu’il contribue à la création des données, l’utilisateur d’un produit connecté se voit accorder le droit d’accéder aux données et de les partager avec des tiers de son choix. Selon son niveau d’éducation à la donnée, deux scénarios apparaissent alors quant à l’efficacité du Data Act. Dans l’un d’eux, l’utilisateur ayant une bonne éducation à la donnée a généralement déjà accès aux données brutes, et le règlement sur les données n’a alors qu’un effet minime sur sa situation contractuelle ou sur sa capacité à exploiter la valeur des données générées. Dans l’autre, l’utilisateur possédant une éducation à la donnée insuffisante gagne, certes, l’accès à des données, mais il n’a pas les compétences pour les exploiter lui-même. Il apparaît alors dépendant de l’émergence d’un marché secondaire de la donnée, à condition que ces acteurs nouveaux parviennent, d’une part, à trouver un modèle économique viable¹⁶ et, d’autre part, à établir une relation contractuelle avec l’utilisateur plus équitable que celle imposée par le fabricant du produit connecté¹⁷. Si le règlement confère donc à l’utilisateur un accès matériel à ses données, il semblerait que l’accès direct à la valeur économique desdites données ne soit pas encore à sa portée.

L’absence d’éducation à la donnée est un obstacle sociologique important qui n’est pas abordé directement dans les obligations du règlement sur les données. L’utilisateur ayant une éducation à la donnée insuffisante se retrouve dans l’incapacité de profiter de ses nouvelles données, limitant ainsi significativement les effets d’autonomisation escomptés. Le règlement repose sur l’idée que l’accès aux données brutes des produits connectés ouvrira de nouveaux marchés secondaires (relatifs à la maintenance, à l’analyse de données, etc.). En attendant que cette hypothèse incertaine se réalise, la valeur économique de la donnée demeurera hors de portée des utilisateurs. Afin que tous les acteurs puissent bénéficier de cet accès élargi aux données de l’internet des objets, il conviendra donc d’être vigilant quant à l’évolution de la situation de l’utilisateur.

1. Certaines dispositions, minoritaires, entreront en application ultérieurement. « Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données ». Article 50 « Entrée en vigueur et application ».
2. Règlement sur les données. Considérants 1 et 6.
3. Favro Karine, « Transformation numérique de l’administration », Répert. Serv. Public, 2023.
4. Règlement sur les données. Article 2.12.
5. Ces deux projets ont pris place dans le secteur agricole et dans le secteur de la recherche publique.
6. Commission européenne, « Loi sur les données », Bâtir l’avenir numérique de l’Europe, digital-strategy.ec.europa.eu, 1^er octobre 2025.
7. Cour de justice de l’Union européenne, 5^e ch., IMS Health GmbH & Co. OHG c/ NDC Health GmbH & Co. KG., n° C-418/01, 29 avril 2004. Tribunal de l’Union européenne, Microsoft Corp. c/ Commission des communautés européennes, T-201/04, 17 septembre 2007. Keller Jonathan, « Le Data Act : de nouvelles règles de partage des données », Dalloz Actualité, 2022.
8. Bien que certaines obligations du texte soient exclusives aux organismes du secteur public.
9. Règlement sur les données. Article 1.2.
10. Règlement sur les données. Considérant 15.
11. Commission européenne, « Impact assessment report accompanying the document Proposal for a Regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act) », 2022, p. 9.
12. Règlement sur les données. Considérant 15. Naftalski Fabrice, Kerambrun Marie, « Le périmètre des obligations de partage des données en vertu du Data Act », Dalloz IP/IT, n° 10, 2024.
13. Règlement sur les données. Article 2.14.
14. Sur le consentement de l’utilisateur d’un produit connecté, voir Tamba Julie, « Accords de l’utilisateur d’un objet connecté au regard du RGPD, de la directive ePrivacy, et du Data Act : comment les combiner ? », Dalloz IP/IT, n° 12, 2024.
15. Règlement sur les données. Considérant 19.
16. Dans le secteur de l’agriculture par exemple, l’émergence d’acteurs ayant pour modèle économique la valorisation de la donnée agricole est extrêmement difficile, et ce, malgré un soutien des acteurs publics importants. Voir notamment l’histoire de la plateforme française Agdatahub, placée en liquidation judiciaire fin 2024 : Vitard Alice, « La fin d’Agdatahub : Quel modèle pour la valorisation des données agricoles et agroalimentaires ? », L’Usine digitale, 8 janvier 2025. Vitard Alice, « Reprise d’Agdatahub », L’Usine digitale, 5 mars 2025.
17. Sur la capacité du règlement européen à inciter à la création de marchés secondaires : Kerber Wolfgang, « Governance of IoT Data: Why the EU Data Act will not fulfill its objectives », GRUR International, 72(2), 2023, p. 120-135.