©2020 Adaltys Avocats.
Retour au blog
Lettre d’information - Le Radar n°6
Le Data Act : un cadre contractuel pour un changement de paradigme – Focus sur son application au secteur automobile 
22/12/2025

S’agissant du domaine de l’Internet des Objets (IoT), le Data Act, entré en vigueur ce 12 septembre 2025, introduit un changement de paradigme : l’Utilisateur de l’objet connecté ou du service associé est désormais le seul décisionnaire s’agissant des données générées par son utilisation dudit objet ou service.

C’est ainsi l’Utilisateur qui :

  • autorise ou non l’exploitation des données par le Détenteur des données (qui est souvent le fabricant de l’objet connecté ou le fournisseur du service associé) ;
  • doit pouvoir accéder aux données qu’il a participé à générer, que ce soit directement sur l’objet ou via une plateforme mise à sa disposition ;
  • doit pouvoir transférer directement ou indirectement ces données à un tiers Destinataire de données.

Il en résulte de nouvelles obligations pour le Détenteur des données, à savoir :

i) concevoir les produits/services pour permettre l’accès direct aux données par l’Utilisateur ;

Cette obligation quant à la conception des objets n’entrera en vigueur que le 12 septembre 2026. Dans l’attente, les données doivent a minima être rendues disponibles à l’Utilisateur via une interface (API). Dans tous les cas, l’Utilisateur doit avoir accès aux données qu’il génère « de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine », sous la seule réserve que cela soit « pertinent et techniquement possible ».

ii) rendre les données disponibles à tout tiers désigné par l’Utilisateur (Destinataire de données) ;

iii) convenir des conditions de mise à disposition des données avec un Destinataire de données ;

iv) adapter les contrats en cours ;

v) informer l’Utilisateur.

I. L’obligation d’information précontractuelle à l’égard l’Utilisateur

L’information doit être transmise à l’Utilisateur avant la conclusion du contrat d’achat, de location ou de leasing. Il s’agit donc d’une obligation d’information précontractuelle à la charge du Détenteur des données.

Le Data Act prévoit une information relativement exhaustive, qui doit porter sur :

  • Le type, le format et le volume estimé des données que le produit est capable de générer ;
  • La capacité du produit à produire des données en continu et en temps réel ;
  • Les modalités de stockage des données (sur l’appareil lui-même ou sur un serveur distant) et, le cas échant, la durée de conservation des données prévue ;
  • Les conditions d’accès, de récupération et d’effacement des données pour l’Utilisateur, incluant les moyens techniques disponibles, les conditions d’utilisation et la qualité du service.

Ce dispositif vise ainsi à garantir une certaine transparence pour l’Utilisateur.

Le Data Act a par ailleurs à cœur d’encadrer les relations BtoB, qui contrairement aux relations BtoC ne sont pas cadrés par d’autres textes.

II. L’encadrement des relations entre professionnels

A. Un Référentiel contractuel proposé par la Commission

Pour faciliter la conclusion et l’exécution de contrats portant sur le partage de données, la Commission européenne a publié le 19 novembre 2025 des clauses contractuelles types.

Trois configurations sont ainsi proposées par la Commission :

  • Clauses types pour la relation entre le Détenteur de données et l’Utilisateur (non-consommateur) ;
  • Clauses types pour la relation entre l’Utilisateur et le tiers Destinataire des données ;
  • Clauses types pour la relation entre le Détenteur de données et le tiers Destinataire de données.

Ces clauses-types abordent les questions de réversibilité, d’interopérabilité, de continuité et de sécurité des services. Elles encadrent également les coûts possibles en cas de changement de fournisseur.

Il est à noter que ces modèles contractuels gardent un caractère non obligatoire et sont présentés comme étant évolutifs. La Commissions a ainsi d’ores et déjà prévu une mise à jour selon le retour d’expérience des entreprises qui seront consultées.

B. Un encadrement spécifique de la portabilité des données

1. Une mise à disposition transparente et non-discriminatoire

Afin d’assurer la circulation des données générées par les objets connectés et les services associés, le Data Act encadre spécifiquement les conditions de mise à disposition des données par le Détenteur des données au profit des Destinataires de données.

Le principe est que cette mise à disposition doit se faire selon des modalités et conditions équitables, raisonnables, non discriminatoires, transparentes et non abusives.

Le Dat Act donne la possibilité au Détenteur des données d’inclure une compensation financière pour cette mise à disposition. Cette compensation, qui peut comporter une marge pour le Détenteur des données, doit cependant être non-discriminatoire et raisonnable.

En cas de litige, le Règlement européen prévoit le recours à un organe de règlement des litiges certifié, désigné par chaque Etat membre. En France, c’est l’ARCEP qui est pressentie pour être désignée comme autorité de contrôle en la matière.

2. Les limites opposables par le Détenteur des données

Le Détenteur des données n’est pas tenu de transférer à un tiers Destinataire de données toutes les données en sa possession. S’il a en effet l’obligation de transférer les « Données IN » générées par l’usage de l’IoT (ex : les habitudes d’utilisation, le niveau de charge de la batterie, l’horodatage …), il n’a pas l’obligation de mettre à disposition les « Données OUT » dérivées ou inférées des données sources, qui sont le résultat d’investissements supplémentaires de sa part (ex : informations obtenues au moyen de fusion de capteurs ou collectées au moyen d’algorithmes complexes).

Sous certaines conditions, le Détenteur des données peut également opposer le secret des affaires à un tiers Destinataire des données ou à un Utilisateur. Dans ce cas, il lui appartient de convenir avec ces derniers un contrat reprenant les clauses contractuelles types, un accord de confidentialité, un protocole d’accès très strict ou encore des normes techniques spécifiques, ou un code de conduite.

Ce n’est qu’en l’absence d’accord sur les mesures nécessaires, que le Détenteur des données a le droit de bloquer ou suspendre le partage de données, avec l’obligation dans pareille hypothèse de motiver son refus par écrit et d’informer l’Autorité compétente.

C. Un principe d’interdiction des clauses abusives

Aux termes de l’article 13 du Data Act : « Une clause contractuelle concernant l’accès aux données et l’utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d’extinction d’obligations liées aux données, qu’une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise si elle est abusive ».

Cette prohibition des clauses abusive a un champ d’application large puisqu’elle s’applique à tout partage de données, qu’il soit obligatoire ou volontaire, dès lors qu’il intervient entre professionnels et que le Destinataire des données est établi dans l’UE.

Elle s’applique à tout nouveau contrat conclu à compter du 12 septembre 2025 et à compter du 12 septembre 2027 pour les contrats en vigueur le 12 septembre 2025, dès lors qu’ils ont une durée indéterminée ou une échéance au-delà du 11 janvier 2034.

Cette définition de la clause abusive est proche de la définition du contrat d’adhésion de l’article 1110 du Code Civil et les conséquences sont les mêmes que celles prévues par l’article 1171 dudit Code en cas de déséquilibre significatif. Par ailleurs, tout comme en droit français, ne sont pas concernées les clauses définissant l’objet principal du contrat, ni l’adéquation entre le prix et les données fournies en contrepartie.

Le Règlement européen liste à ce titre des clauses noires, par définition abusives (ex : exclusion des voies de recours, exclusion ou limites de responsabilité) et des clauses grises, présumées abusives (ex : droit d’accès aux données commercialement sensibles, obstacle au droit de résilier unilatéralement dans un délai raisonnable, modification substantielle du prix sans motif…).

III. Focus sur l’application du Data Act au secteur automobile

A l’issue d’une « vaste consultation » du secteur, la Commission Européenne a publié, le 15 septembre 2025, une Communication donnant des « Orientations relatives aux données des véhicules », qui accompagne le Data Act[1]. Cette Communication se présente comme un « guide relatif aux données des véhicules », autrement dit un ensemble de lignes directrices,et elle « fournit des conseils personnalisés aux acteurs du secteur automobile sur la mise en œuvre du chapitre II » du Data Act. Elle « vise à expliquer les principales obligations découlant » du Data Act « en ce qui concerne les données des véhicules telles que définies au paragraphe 19 de ce guide, en mettant l’accent sur les données relevant du chapitre II (du Data Act) et sur les règles d’accès applicables ».

La Communication précise que ces orientations « concernent exclusivement le secteur automobile », en ce compris « les constructeurs automobiles, les équipementiers, les prestataires de services après-vente et les assureurs ».

La Communication ajoute queleur contenu ne peut « être automatiquement extrapolé à d’autres secteurs d’activité ni au secteur public ». On ne peut donc pas les extrapoler de manière générale à tout véhicule, notamment les véhicules connectés relevant du matériel agricole, même s’ils sont concernés par le Data Act. En revanche, nous considérons que ces orientations concernent les véhicules industriels (camions).

– Secteur Automobile : les services annexes


Outre le véhicule (connecté), le Data Act concerne aussi les « Services annexes ».   La Communication en donne la définition suivante, ajustée au secteur Automobile : « Un service lié au véhicule suppose un échange de données bidirectionnel entre le véhicule et le prestataire de services, qu’il s’agisse du constructeur ou d’un tiers, et ayant une incidence sur le fonctionnement ou le comportement du véhicule (…). Les services qui n’affectent pas le fonctionnement du véhicule ne peuvent être considérés comme des services liés ».   La Communication fournit quelques exemples de services annexes au véhicule connecté, tels que les « services de commande à distance du véhicule qui activent ou exécutent des fonctions du véhicule » (verrouillage/déverrouillage à distance des portes, démarrage/arrêt du moteur, etc.), les « réparations et l’entretien « non réguliers » impliquant un échange de données bidirectionnel entre le véhicule et le prestataire de services » (les réparations et entretiens courants sont donc exclus de cette définition), « des services basés sur le cloud qui stockent les préférences du conducteur concernant la position du siège et des rétroviseurs, « l’infodivertissement », le mode de conduite, la température, etc., et les appliquent automatiquement au véhicule », ou bien encore« des services d’optimisation dynamique d’itinéraires qui utilisent les données du véhicule (par exemple, le niveau de batterie ou de carburant, la pression des pneus) pour suggérer des itinéraires, des bornes de recharge ou des stations-service via le tableau de bord du véhicule ».

Secteur Automobile : Quelles données sont visées par le Data Act ?

Selon la Communication afférente au secteur Automobile, il s’agit des « données produit générées par l’utilisation d’un véhicule et des données de service liées au véhicule ». Conformément au principe du Data Act, ceci inclut donc :

  • des données brutes, dont les données résultant directement de l’action de l’utilisateur (commandes, écrans, boutons, etc.) ou les données générées automatiquement par exemple par les capteurs d’un véhicule ;
  • et des données prétraitées, dont les données collectées par un capteur unique ou un groupe de capteurs connectés, afin de les rendre exploitables pour des cas d’utilisation plus larges, notamment en déterminant une grandeur physique, une qualité ou la variation d’une grandeur physique, comme la température, la pression, le débit, le signal audio, le pH, le niveau d’un liquide, la position, l’accélération ou la vitesse,

et exclut les informations déduites ou dérivées de ces données, telles que l’analyse de la gravité d’un accident.

Secteur Automobile : Quels sont les acteurs concernés ?

  • L’Utilisateur (du produit connecté et/ou du service connexe)

L’utilisateur étant désigné dans le Data Act comme étant « une personne physique ou morale qui possède un produit connecté ou à qui des droits temporaires d’utilisation de ce produit connecté ont été contractuellement transférés, ou qui reçoit des services connexes », ce sera doncle propriétaire de l’automobile, que ce soit un particulier ou une entreprise, ou le locataire d’un véhicule, mais pas le conducteur occasionnel.

  • Le Détenteur des données

Etant celui qui « met des données à la disposition des destinataires de données dans l’Union », ce sera, dans le secteur automobile, le constructeur s’il est Français, ou le représentant en France du constructeur étranger, autrement dit l’importateur.

  • Le Destinataire des données

Tout tiers autre que l’utilisateur, du moment qu’il agit dans le cadre de son activité professionnelle ou commerciale, et que le Responsable du Traitement de Données a mis les données à sa disposition.

Dans le secteur automobile, ce peut donc être, notamment, le constructeur lui-même, un professionnel de l’intermédiation de données ; le Concessionnaire ou Réparateur Agréé, mais aussi tout garagiste indépendant à qui l’utilisateur a demandé que soient transférées les données.

  • Quelles obligations sont générées par le Data Act dans le secteur Automobile ?
  • Le fabricant doit faire en sorte que le produit et/ou le service soit conçu « de manière à ce que les données relatives aux produits et aux services associés, y compris les métadonnées pertinentes nécessaires à leur interprétation et à leur utilisation, soient, par défaut, facilement, en toute sécurité, gratuitement, dans un format complet, structuré, couramment utilisé et lisible par machine, et, lorsque cela est pertinent et techniquement possible, directement accessibles à l’utilisateur ».

Appliquée au secteur automobile, cette définition laisse aux constructeurs « la latitude de concevoir un produit connecté offrant à l’utilisateur un accès aux données « non contrôlé » (c’est-à-dire sans intervention d’un tiers – autrement dit : accès direct dans le véhicule) ou un accès assorti de contrôles supplémentaires – autrement dit un accès indirect.

  • Avant la conclusion d’un contrat d’achat, de location ou de leasing d’un produit connecté, le vendeur (ou loueur ou bailleur) et/ou fournisseur du service annexe, qui peut être le fabricant, doit fournir à l’utilisateur, de manière claire et compréhensible, les informations vues ci-dessus relevant de l’obligation d’information précontractuelle.
  • Quid du distributeur (Concessionnaire ou Réparateur Agréé) ? L’obligation de mettre à disposition des données « de même qualité que celles dont dispose le responsable du traitement » implique également l’interdiction de toute discrimination à l’encontre de l’utilisateur ou de tiers, tels que les ateliers de réparation indépendants ou autres prestataires de services indépendants. Cela signifie que les responsables du traitement ne doivent pas rendre ces données accessibles à un niveau de qualité inférieur à celui auquel elles sont mises à la disposition d’eux-mêmes, de leurs filiales ou de leurs partenaires, distributeurs et réparateurs agréés.

Il reste désormais à voir comment cette nouvelle réglementation sera effectivement mise en œuvre en pratique.

[1] Les indications en italiques sont des extraits soit du Data Act, soit de la Communication spécifique au secteur Automobiles

Françoise Brunagel
Avocate associée
Découvrir son profil
Olivier Gauclère
Avocat Counsel
Découvrir son profil
Articles liés
bg
Lettre d’information – Le Radar n°6
22/12/2025
bg
Lettre d’information – Le Radar n°6
Secret professionnel, consultations d’avocats et documents saisissables en cas de perquisition
22/12/2025
bg
Lettre d’information – Le Radar n°6
Contrôle technique annuel pour les véhicules de plus de dix ans rejeté par les ministres des transports européens
22/12/2025
Adaltys Avocats
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.