Les entreprises ont jusqu’au 12 septembre 2025 avant d’être confrontées aux premières exigences du Data Act. Mais à un an de l’échéance, l’attentisme prévaut et interroge la maturité des gouvernances data en place. Alliancy a interrogé Romain Perray, avocat associé au sein du cabinet McDermott Will & Emery, et Claude-Etienne Armingaud, avocat associé au sein du cabinet K&L Gates. L’un et l’autre soulignent les paradoxes de la situation actuelle.
Les entreprises se sont-elles suffisamment préparées au Data Act ?
Romain Perray : De façon claire, c’est l’AI Act qui a intéressé tout le monde ces derniers mois, et le Data Act n’a pas eu la visibilité que l’on aurait pu espérer, compte tenu des conséquences organisationnelles majeures qu’il implique pour les entreprises. D’autant plus que les commentaires initiaux sur le Data Act étaient plutôt : c’est simple, il suffit seulement de partager les données liées aux objets connectés. Or, quand on rentre dans le détail, apparaît un aspect inhabituel : le texte s’applique selon des champs d’application différents, ce qui n’est pas le cas, par exemple, du RGPD. Ce sont ces champs d’application variés et la complexité rare du texte qui expliquent aussi le manque d’entrain.
Claude-Etienne Armingaud : La maturité est quasiment nulle aujourd’hui sur le Data Act, car il n’y a même pas de connaissance de base du texte chez beaucoup d’acteurs, voire de son existence même. Si on compare avec l’expérience du RGPD il y a 8 ans, la différence, c’est qu’il y avait déjà une culture dans les pays européens autour des données personnelles. Ainsi, certaines filiales européennes avaient prévenu très tôt leur maison mère à l’étranger des impacts de la réglementation en avance de phase. Aujourd’hui, le Data Act reste avant tout un sujet connu des juristes, qui n’a pas provoqué de remous. Avec le RGPD, il fallait nommer des data protection officers, et cela avait fait réagir fortement. Là, on est dans la politique de l’autruche.
Le Data Act en bref
Entré en vigueur en janvier 2024, le Data Act vise à améliorer l’accès aux données au sein du marché de l’Union européenne pour les particuliers et les entreprises. Ce règlement est directement applicable dans toute l’UE sans nécessiter de mise en œuvre locale. Les États membres doivent créer ou désigner une ou plusieurs autorités compétentes pour garantir son application.
Il s’applique principalement aux utilisateurs et fabricants de dispositifs connectés, à ceux qui fournissent des services liés à ces dispositifs, aux détenteurs de données de dispositifs connectés, ainsi qu’aux prestataires de services de traitement des données — principalement les fournisseurs de cloud. Le Data Act s’applique indépendamment du lieu d’établissement des fabricants, prestataires et détenteurs de données, si le produit connecté ou service associé est mis sur le marché dans l’UE et s’ils mettent les données à disposition de destinataires dans l’UE
Quelle est la complexité du texte concrètement ?
Romain Perray : Pour savoir quels sont les chapitres du texte qui les concernent réellement, les acteurs doivent avoir une bonne connaissance de leur système, mais également cartographier leurs flux de données. Cela ne se limite pas au travail qui avait pu être fait à l’époque du RGPD, car les données en question ne sont pas seulement celles à caractère personnel. Les entreprises se retrouvent avec leur catalogue de données d’un côté, et les mécanismes de triage de l’autre, qui sont difficiles à mettre en place. Au sein d’une même société, on va voir coexister des cas différents, selon le type de produit. Par ailleurs, il n’est pas possible de se limiter à une classification « fixe » de la nature des données : il faut considérer que cette nature peut évoluer dans le temps et prévoir les procédures qui permettront d’en tenir compte. Enfin, un autre aspect est que le détenteur de données est souvent le fabricant du produit, mais qu’il arrive également que d’autres acteurs entrent dans l’équation. L’identification des parties prenantes dans la chaîne d’approvisionnement s’avère elle aussi très complexe. Le travail d’audit nécessaire pour répondre à ces différents sujets nécessite un mix de compétences juridiques et techniques très poussées. Or, comme je le mentionnais, le caractère abscons du texte fait que les entreprises ne mesurent pas vraiment cet enjeu.
L’échéance du 12 septembre 2025 est-elle un couperet ?
Claude-Etienne Armingaud : La façon dont je vois les choses, c’est que si les entreprises ne prennent pas le sujet à bras-le-corps avec le temps qui leur reste, ce sont les utilisateurs qui vont les mettre face à leurs responsabilités. J’ai le sentiment que de nombreuses organisations se disent qu’elles verront bien s’il y a d’éventuelles actions en justice avant d’agir. Pourtant, on est sur des changements en termes de processus, de conception des produits, de changements contractuels, qui se font en moyenne sur des délais de 18 mois environ. Sans signaux plus positifs par rapport à l’échéance, je pense que les régulateurs européens vont finir par montrer les dents.
Romain Perray : Il y a deux dates clés à avoir en tête : le 12 septembre 2025, puis le 12 septembre 2026. Les objets qui sont déjà sur le marché sans accès possible à leurs données ne sont pas concernés. En revanche, pour ceux qui permettent un accès à leur fabricant, il faudra être capable de fournir pour le 12 septembre 2025, des accès « à la demande ». Mais surtout, un an plus tard, c’est une possibilité de partage direct des données qui devra avoir été mise en place. La conception des futurs produits dans l’optique du Data Act est déjà moins un problème avec une approche « by design », mais la question pour beaucoup d’entreprises reste : sur les produits existants, des mises à jour sont-elles nécessaires et qu’est-ce que cela implique pour mon organisation ? Vu le timing, il est fort probable que chaque entreprise doive donc faire des choix stratégiques : se concentrer sur tel produit, abandonner tel autre. Ces transformations mettent en évidence l’enjeu de la maturité de la gouvernance des données au sein des organisations. Car au-delà de la mise en conformité, vécue comme une contrainte, ce qui fait la différence, c’est de voir si on arrive à faire de cela un avantage stratégique et commercial, en capitalisant sur l’intérêt du partage des données auprès des utilisateurs et de l’écosystème.
L’augmentation de la maturité de la gouvernance des entreprises sur le sujet des données depuis une dizaine d’années n’est-elle pas un avantage en ce sens ?
Claude-Etienne Armingaud : Les partis pris dans les organisations concernant la donnée m’ont toujours choqué : la fragmentation est très importante et il y a très peu d’ownership sur la donnée. Par exemple, l’ESG a toujours évolué séparément de son côté, alors qu’en toute logique, ces sujets devraient être intimement liés avec la vie privée, les données personnelles et la conformité technologique dans son ensemble. Les organisations ont la tentation de délaisser de nombreuses questions sur la donnée en mettant tout sur les épaules de leurs directions IT. Or, une grande partie de l’effort, au-delà de la question technique, va être le travail que le business va devoir faire sur lui-même ! Et en retour, cela contribue à la tendance des équipes IT de vouloir garder des prérogatives exclusives, quitte à jargonner pour repousser les métiers.
Je pense au contraire que les entreprises qui mettent en avant leur chief data officer, par opposition ou complémentarité avec le data protection officer, avec la mission de raconter une histoire pour fédérer à la fois les métiers et l’IT, sont sur la bonne voie. Leur message est d’une certaine façon que la conformité est un aspect collatéral de la gouvernance de la donnée, qui doit être mise en place de toute façon pour permettre à l’entreprise d’aller de l’avant. Cela implique une conscience à haut niveau que le sujet des fondamentaux data est un investissement vertueux. Travailler sur ces fondamentaux, c’est faire le chemin du Data Act.
Romain Perray : Il y a un cap à passer. Ce n’est pas parce qu’une organisation peut compter sur des personnes qui ont fait des formations RGPD qu’elle est mature sur les sujets soulevés par le Data Act. La supervision de l’accès aux données, l’accessibilité des données autres que celles à caractère personnel et toutes les procédures à mettre en place autour, c’est un tout autre sujet. Il faut sortir du biais cognitif qui veut que la gouvernance qui a pu s’organiser dans le sillage du RGPD est au niveau pour répondre à ces nouvelles échéances.
Pensez-vous qu’une prise de conscience puisse avoir lieu suffisamment rapidement pour que les entreprises changent leur vision et leur méthode ?
Claude-Etienne Armingaud : Elles ont une forte incitation à le faire. Sans cette nouvelle approche sur la donnée, elles ne tireront pas grand-chose de l’intelligence artificielle. Je le répète, cet effort initial de classification, ce n’est pas seulement un enjeu de conformité avec le Data Act, c’est une démarche de valeur globale. Mais pour y parvenir, il est nécessaire d’avoir une impulsion business, plutôt qu’une épée de Damoclès réglementaire. Malheureusement, c’est une vision un peu idéaliste et optimiste de penser que, parce que les dirigeants veulent de l’IA générative qui fonctionne, ils vont accepter de travailler sur les fondamentaux data. Dans les faits, on voit des comités exécutifs qui veulent tout, tout de suite, avec beaucoup d’idées de produits qui surfent juste sur la médiatisation. Trop souvent, l’ambition qui prévaut est de « faire à tout prix », même si c’est mal faire. La reprise d’initiative et d’influence par les chief data officers, je l’appelle bien sûr de mes vœux, mais je ne pense pas qu’elle sera avérée d’ici 2025.
Romain Perray : La bonne nouvelle, c’est que je constate enfin une accélération récente. Nous avons des dossiers en cours, avec des acteurs qui se sont mobilisés pour aller chercher de l’expertise. Cela pourrait être le signe qu’une bascule assez rapide est possible. En particulier, je vois des acteurs non-européens qui bougent. À l’époque du RGPD, ils avaient eu tendance à laisser les entreprises européennes avancer avant de rattraper ensuite le retard en termes de conformité. Mais aujourd’hui j’ai des clients en Asie qui ont pris des décisions rapides sur le Data Act, cela m’a marqué. Ce changement, je le perçois comme un coup d’accélérateur qui va emmener d’autres organisations dans le sillage.