Data Act : ce que change le règlement pour vos contrats fournisseurs cloud.
Le règlement européen 2023/2854, dit Data Act, est entré en application le 12 septembre 2025. Au-delà de son objectif d'ouvrir l'accès aux données générées par les objets connectés, il bouleverse en silence les contrats que les PME et ETI françaises signent avec leurs fournisseurs cloud. Pour les dirigeants, l'enjeu n'est pas théorique : il faut renégocier ou auditer chaque contrat de prestation numérique.
Le Data Act en bref : pourquoi votre PME est concernée
Le Data Act poursuit trois objectifs entrelacés : faciliter le partage des données générées par les utilisateurs d'objets connectés, encadrer les relations B2B et B2C autour de ces données, et briser les pratiques de verrouillage (lock-in) des fournisseurs de services cloud et edge.
Trois familles d'entreprises sont directement touchées :
- Les fabricants et utilisateurs d'objets connectés : machines industrielles équipées de capteurs, véhicules connectés, équipements médicaux, robots agricoles, dispositifs IoT en B2B
- Les fournisseurs de services associés à ces objets connectés : maintenance prédictive, monitoring, plateformes analytiques
- Les utilisateurs de services de traitement de données : autrement dit, toutes les entreprises clientes de fournisseurs cloud (AWS, Azure, GCP, OVH, Scaleway, et tous leurs équivalents en SaaS)
C'est cette troisième catégorie qui rend le Data Act universellement applicable aux PME et ETI françaises, même celles qui ne fabriquent ni n'utilisent d'objets connectés. Si votre entreprise utilise un CRM en SaaS, un ERP cloud, une plateforme de stockage, vous êtes concerné.
Les quatre clauses que le Data Act impose désormais
Le règlement encadre directement le contenu des contrats de fourniture de services cloud, dans une logique qui s'apparente à la protection consommateur appliquée au B2B. Quatre points sont devenus non négociables.
1. Portabilité effective des données
Votre fournisseur cloud doit vous permettre de récupérer l'ensemble de vos données dans un format exploitable et de les transférer vers un autre fournisseur. Cela inclut non seulement les données brutes mais aussi, dans une certaine mesure, les structures, métadonnées et configurations applicatives.
En pratique, vous devez pouvoir vérifier dans le contrat :
- Le format de récupération des données (CSV, JSON, formats interopérables)
- Le délai maximum de mise à disposition (encadré par le règlement)
- L'absence de frais prohibitifs sur l'export
- Les engagements sur la complétude des données restituées
2. Suppression progressive des frais de switching
Le Data Act impose une suppression progressive des frais de changement de fournisseur cloud sur trois ans. À compter du 12 janvier 2027, ces frais devront être nuls pour le client. Les fournisseurs ne peuvent plus pénaliser économiquement la sortie d'un contrat.
Cette disposition transforme la dynamique concurrentielle : les fournisseurs cloud ne peuvent plus compter sur les coûts de migration pour fidéliser leurs clients. Pour les PME, c'est un levier de négociation puissant à intégrer dans toute discussion avec un fournisseur.
3. Délais de résiliation encadrés
Le préavis de résiliation pour un service de traitement de données ne peut excéder deux mois. Toute clause contractuelle imposant un préavis plus long est désormais réputée non écrite. Vérifier les contrats anciens reconduits tacitement devient une priorité : beaucoup contiennent des préavis de 6 ou 12 mois qui ne tiennent plus.
4. Transparence sur les sous-traitants et localisations
Le fournisseur doit indiquer clairement la localisation des données traitées, les sous-traitants impliqués, et toute modification substantielle de ces éléments. Cette obligation s'articule avec celles du RGPD mais va plus loin sur la transparence opérationnelle.
Calendrier d'application — les dates à retenir
- 12 septembre 2025 · Entrée en application générale du Data Act
- 12 septembre 2026 · Application aux objets connectés mis sur le marché à compter de cette date
- 12 janvier 2027 · Suppression totale des frais de switching cloud
- 12 septembre 2027 · Application aux contrats existants conclus avant 2025 (sous réserve)
Les contrats à auditer en priorité dans votre PME
Tous les contrats numériques ne nécessitent pas le même niveau d'attention. Voici une cartographie pour prioriser le travail.
| Type de contrat | Niveau de priorité | Pourquoi |
|---|---|---|
| Hébergement cloud (AWS, Azure, GCP, OVH) | Très élevée | Cœur du dispositif Data Act, clauses de switching et portabilité au centre du règlement |
| ERP / CRM en SaaS | Élevée | Données métier critiques, dépendance forte, coûts de migration historiquement élevés |
| Outils de monitoring industriel (capteurs, IoT) | Élevée | Donne accès à des droits nouveaux pour l'utilisateur final sur les données générées |
| Plateformes analytiques / data warehouse | Moyenne | Portabilité technique souvent complexe, nécessite des clauses spécifiques |
| Outils RH, comptabilité | Moyenne | Concernés par la portabilité, mais effets pratiques moins immédiats |
| Outils marketing, productivité | Faible | Effort à investir lors du renouvellement contractuel |
Méthode d'audit contractuel : six étapes pour une PME
Pour une PME de 20 à 250 salariés, un audit complet des contrats Data Act se conduit en deux à trois semaines.
Étape 1 — Inventaire exhaustif des contrats SaaS et cloud
Recensez chaque service numérique payant, son fournisseur, sa date de signature, sa date d'échéance, son montant annuel. Cet inventaire fait souvent émerger des contrats oubliés, reconduits tacitement à des conditions désavantageuses.
Étape 2 — Identification des contrats critiques
Hiérarchisez selon la table ci-dessus. Concentrez l'effort initial sur les trois ou quatre contrats les plus structurants pour votre activité.
Étape 3 — Lecture des clauses de portabilité et de résiliation
Pour chaque contrat critique, identifiez : modalités de récupération des données, frais de sortie, délai de préavis, engagements de format. Toute clause prévoyant un préavis supérieur à deux mois ou des frais de switching après 2027 est juridiquement vulnérable.
Étape 4 — Sollicitation du fournisseur
Les fournisseurs sérieux ont mis à jour leurs CGV et leurs annexes Data Act. Demandez explicitement la version conforme. Un fournisseur incapable de produire une politique Data Act claire devient un risque opérationnel : si vous devez sortir un jour, les conditions seront opaques.
Étape 5 — Renégociation ciblée
Pour les contrats stratégiques, intégrez systématiquement : annexe sur la portabilité (format, délai, complétude), engagement écrit sur la suppression des frais de switching, mécanisme d'audit annuel sur la conformité du fournisseur, clause de notification en cas de changement de sous-traitant ou de localisation.
Étape 6 — Documentation interne
Conservez la trace des audits, des échanges fournisseurs, des versions contractuelles successives. En cas de contrôle ou de contentieux, cette documentation est ce qui protège effectivement la PME.
Le piège : croire que le RGPD couvre tout
Beaucoup de dirigeants supposent que leur conformité RGPD couvre les obligations du Data Act. C'est une erreur courante mais coûteuse.
Le RGPD encadre les données à caractère personnel et impose des obligations sur leur traitement. Le Data Act, lui, traite à la fois de données personnelles et non personnelles, et raisonne sur des logiques différentes :
- Le RGPD donne des droits aux personnes physiques sur leurs données personnelles
- Le Data Act donne des droits aux utilisateurs (entreprises ou particuliers) d'objets connectés sur les données générées
- Le RGPD impose la portabilité pour la personne concernée
- Le Data Act impose la portabilité dans les contrats B2B avec les fournisseurs de services
Les deux règlements coexistent et s'appliquent simultanément. Une mise en conformité RGPD ne dispense en aucun cas de l'audit Data Act. Sur les données personnelles générées par un objet connecté, les deux régimes s'empilent — d'où l'importance d'une approche coordonnée.
Ce qu'il faut retenir. Le Data Act change discrètement mais profondément les contrats numériques des PME françaises. La fenêtre d'action est ouverte jusqu'en septembre 2027 pour les contrats anciens, mais le travail d'audit doit débuter maintenant. Ce n'est ni une simple question juridique ni un sujet purement technique : c'est un levier stratégique de réduction des coûts et de reprise de contrôle sur la dépendance aux fournisseurs cloud.
Le Data Act et l'AI Act font partie d'un ensemble cohérent de réglementations européennes sur le numérique, qui reconfigure les obligations des PME en quelques mois. Notre analyse des obligations AI Act pour les PME détaille la deuxième dimension de cette transformation.
Sources et références
- Règlement (UE) 2023/2854 — texte intégral du Data Act (Eur-Lex)
- Commission européenne — Politique européenne du Data Act
- CNIL — Le règlement européen sur les données
- Direction Générale des Entreprises — Stratégie nationale pour la donnée
Auditez vos contrats Data Act
Un échange initial avec Audaria permet d'identifier les contrats critiques de votre PME et de prioriser les actions de mise en conformité avec le règlement européen sur les données.
Demander un diagnostic →