Les interpénétrations possibles entre le Data Act et le RGPD

L’Union européenne a entrepris, depuis plus d’une décennie, de construire un espace numérique où la circulation des données se concilie avec la protection des droits fondamentaux. Deux instruments majeurs incarnent cette ambition : le Règlement général sur la protection des données (RGPD), adopté en avril 2016 et applicable depuis mai 2018, et le Règlement (UE) 2023/2854 dit « Data Act », adopté le 13 décembre 2023 et dont l’entrée en application est prévue pour le 12 septembre 2025.

Le RGPD est centré sur la protection des données à caractère personnel et l’affirmation des droits des individus. Le Data Act s’inscrit quant à lui dans la stratégie européenne pour les données et vise à stimuler l’économie de la donnée en organisant l’accès, le partage et l’utilisation des données générées par les produits connectés et services numériques, qu’elles soient personnelles ou non.

La coexistence de ces deux régimes crée une articulation complexe : ils poursuivent des finalités différentes mais s’appliquent souvent simultanément, notamment lorsque des données générées et échangées sont des données personnelles. L’enjeu réside dans l’identification des points de convergence, des zones de friction et des mécanismes de conciliation entre ces deux piliers du droit européen des données.

Sources officielles :

• Règlement (UE) 2016/679 dit « RGPD » : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 (27 avril 2016).

   

• Règlement (UE) 2023/2854 dit « Data Act » : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32023R2854 (13 décembre 2023).

   

I. Les objectifs distincts mais complémentaires des deux règlements

A. La vocation du RGPD : garantir la protection des droits fondamentaux

Le RGPD répond à une préoccupation première : protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel. Il consacre des droits substantiels (articles 12 à 23) : droit d’accès, de rectification, d’effacement, à la limitation du traitement, à la portabilité (article 20), ou encore droit d’opposition.

Ce corpus de droits s’accompagne d’obligations pour les responsables de traitement et leurs sous-traitants : obligation de transparence (article 13), de sécurité (article 32), d’évaluation d’impact en cas de risque élevé (article 35). Le texte repose sur des principes fondamentaux tels que la minimisation des données, la limitation des finalités ou encore la responsabilité (« accountability »).

B. La vocation du Data Act : instaurer un marché équitable des données

Le Data Act répond à une logique davantage économique et concurrentielle. Ses principaux objectifs sont :

1. Donner aux utilisateurs de produits connectés un droit d’accès direct aux données générées par ces produits.

    

2. Encadrer le partage des données entre entreprises (B2B) et entre entreprises et consommateurs (B2C).

    

3. Permettre aux organismes publics d’accéder à certaines données en cas de besoin exceptionnel d’intérêt général.

    

4. Établir un cadre pour prévenir les clauses contractuelles abusives et renforcer la position des PME dans la négociation de l’accès aux données.

    

5. Favoriser l’interopérabilité et la fluidité dans le secteur des services de traitement de données (cloud, edge computing).

    

Le Data Act consacre donc le principe selon lequel les données, souvent enfermées dans des silos ou monopolisées par les fabricants, doivent être rendues accessibles et réutilisables dans des conditions équitables.

C. Une rencontre inévitable

Bien que leurs objectifs diffèrent, les deux règlements se rejoignent sur le terrain des données personnelles. Dès lors que les informations générées par un objet connecté ou un service concernent une personne identifiable, le RGPD s’applique. Le Data Act lui-même reconnaît expressément la primauté du RGPD. Cette coexistence est au cœur des interpénétrations analysées.

II. Les zones de recoupement entre Data Act et RGPD

A. La notion de « données » : une approche large et englobante

Le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable (article 4). Le Data Act, quant à lui, s’intéresse à la catégorie plus vaste de « données » générées par l’utilisation de produits connectés. Ces données peuvent être techniques, opérationnelles, environnementales, et inclure des données personnelles.

Ainsi, un véhicule connecté produit des données relatives à l’état du moteur (données non personnelles) et des informations sur la conduite d’un utilisateur précis (données personnelles). Ces deux ensembles relèvent potentiellement à la fois du Data Act et du RGPD.

B. Le droit à la portabilité et l’accès élargi aux données

Le RGPD a introduit, à l’article 20, un droit à la portabilité des données personnelles. Il permet aux personnes concernées de recevoir leurs données dans un format structuré et de les transmettre à un autre responsable de traitement.

Le Data Act va plus loin en reconnaissant un droit d’accès élargi aux utilisateurs de produits connectés, indépendamment du fait que les données soient personnelles ou non. L’utilisateur, qu’il s’agisse d’un particulier ou d’une entreprise, peut exiger la transmission des données générées par le produit.

Les deux dispositifs se recoupent : le droit à la portabilité du RGPD se concentre sur la personne concernée et ses données personnelles, tandis que le Data Act organise un accès généralisé aux données générées par l’usage, dans une logique de valorisation économique.

C. Les obligations de partage et le respect des droits fondamentaux

Le Data Act impose aux fabricants et fournisseurs de services de mettre les données à disposition, parfois au bénéfice de tiers. Toutefois, si ces données comprennent des éléments à caractère personnel, leur traitement doit respecter l’ensemble des garanties prévues par le RGPD :

• existence d’une base légale (article 6 RGPD) ;

   

• information des personnes concernées (articles 13 et 14) ;

   

• respect des droits d’opposition et d’effacement.

   

Le partage prévu par le Data Act ne saurait donc justifier une dérogation aux droits fondamentaux consacrés par le RGPD.

III. Les tensions juridiques entre les deux régimes

A. L’équilibre entre ouverture des données et protection de la vie privée

Le Data Act s’inscrit dans une logique d’ouverture, de circulation et de réutilisation. Le RGPD adopte au contraire une logique de protection, de limitation et de contrôle. L’articulation des deux peut conduire à des tensions, par exemple lorsqu’un utilisateur d’un produit connecté souhaite partager largement ses données avec des tiers, mais que celles-ci incluent des informations sur d’autres personnes.

B. La conciliation entre minimisation des données et obligations de mise à disposition

Le principe de minimisation (article 5 RGPD) impose de ne traiter que les données strictement nécessaires. Or, le Data Act prévoit des obligations de partage qui pourraient inciter à la transmission d’un volume important d’informations. Les responsables de traitement devront donc mettre en place des mécanismes de filtrage pour limiter le transfert aux seules données pertinentes.

C. La difficulté d’identifier la frontière entre données personnelles et non personnelles

Certaines données sont intrinsèquement mixtes : par exemple, les données issues d’un capteur agricole peuvent refléter à la fois des conditions de terrain (non personnelles) et l’activité d’un exploitant identifiable (personnelles). Le Data Act invite à traiter ces données comme un ensemble à partager, tandis que le RGPD exige un traitement différencié et encadré des composantes personnelles.

IV. Les mécanismes d’articulation prévus par le Data Act

A. La clause de primauté du RGPD

L’article 1er, paragraphe 5, du Data Act dispose que le règlement est sans préjudice du RGPD. Cela signifie que la protection des données personnelles prime en toutes circonstances.

B. Les garde-fous contractuels et techniques

Le Data Act incite à l’adoption de contrats équitables et transparents organisant le partage des données. Ces contrats devront intégrer les obligations découlant du RGPD : clauses relatives à la confidentialité, à la sécurité, au respect des droits des personnes.

Sur le plan technique, le règlement encourage l’utilisation d’interfaces normalisées et de formats ouverts, ce qui peut faciliter la mise en œuvre du droit à la portabilité consacré par le RGPD.

C. La coopération institutionnelle

L’articulation des deux régimes suppose une coopération entre autorités compétentes : les autorités de protection des données (comme la CNIL en France) et les autorités chargées du respect des règles de concurrence et du marché intérieur. Cette coopération sera déterminante pour éviter des interprétations contradictoires.

V. Les implications pratiques pour les acteurs économiques

A. Redéfinir les programmes de conformité

Les entreprises devront adapter leurs politiques de conformité pour intégrer les obligations du Data Act :

• recenser les données générées par leurs produits et services ;

   

• identifier les parts personnelles et non personnelles ;

   

• mettre à jour les registres de traitement au regard du RGPD ;

   

• rédiger des contrats compatibles avec les deux règlements.

   

B. Les secteurs particulièrement concernés

1. Automobile connectée : les véhicules produisent en permanence des données de conduite, de géolocalisation, d’entretien. Les constructeurs devront organiser l’accès à ces données tout en respectant les droits des conducteurs et passagers.

    

2. Santé numérique : les objets connectés de santé génèrent des données sensibles, qui relèvent pleinement du RGPD. Leur partage dans le cadre du Data Act pose des enjeux cruciaux de confidentialité.

    

3. Agriculture de précision : les capteurs agricoles fournissent des informations utiles pour optimiser les récoltes mais reflètent aussi l’activité d’exploitants identifiables.

    

4. Énergie et domotique : les compteurs intelligents et dispositifs domestiques produisent des données sur la consommation des foyers, révélatrices de comportements individuels.

    

C. Les risques de litiges

Les chevauchements entre Data Act et RGPD sont susceptibles de donner lieu à des litiges multiples :

• contentieux entre entreprises sur l’étendue des obligations de partage ;

   

• actions des personnes concernées en cas de violation de leurs droits ;

   

• conflits de compétence entre autorités de contrôle.

   

VI. Les perspectives d’évolution

A. Vers un droit européen intégré des données

Certains auteurs considèrent que l’articulation du Data Act et du RGPD ouvre la voie à une unification progressive du droit européen des données, dépassant la distinction entre données personnelles et non personnelles.

B. Les incertitudes de l’application pratique

D’autres soulignent le risque d’insécurité juridique, en raison de la complexité des régimes applicables et du besoin d’arbitrage permanent entre ouverture et protection.

C. Le rôle de la jurisprudence

La Cour de justice de l’Union européenne sera amenée, comme pour le RGPD, à préciser l’interprétation du Data Act et à trancher les conflits de normes.