Data Act et contrats de partage des données, cadre applicable

Pour mémoire, la prolifération des produits connectés a fait augmenter le volume de données et leur valeur potentielle pour les consommateurs, les entreprises et la société.

"Des données de qualité et interopérables provenant de différents domaines permettent d'accroître la compétitivité et l'innovation et de garantir une croissance économique pérenne". Néanmoins, les obstacles au partage de données empêchent que ces données soient réparties de façon optimale dans l'intérêt de la société.

Afin de réduire "les obstacles au partage des données", le Data Act crée des obligations de partage des données à la charge des détenteurs de données (dont les établissements de santé, les fabricants de dispositifs médicaux, etc.), au bénéfice de l’utilisateur(d’un produit connecté ou d’un service connexe).

- Il impose ainsi une obligation de rendre les "données facilement accessibles" relatives à un produit connecté ou à un service connexe, accessibles à l’utilisateur, ou à un tiers désigné par l'utilisateur - lorsqu’elles ne le sont pas directement - et ce, sans frais pour l'utilisateur (obligation applicable depuis le 12 septembre 2025).

- Il prévoit également une obligation de concevoir les produits connectés et de fournir les services connexes de manière que les données relatives à ces produits et services soient, par défaut, accessibles à l’utilisateur (cette obligation s’appliquera aux produits connectés et services connexes mis sur le marché après le 12 septembre 2026).

En sus des obligations de partage des données – qui concernent à la fois les utilisateurs et les tiers désignés par ces derniers – le Data Act encadre spécifiquement, dans les rapports BtoB :

· Les conditions de mise à disposition les données par le détenteur de données, aux tiers en vertu d'une obligation légale - issue du Data Act ou d’une autre disposition du droit de l’Union européenne ou du droit français –

et

· Les clauses contractuelles abusives relatives à l’accès ou à l’utilisation des données, y compris lorsque la mise à disposition intervient en dehors de toute obligation légale, dans un cadre volontaire.

Conditions de mise à disposition des données en BtoB à des "destinataires des données" 

La mise à disposition des données par les détenteurs [1] doit être assurée selon des "modalités et conditions équitables, raisonnables, non discriminatoires et de manière transparente", lorsque les trois conditions cumulatives suivantes sont réunies :

(i) Le partage intervient dans le cadre de relations entre "entreprises" ;
(ii) Il est réalisé au bénéfice d’un "destinataire des données" et
(iii) Le détenteur est tenu de mettre les données à disposition en vertu d’une obligation légale.

Pour comprendre ces conditions, les termes utilisés dans le cadre de ces conditions s'entendent comme suit :

• • la notion d’"entreprise" s’apparente à celle de "professionnel" au sens du Code de la consommation français, dans la mesure où elle désigne toute personne physique ou morale agissant dans le cadre de son activité commerciale, industrielle, artisanale ou libérale. À ce titre, les professionnels de santé peuvent être considérés comme des entreprises au sens du Data Act.
  • Le "destinataire des données" est "toute personne autre que l'utilisateur (…) à la disposition duquel le détenteur met les données". Ainsi, il s'agit notamment du tiers désigné par l'utilisateur au profit duquel le détenteur des données est tenu de mettre les données à disposition en vertu de l'obligation de partage devenue applicable depuis le 12 septembre 2025.

Contrairement à la mise à disposition des données aux utilisateurs qui doit être réalisée sans frais, la mise à disposition au bénéfice des destinataires peut inclure une "compensation", qui doit être "non discriminatoire", "raisonnable", et qui peut comporter "une marge" pour le détenteur. Cette compensation pourrait notamment tenir compte des "coûts occasionnés par la mise à disposition" et "des investissements dans la collecte et la production des données". Des lignes directrices de la Commission sont attendues pour faciliter le calcul d'une compensation raisonnable.

Interdiction des clauses contractuelles abusives entre "entreprises"

Toute clause "concernant l'accès aux données et l'utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d'extinction d'obligations liées aux données", imposée unilatéralement par une entreprise à une autre, ne lie pas cette dernière entreprise[2].
Cette interdiction a un champ d'application large. Elle couvre non seulement les hypothèses dans lesquelles le partage de données est rendu obligatoire par des dispositions légales, mais également celles relevant du partage volontaire entre professionnels.

Il convient de distinguer entre deux listes de clauses : (i) celles qui sont toujours considérées comme abusives (liste noire), et (ii) celles présumées abusives (liste grise).
En termes de calendrier d'application, cette interdiction s’applique aux contrats conclus après le 12 septembre 2025, et à compter du 12 septembre 2027 pour les contrats conclus le 12 septembre 2025 ou avant cette date, à condition qu’ils soient à durée indéterminée ou qu’ils arrivent à échéance au moins dix ans après le 11 janvier 2024.

Il faut préciser que si le Data Act se concentre sur les relations contractuelles B2B en matière d’interdiction des clauses abusives, c’est parce que le droit de l’Union protège déjà par ailleurs les consommateurs contre de telles clauses.

L’objectif de ces nouvelles dispositions est donc principalement de protéger les petites entreprises contre les clauses imposées unilatéralement par des entreprises se trouvant "dans une position de négociation plus forte", et leur permettant jusqu'alors de se réserver l'utilisation des données qu'elles produisent.

L'entrée en application suppose donc d'auditer les clauses des contrats existants et futurs afin d'identifier, et de supprimer le cas échéant, celles susceptible d'être considérées comme abusives.

A vos contrats…