Data Act européen : définition, enjeux et obligations pour les PME et ETI françaises

Le Data Act européen est entré en application en septembre 2025. Pour les PME et ETI françaises, ce règlement représente à la fois un défi réglementaire et une opportunité stratégique. Contrairement aux idées reçues, il ne s’agit pas uniquement d’une contrainte supplémentaire : le Data Act protège les plus petites structures face aux géants du numérique, facilite le changement de prestataires cloud et garantit un accès équitable aux données des objets connectés.

Pourtant, beaucoup de dirigeants se posent encore ces questions : suis-je concerné ? Quelles sont mes obligations concrètes ? Comment m’y préparer sans mobiliser des ressources démesurées ? Cet article vous apporte les réponses clés pour comprendre ce règlement, identifier vos responsabilités et transformer cette réglementation en levier de compétitivité.

Sommaire de l’article :

Adopté en 2023, entré en vigueur en 2024 et entré en application progressive depuis septembre 2025, le Data Act répond à des blocages concrets rencontrés par les entreprises européennes : impossibilité d’accéder aux données de leurs propres équipements connectés, dépendance excessive à certains fournisseurs cloud, ou encore clauses contractuelles déséquilibrées imposées par les géants du numérique. Décryptons les fondements de ce règlement et son calendrier d’application.

Le Data Act (règlement UE 2023/2854) est un texte européen dont la majorité des dispositions s’appliquent depuis le 12 septembre 2025. Son objectif : organiser un partage équitable et transparent des données générées par les objets connectés (IoT) et les services numériques.

Concrètement, le Data Act répond à plusieurs déséquilibres constatés sur le marché européen :

Le Data Act s’inscrit dans la stratégie européenne des données, aux côtés du RGPD (qui régule les données personnelles) et du Data Governance Act (qui organise les cadres de partage volontaire). Ensemble, ces textes forment un écosystème législatif cohérent pour protéger, valoriser et encadrer l’usage des données en Europe, et accompagnent les entreprises vers une culture data driven.

Le règlement s’applique de manière progressive : si la plupart des obligations sont effectives depuis septembre 2025, certaines entreront en vigueur en septembre 2026 (conception « Data Act ready » des objets connectés) et janvier 2027 (suppression des frais de sortie cloud).

Le Data Act impacte trois dimensions stratégiques pour les PME et ETI : l’accès aux données de leurs équipements connectés, la protection contre les abus contractuels et la liberté de changement de prestataires cloud. Chacun de ces axes ouvre des opportunités concrètes de compétitivité et d’autonomie numérique.

Le premier enjeu concerne les utilisateurs d’objets connectés : capteurs industriels, véhicules professionnels, systèmes de gestion énergétique, équipements de maintenance prédictive… Désormais, toute PME ou ETI qui utilise ces objets doit pouvoir accéder librement aux données qu’ils génèrent, les consulter et les partager avec un tiers de son choix (un prestataire de maintenance, un consultant, un analyste).

Les fabricants, de leur côté, doivent concevoir leurs produits pour rendre ces données accessibles facilement, gratuitement et dans un format exploitable. Cette obligation permet aux PME de ne plus dépendre uniquement du constructeur pour analyser ou valoriser leurs propres données d’usage. C’est un enjeu central de connaissance client et d’optimisation opérationnelle.

Le Data Act interdit les clauses contractuelles abusives dans les contrats de partage de données, notamment lorsqu’elles sont imposées unilatéralement par un acteur dominant à une PME. Par exemple :

– Une clause qui donnerait à un fournisseur un droit d’usage illimité sur vos données sans contrepartie

– Une clause qui vous empêcherait de réutiliser vos propres données ou de les partager avec un concurrent

La Commission européenne publiera des clauses types (model contract terms) pour aider les PME à négocier des contrats équilibrés. Cette protection est essentielle pour les entreprises qui ne disposent pas de services juridiques dédiés.

Pour les PME et ETI utilisatrices de services cloud (hébergement, stockage, traitement de données), le Data Act impose aux fournisseurs de faciliter la portabilité et le changement de prestataire :

– Conditions de sortie transparentes et limitées

– Formats d’export standardisés et interopérables

– Réduction progressive des frais de sortie jusqu’à leur suppression totale en 2027

Ce volet du règlement réduit considérablement le risque de dépendance technologique et permet aux entreprises de négocier plus sereinement avec leurs prestataires cloud.

Le Data Act distingue trois profils d’entreprises, chacun avec des responsabilités spécifiques : les fabricants qui conçoivent des objets connectés, les utilisateurs qui les exploitent au quotidien, et les entreprises qui s’appuient sur des services cloud. À ces trois situations s’ajoute une exigence transversale : structurer une gouvernance data minimale pour tracer, sécuriser et valoriser ses flux d’information.

Si votre entreprise conçoit, fabrique ou commercialise des produits connectés (capteurs, machines industrielles, équipements IoT, logiciels embarqués), vous devez :

Ces obligations supposent une stratégie data structurée dès la conception produit.

Si votre PME ou ETI utilise des objets connectés dans son activité (flotte de véhicules, équipements industriels, capteurs de mesure), vous bénéficiez de nouveaux droits :

Contrairement à certaines réglementations européennes perçues comme uniformes, le Data Act a été conçu avec une logique de proportionnalité : plus l’entreprise est petite, plus les exemptions sont nombreuses et les délais souples. L’objectif n’est pas de créer une usine à gaz administrative, mais de permettre aux PME et ETI de structurer progressivement leur gouvernance data sans freiner leur activité.

Le Data Act a été conçu pour protéger les PME, pas pour les surcharger. Plusieurs exemptions et allègements ont été prévus :

– Les micro et petites entreprises (moins de 50 salariés et moins de 10 M€ de CA ou de bilan) sont largement exemptées des obligations de mise à disposition de données lorsque celles-ci créeraient une charge disproportionnée.

– Les entreprises de taille moyenne (moins de 250 salariés, CA ≤ 50 M€ ou bilan ≤ 43 M€) bénéficient de délais de transition si elles viennent tout juste d’atteindre ce seuil.

– Les protections contre les clauses abusives s’appliquent en priorité aux PME : elles ne peuvent se voir imposer les mêmes obligations de partage que les grands groupes.

Pour une PME ou une ETI, l’enjeu n’est pas de tout transformer du jour au lendemain, mais de poser les premières briques d’une gouvernance data cohérente :

– Identifier les produits connectés utilisés ou commercialisés

– Cartographier les flux de données internes et externes

– Revoir les contrats cloud et B2B pour supprimer les clauses déséquilibrées

– Former les équipes aux enjeux du Data Act et du RGPD

La montée en compétences passe par des formations data et IA adaptées aux besoins de chaque métier.

Une question revient régulièrement chez les dirigeants de PME et ETI : faut-il choisir entre ces trois réglementations ? La réponse est non. Le Data Act, le RGPD et le Data Governance Act forment un écosystème cohérent où chaque texte a un périmètre distinct. Comprendre cette articulation évite les confusions et permet de construire une gouvernance data efficace et conforme.

Le Data Act ne remplace ni le RGPD, ni le Data Governance Act. Ces trois règlements européens se complètent :

Pour une PME ou une ETI, l’enjeu est donc de traiter le Data Act comme un volet supplémentaire de sa gouvernance data, en cohérence avec le RGPD et les autres réglementations applicables.

Le Data Act n’est pas qu’une contrainte réglementaire : c’est une opportunité pour les PME et ETI de reprendre le contrôle de leurs données, de se libérer des dépendances technologiques et de poser les bases d’une gouvernance data structurée.

Vous ne savez pas par où commencer ? Le Diagnostic Data IA, financé par Bpifrance, vous permet en 4 ateliers et 1 mois d’accompagnement de :

Cette démarche peut ensuite s’enrichir par des missions de data consulting pour accompagner la mise en œuvre opérationnelle.

Trois profils d’entreprises sont concernés : les fabricants d’objets connectés (qui doivent rendre les données accessibles), les utilisateurs d’équipements IoT (qui gagnent de nouveaux droits d’accès) et les entreprises utilisant des services cloud (qui bénéficient d’une meilleure portabilité).

Oui, partiellement. Les micro et petites entreprises (moins de 50 salariés, moins de 10 M€ de CA) sont largement exemptées lorsque les obligations créeraient une charge disproportionnée. Les entreprises moyennes bénéficient de délais de transition.

Le RGPD régule le traitement des données personnelles (consentement, droits des personnes), tandis que le Data Act encadre l’accès et le partage de toutes les données (personnelles et non personnelles) issues d’objets connectés et de services cloud. Les deux règlements se complètent et le RGPD prime en cas de conflit.