Data Act : guide pratique pour les fabricants d’équipements connectés

Le Data Act est entré en vigueur le 12 septembre 2025. Ce règlement européen bouleverse les règles du jeu pour les fabricants de machines et les fournisseurs de services connectés. Il ne s’agit pas d’une simple contrainte juridique : c’est une nouvelle façon de gérer, partager et exploiter les données générées par vos équipements.

Concrètement, vos produits doivent être repensés pour respecter ces exigences. Vos modèles économiques aussi.

Vous fabriquez ou gérez des équipements connectés ? Ce guide est essentiel pour comprendre où vous en êtes… et ce qu’il vous reste à faire.

Les prochaines échéances du Data Act

Alors que les principales obligations du Data Act sont entrées en application le 12 septembre 2025, plusieurs échéances critiques restent à franchir pour les entreprises en France :

• 12 septembre 2026 : L’obligation d’accès aux données dès la conception (Access by Design) devient impérative. Tous les nouveaux produits connectés et services liés mis sur le marché devront techniquement permettre un accès direct et fluide aux données pour l’utilisateur.

• 12 janvier 2027 : Fin de la période de transition pour le changement de fournisseur Cloud. À cette date, les frais de transfert (egress fees) devront être totalement supprimés pour permettre une portabilité gratuite entre services de traitement de données.

• 12 septembre 2027 : Le règlement s’étendra aux contrats conclus avant septembre 2025, s’ils sont à durée indéterminée ou s’ils expirent après janvier 2034. C’est l’échéance ultime pour la mise en conformité des anciens “stocks” contractuels et la suppression des clauses jugées abusives.

Le Data Act, c’est quoi exactement ?

Qu’est-ce que le Data Act ?

Le Data Act (Règlement UE 2023/2854, défini par la Commission européenne,) vise à faciliter l’accès, la portabilité et le partage des données générées par les produits et services connectés.

Il s’applique qu’elles soient personnelles ou non. Contrairement au RGPD, qui protège les données personnelles, le Data Act encadre leur usage économique : qui y a accès, dans quelles conditions, et à quelles fins.

Qui est concerné par cette règlementation des données ?

Le règlement s’applique à toute entreprise qui conçoit, fabrique ou commercialise un produit ou service connecté, y compris :

• Fabricants de machines (ex : industriels, agricoles, logistiques)

• Fournisseurs de services associés (maintenance, monitoring, supervision)

• Utilisateurs professionnels de ces produits

• Tiers destinataires des données (ex : réparateurs, intégrateurs, développeurs d’applications)

Exceptions : les micro et petites entreprises peuvent être exclues, sous conditions strictes (moins de 50 employés ET moins de 10 M€ de CA).

Ce que le Data Act impose concrètement aux fabricants

En tant que fabricant de machines connectées ou en tant qu’offreur de services connectés, voici ce que vous devez mettre en place :

1. Rendre les données accessibles à l’utilisateur

• Sans frais
• En format structuré, lisible par machine
• Par défaut, dès la conception du produit (“by design”)
• En temps réel si possible

2. Informer en amont sur les données générées

• Types de données générées
• Volume et fréquence de collecte
• Moyens d’accès, d’extraction, d’effacement

3. Partager les données avec des tiers sur demande

• À la demande de l’utilisateur
• Sans frais pour l’utilisateur
• Selon des modalités équitables et non discriminatoires
• Avec encadrement contractuel du tiers

4. Garantir l’interopérabilité

• Faciliter le changement de fournisseur
• Ne pas enfermer les utilisateurs dans un écosystème fermé
• Travailler avec des formats et standards ouverts

5. Protéger les secrets d’affaires

• Possibilité de refuser l’accès à certaines données sensibles
• Sous conditions : démonstration écrite, justification précise
• Notification à l’autorité compétente requise

Ce que le Data Act change pour votre business model

Le Data Act impose de revoir certains réflexes historiques, en particulier si vos services sont fondés sur un accès exclusif aux données.

VS

Conséquences métier :

• Fin du verrouillage des services
• Mise en concurrence de l’après-vente
• Nécessité de repenser les modèles de valeur autour de la donnée

Les risques si vous n’êtes pas prêts aux normes

Ne pas être en règle avec le Data Act, c’est s’exposer à plusieurs types de conséquences. Certaines sont financières, d’autres plus structurelles. Toutes peuvent freiner votre développement ou nuire à votre crédibilité sur le marché.

Sanctions financières

Le règlement prévoit des sanctions importantes en cas de non-respect. Les autorités nationales pourront infliger des amendes pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé. Le risque est réel, notamment si vous traitez des volumes de données importants ou si vous intervenez sur plusieurs marchés européens.

🔗 En savoir plus sur les sanctions prévues dans le texte officiel du Data Act (UE 2023/2854)

Clauses contractuelles invalidées

Si vos conditions générales de vente ou vos contrats clients limitent ou restreignent l’accès aux données de vos produits connectés, ces clauses pourront être considérées comme non valables. Le Data Act précise que toute clause qui prive l’utilisateur de ses droits ou en limite la portée est réputée non contraignante. Cela peut remettre en cause des accords commerciaux déjà en place.

Perte d’opportunités commerciales

La conformité au Data Act devient progressivement un critère d’achat, notamment pour les clients publics ou les grandes entreprises. Ne pas être en règle peut vous exclure d’appels d’offres ou créer un désavantage concurrentiel face à des acteurs déjà préparés.

Impact réputationnel

Le non-respect d’un règlement européen aussi structurant peut nuire à votre image. À l’inverse, une posture proactive peut devenir un levier marketing et commercial. Afficher votre conformité montre que vous prenez vos responsabilités sur la gestion des données industrielles.

Comment vous préparer dès maintenant

Se mettre en conformité avec le Data Act ne repose pas uniquement sur des ajustements juridiques. C’est une démarche opérationnelle, qui touche à vos produits, vos contrats et vos systèmes de traitement des données. Voici les principales étapes à engager dès maintenant.

Cartographier vos données

Commencez par identifier les données que vos machines ou services connectés génèrent. Distinguez :

• les données techniques,
• les données d’usage,
• les métadonnées.

Définissez aussi quelles données doivent être rendues accessibles, à qui, dans quel format, et avec quelle fréquence. Cette étape est indispensable pour anticiper les demandes des utilisateurs ou des tiers.

Organiser l’accès et le partage

Si vos produits ne permettent pas encore un accès direct aux données, vous devez envisager des solutions techniques : portails, APIs de partage, exports automatisés… Ce partage doit être sécurisé, traçable et respectueux des règles du Data Act, notamment en matière de confidentialité et de secret d’affaires.

Vous devez aussi prévoir les cas où l’utilisateur souhaite transmettre ses données à un tiers. Le Data Act impose alors de garantir un transfert fluide, sans coût ni délai excessif.

Adapter vos contrats

Le Data Act introduit des obligations d’information précontractuelles. Vous devrez informer clairement vos clients sur :

• les types de données générées,
• la manière dont ils peuvent y accéder,
• la fréquence de mise à disposition.

Il est aussi nécessaire de réviser les clauses liées au traitement des données, à leur partage avec des tiers, et à la protection des informations sensibles.

Structurer votre gouvernance data

Désignez en interne qui est responsable de quoi : collecte, traitement, mise à disposition, sécurisation. Mettez en place des procédures pour répondre aux demandes d’accès, y compris lorsqu’un tiers est impliqué. Formez vos équipes commerciales, techniques et juridiques aux nouveaux enjeux liés à la donnée.

dDruid offre une plateforme IoT compliant au Data Act

Chez dDruid, notre plateforme IoT qui vous aide à répondre aux exigences du Data Act, sans surcharge technique.

• Centralisation des données : vos équipements génèrent des données hétérogènes ? dDruid les regroupe dans un environnement unifié, quel que soit le fabricant ou le protocole.

• Structuration automatique : vous obtenez des données exploitables (format lisible, enrichi, exportable) sans intervention manuelle.

• Interface no-code : vos équipes peuvent créer des accès, générer des rapports ou configurer des exports sans écrire une ligne de code.

• Interopérabilité intégrée : la plateforme est conçue pour simplifier la mise à disposition de données aux utilisateurs ou à des tiers, en temps réel si nécessaire.

• Hébergement en France, certifié ISO 27001 et HDS : pour répondre aux exigences de souveraineté et de protection.