Data Act: Ce que les équipes informatiques doivent mettre en œuvre dès maintenant

Le Data Act sera applicable à partir du 12.09.2025. Elle rompt les silos de données, oblige les fabricants et les opérateurs à accéder aux données et interfère profondément avec les processus de l’IoT au cloud. Il est préférable d’harmoniser l’inventaire des données, les interfaces et les contrôles de sécurité le plus tôt possible.

Aperçu rapide

• Applicabilité à partir du 12/09/2025, obligation de conception pour les nouveaux produits à partir du 12/09/2026.
• Les utilisateurs ont accès aux données relatives aux produits et aux services ; le transfert à des tiers est possible sur demande. Les portiers ne sont pas concernés.
• La commutation dans le nuage et le multi-cloud sont renforcés ; des exigences de conditions et de tarifs équitables.
• Pas de base juridique autonome pour les données à caractère personnel ; le RGPD reste prioritaire.
• L’UE recommande des clauses contractuelles types ; les projets sont disponibles, la version finale en partie encore en cours.

Pourquoi le sujet est pertinent maintenant

Avec l’entrée en vigueur du Data Act le 12 septembre 2025, la période de grâce prend fin. Les entreprises doivent fournir un accès aux données, le sécuriser contractuellement et le protéger techniquement. Les retards ne concernent pas seulement la conformité, mais aussi les modèles commerciaux : La maintenance, les services après-vente et les offres basées sur les données dépendront à l’avenir de flux de données transparents et sécurisés.

En complément du Data Act, un autre règlement européen, le Cyber Resilience Act, entre en vigueur. Il impose de nouvelles obligations aux fabricants et a un impact direct sur le fonctionnement sécurisé de solutions telles que Sophos Firewall.

Ce qui change ou ce qui est nouveau

• Accès aux données : les utilisateurs de produits connectés ont accès aux données brutes et à certaines données traitées générées par l’utilisation. S’ils le souhaitent, une mise à disposition directe à des tiers est requise. Les Gatekeepers selon DMA sont exclus en tant que destinataires.
• Conception des produits : à partir du 12/09/2026, les produits connectés devront être conçus de manière à ce que les données soient directement disponibles par défaut.
• Changement de cloud : le Data Act réduit les effets de verrouillage, encourage le multi-cloud et réglemente les conditions équitables de changement.
• Règles contractuelles : Les contrats de licence de données entre le propriétaire des données et l’utilisateur deviennent obligatoires. L’UE publie des clauses types d’assistance non contraignantes.

Aperçu technique

Termes et rôles

• Propriétaire des données : entité ayant la maîtrise de l’accès aux données relatives aux produits ou services, souvent le fabricant ou l’opérateur. Les prestataires de services, qui ont la responsabilité de l’exploitation, peuvent également être des détenteurs de données. Ils devront à l’avenir mettre en place des processus pour permettre aux utilisateurs d’y accéder sans délai.
• Utilisateurs : utilisateurs légitimes du produit ou du service, y compris les entreprises. Cela inclut les exploitants de flottes, les agriculteurs ou les utilisateurs finaux qui travaillent avec des appareils connectés. Les utilisateurs ne reçoivent pas seulement un droit d’information, mais aussi un droit d’accès direct à leurs données.
• Tiers : destinataires des données autorisés par les utilisateurs, mais pas de garde-fous. Les tiers peuvent être des partenaires de service, des ateliers indépendants, des instituts de recherche ou des fournisseurs de logiciels. Ils doivent être intégrés via des interfaces sécurisées.

Types de données

• Collecte des données : Données de produits et données de service associées provenant de l’utilisation, y compris les données de capteurs, les messages d’état, les données de localisation et les métadonnées. Les ensembles de données préparés sont également inclus s’ils sont destinés à être réutilisés.
• Les données ne sont pas collectées : Les données de contenu telles que les documents, les images ou les communications. Celles-ci restent en dehors du champ d’application.
• Interface RGPD : la référence aux personnes est souvent possible ; le Data Act ne crée pas de base juridique propre. Chaque publication doit en outre être conforme au RGPD, y compris la vérification de la base juridique et, le cas échéant, le consentement.

Interfaces

• Accès direct préféré ; sinon, mise à disposition standardisée, lisible par machine et si possible en temps réel. Pour les entreprises, cela signifie la mise en place d’API, de fonctions d’exportation de données et de processus clairement documentés. La surveillance, l’authentification et le contrôle des autorisations font également partie de l’architecture d’interface.

Guide pratique

Préparation

1. Inventaire des données : lister les systèmes, produits, capteurs et schémas de données. Anticiper la référence aux personnes, vérifier les niveaux d’agrégation. Les sources de données externes, les systèmes d’archivage et les données de sauvegarde doivent également être pris en compte.
2. Classification : séparer les données de produits et de services des données de contenu. Attribuer la référence au RGPD et les bases juridiques par enregistrement. Créer en outre une documentation sur les catégories et les cycles de vie.
3. Contrats : Préparer les clauses de licence de données pour les nouveaux contrats et les contrats existants ; examiner les MCT de brouillon et les adapter si nécessaire. En complément, élaborer des politiques internes et des formations pour les responsables des contrats.

Mise en œuvre

1. Les interfaces : Établir une API ou une exportation, mettre en œuvre AuthN/AuthZ, documenter les formats de sortie. Fournir également des environnements de versionnement et de test.
2. Autorisation de tiers : mettre en place des processus de consentement ou de contrôle des autorisations ; intégrer solidement le contrôle du gardien de la porte. Utiliser également des modèles d’accès basés sur les rôles et des jetons limités dans le temps.
3. Commutation de cloud : planifier les chemins de changement, le transfert de données et le mappage ; définir des stratégies multi-cloud. Planifier des migrations de test et des contrôles de performance.
4. Protection des secrets : évaluer les filtres pour les secrets commerciaux, la minimisation et la pseudonymisation. Examiner les procédures techniques telles que le masquage de données ou la confidentialité différentielle.
5. Gestion des changements : documenter et communiquer les processus de mise à jour et de modification des interfaces.

Validation

• les cas de test : Libre-service utilisateur, partage avec des tiers, révocation, scénarios d’erreur. Inclure également les cas périphériques et les tests de charge.
• Journalisation : documenter de manière auditable les dépenses, les bénéficiaires, les dates et la base juridique. Mettre en œuvre un stockage sécurisé et des rapports réguliers.
• Tests de sécurité : tests API Pen, limitation de taux, détection d’anomalies. Envisager des scans de vulnérabilité automatisés et des programmes de bug bounty.
• Contrôles de la conformité : Audits internes pour assurer la conformité au RGPD et au Data Act.

Retour en arrière et suivi

• Chemin de retour en cas d’erreur de partage. Documenter les scénarios de récupération et de réponse aux incidents.
• Surveiller les fuites de données via le pare-feu, l’IDS et le SIEM ; alerter en cas d’écart de volume ou de modèle. En outre, mettre en place des tableaux de bord en temps réel et des processus d’escalade pour les équipes de sécurité.

Recommandations et meilleures pratiques

Mesures recommandées

• Inventaire des données et catégorisation comme étape obligatoire.
• Approche API-First avec des schémas cohérents.
• Le moindre privilège et le consentement à granularité fine.
• Automatiser la vérification du Gatekeeper.
• Journalisation et preuves révisables.
• Tester rapidement la commutation multi-cloud.

Tableau de correspondance compact

Mesure	Objectif	Remarque
Inventaire des données	Transparence et portée	Base pour l’audit RGPD
Revue MCT	Clarté du contrat	Utiliser les drafts de l’UE, les adapter localement
Limites de taux d’API	Protection contre les abus	Combiner dans le pare-feu et la passerelle API
Filtre du Gatekeeper	Conformité	Comparaison avec les listes DMA
Règles de corrélation SIEM	Traçabilité	Intégration dans les playbooks existants
Design à partir de 2026	Pérennité	Accès direct by design

Impact sur Sophos et les autres plates-formes

• Politique de pare-feu : les nouveaux points d’accès aux données et les API d’administration nécessitent des règles, l’inspection TLS après évaluation des risques, des flux de menaces pour la détection des anomalies. En complément, il est recommandé de procéder à une segmentation étroite et d’utiliser des règles de contrôle des applications pour les accès basés sur les API.
• Zero Trust : pour les accès de tiers, zones segmentées et mTLS. En outre, rotation régulière des certificats et intégration dans les fournisseurs d’identité existants pour contrôler les autorisations granulaires.
• SIEM/EDR : corréler les événements relatifs aux partages de données, notamment les volumes ou les destinataires inhabituels. Les cas d’utilisation étendus devraient également couvrir les erreurs d’API, les tentatives d’authentification et les requêtes non autorisées.
• Cloud : établir des contrôles de sortie et des listes de contrôle de sortie contractuelles pour les scénarios de commutation. En outre, prendre en compte la planification de la capacité, les tests automatisés des processus de sortie et les politiques de classification et de cryptage des données.
• Sauvegarde et archivage : les données partagées en vertu du Data Act doivent être protégées par des stratégies de sauvegarde et d’archivage cohérentes. Cela permet une récupération en cas d’erreur de partage ou d’abus.
• Reporting : les équipes informatiques doivent créer des rapports réguliers sur les fuites de données et les transmettre aux niveaux de la conformité et de la direction. Cela permet d’assurer la transparence et la traçabilité.

Questions fréquentes

Comment distinguer les données personnelles des données non personnelles
Le contexte et la possibilité d’établir des liens sont examinés. Les données de localisation et d’utilisation sont souvent liées aux personnes. Sans base juridique appropriée du RGPD, pas de restitution.

Conclusion

Le Data Act déplace le contrôle des données sur les produits et services vers les utilisateurs et ouvre des marchés pour les services de maintenance, d’analyse et d’intégration. Pour les équipes informatiques, cela signifie travailler sur trois fronts : Inventaire des données et droit, interfaces sécurisées, et surveillance opérationnelle. De plus, de nouvelles responsabilités apparaissent dans les domaines de la gestion de la conformité, de la documentation des processus et de la formation du personnel. L’interaction avec les services cloud et l’intégration dans les architectures de sécurité existantes doivent également être planifiées très tôt. En standardisant, en automatisant et en mettant en place des sauvegardes à un stade précoce, vous réduisez les efforts et les risques tout en vous positionnant pour les futures évolutions réglementaires et les nouveaux modèles commerciaux dans un environnement axé sur les données.

Sources

• EUR-Lex : Règlement (UE) 2023/2854 Data Act
• Déclaration de l’OEPN sur les MCT Data Act
• Commission européenne, Data Act policy page
• EUR-Lex, Règlement (UE) 2023/2854
• EC, Data Act expliqué, switching and fair terms