Aller au contenu
Avanet
Data Act : Ce que les équipes informatiques doivent mettre en œuvre maintenant

Data Act : Ce que les équipes informatiques doivent mettre en œuvre maintenant

8. AOÛT 2025

Le Data Act sera applicable à partir du 12.09.2025. Il brise les silos de données, oblige les fabricants et les opérateurs à donner accès aux données et intervient profondément dans les processus, de l’IoT au cloud. Vous profitez si vous harmonisez tôt l’inventaire des données, les interfaces et les contrôles de sécurité.

Bref aperçu

  • Applicabilité à partir du 12.09.2025, obligation de conception pour les nouveaux produits à partir du 12.09.2026.
  • Les utilisateurs obtiennent l’accès aux données de produits et de services ; le transfert à des tiers est possible sur demande. Les contrôleurs d’accès (Gatekeepers) sont exclus.
  • Le changement de cloud et le multi-cloud sont renforcés ; exigences sur des conditions et des frais équitables.
  • Pas de base juridique autonome pour les données personnelles ; le RGPD reste prioritaire.
  • L’UE recommande des clauses contractuelles types ; des projets sont disponibles, la version finale est en partie encore en cours.

Pourquoi le sujet est pertinent maintenant

Avec le début de l’application du Data Act le 12.09.2025, la période de grâce prend fin. Les entreprises doivent fournir des accès aux données, les sécuriser contractuellement et les protéger techniquement. Les retards affectent non seulement la conformité, mais aussi les modèles commerciaux : la maintenance, les services après-vente et les offres basées sur les données dépendront à l’avenir de flux de données transparents et sécurisés.

En complément du Data Act, le Cyber Resilience Act, un autre règlement de l’UE, entre en vigueur, apportant de nouvelles obligations pour les fabricants et ayant des effets directs sur l’exploitation sécurisée de solutions comme Sophos Firewall.

Ce qui change ou ce qui est nouveau

  • Accès aux données : Les utilisateurs de produits connectés obtiennent l’accès aux données brutes et à certaines données traitées générées lors de l’utilisation. Sur demande, une mise à disposition directe à des tiers est requise. Les contrôleurs d’accès selon le DMA sont exclus en tant que destinataires.
  • Conception de produits : À partir du 12.09.2026, les produits connectés doivent être conçus de manière à ce que les données soient directement disponibles par défaut.
  • Changement de cloud : Le Data Act réduit les effets de verrouillage, favorise le multi-cloud et réglemente des conditions équitables pour le changement.
  • Règles contractuelles : Les accords de licence de données entre le détenteur de données et l’utilisateur deviennent obligatoires. L’UE publie des clauses types non contraignantes pour le soutien.

Aperçu technique

Termes et Rôles

  • Détenteur de données : Entité ayant l’autorité d’accès aux données de produits ou de services, souvent le fabricant ou l’opérateur. Les prestataires de services responsables de l’exploitation peuvent également être détenteurs de données. À l’avenir, ils devront établir des processus pour permettre aux utilisateurs l’accès sans délai.
  • Utilisateur : Utilisateur légitime du produit ou du service, y compris les entreprises. Cela inclut également les exploitants de flottes, les agriculteurs ou les clients finaux travaillant avec des appareils connectés. Les utilisateurs reçoivent non seulement un droit à l’information, mais un droit d’accès immédiat à leurs données.
  • Tiers : Destinataires de données autorisés par les utilisateurs, mais pas de contrôleurs d’accès. Les tiers peuvent être des partenaires de service, des ateliers indépendants, des institutions de recherche ou des fournisseurs de logiciels. Ils doivent être intégrés via des interfaces sécurisées.

Types de données

  • Couverts : Données de produits et données de service associées issues de l’utilisation, y compris les données de capteurs, les messages d’état, les données de localisation et les métadonnées. Les ensembles de données traités sont également inclus s’ils sont destinés à être réutilisés.
  • Non couverts : Données de contenu telles que documents, images ou communication. Celles-ci restent hors du champ d’application.
  • Interface RGPD : La référence personnelle est souvent possible ; le Data Act ne crée pas sa propre base juridique. Chaque divulgation doit en outre être conforme au RGPD, y compris la vérification de la base juridique et, le cas échéant, le consentement.

Interfaces

  • Accès direct préféré ; sinon mise à disposition standardisée, lisible par machine et de préférence en temps réel. Pour les entreprises, cela signifie la mise en place d’API, de fonctions d’exportation de données et de processus clairement documentés. La surveillance, l’authentification et la vérification des autorisations font également partie de l’architecture de l’interface.

Guide pratique

Préparation

  1. Inventaire des données : Lister les systèmes, produits, capteurs et schémas de données. Anticiper la référence personnelle, vérifier les niveaux d’agrégation. Les sources de données externes, les systèmes d’archivage et les données de sauvegarde doivent également être pris en compte.
  2. Classification : Séparer les données de produits et de services des données de contenu. Assigner la référence RGPD et les bases juridiques par ensemble de données. De plus, créer une documentation des catégories et des cycles de vie.
  3. Contrats : Préparer des clauses de licence de données pour les nouveaux contrats et les contrats existants ; vérifier les projets de MCT et adapter si nécessaire. En complément, créer des directives internes et une formation pour les responsables de contrats.

Mise en œuvre

  1. Interfaces : Établir une API ou une exportation, implémenter AuthN/AuthZ, documenter les formats de sortie. Fournir également un contrôle de version et des environnements de test.
  2. Autorisation de tiers : Mettre en place des processus pour le consentement ou la vérification de l’autorisation ; intégrer fermement la vérification des contrôleurs d’accès. De plus, utiliser des modèles d’accès basés sur les rôles et des jetons limités dans le temps.
  3. Changement de cloud : Planifier les chemins de changement, le transfert de données et le mappage ; définir des stratégies multi-cloud. Planifier des migrations de test et des contrôles de performance.
  4. Protection des secrets d’affaires : Évaluer les filtres pour les secrets d’affaires, la minimisation et la pseudonymisation. Vérifier les procédures techniques comme le masquage des données ou la confidentialité différentielle.
  5. Gestion du changement : Documenter et communiquer les processus pour les mises à jour et les modifications des interfaces.

Validation

  • Cas de test : Libre-service utilisateur, libération à des tiers, révocation, scénarios d’erreur. Inclure également les cas limites et les tests de charge.
  • Journalisation : Documenter les sorties, les destinataires, les heures, la base juridique de manière auditable. Mettre en œuvre un stockage inviolable et des rapports réguliers.
  • Tests de sécurité : Tests d’intrusion API, limitation de débit, détection d’anomalies. Envisager des analyses de vulnérabilité automatisées et des programmes de bug bounty.
  • Contrôles de conformité : Audits internes pour assurer la conformité au RGPD et au Data Act.

Retour arrière et Surveillance

  • Chemin de retour arrière en cas de libérations erronées. Documenter les scénarios de récupération et de réponse aux incidents.
  • Surveillance des sorties de données via pare-feu, IDS et SIEM ; alertes en cas d’écarts de volume ou de modèle. De plus, mettre en œuvre des tableaux de bord en temps réel et des processus d’escalade pour les équipes de sécurité.

Recommandations et Bonnes Pratiques

Mesures recommandées

  • Inventaire et catégorisation des données comme étape obligatoire.
  • Approche API-first avec des schémas cohérents.
  • Moindre privilège et consentement finement granulaire.
  • Automatiser la vérification des contrôleurs d’accès.
  • Journalisation et preuves inviolables.
  • Tester le changement multi-cloud tôt.

Tableau d’affectation compact

Mesure Objectif Remarque
Inventaire des données Transparence et Portée Base pour vérification RGPD
Examen MCT Clarté contractuelle Utiliser projets UE, adapter localement
Limites de débit API Protection contre les abus Combiner dans pare-feu et passerelle API
Filtre Gatekeeper Conformité Comparaison contre listes DMA
Règles corrélation SIEM Traçabilité Intégration dans playbooks existants
Conception dès 2026 Pérennité Accès direct by design

Impact sur Sophos et d’autres plateformes

  • Politique de pare-feu : Les nouveaux points de terminaison de données et les API d’administration nécessitent des règles, une inspection TLS après évaluation des risques, des Threat Feeds pour la détection d’anomalies. En complément, une segmentation étroite et l’utilisation de règles de contrôle d’application pour les accès basés sur API sont recommandées.
  • Zero Trust : Zones segmentées et mTLS pour les accès tiers. De plus, rotation régulière des certificats et intégration dans les fournisseurs d’identité existants pour contrôler les autorisations granulaires.
  • SIEM/EDR : Corréler les événements sur les libérations de données, en particulier les volumes ou destinataires inhabituels. Les cas d’utilisation étendus doivent également couvrir les erreurs d’API, les tentatives d’authentification et les requêtes non autorisées.
  • Cloud : Établir des contrôles de sortie et des listes de contrôle de sortie contractuelles pour les scénarios de changement. En outre, prendre en compte la planification de la capacité, les tests automatisés des processus de sortie ainsi que les politiques de classification et de chiffrement des données.
  • Sauvegarde et Archivage : Les données libérées en vertu du Data Act doivent être sécurisées par des stratégies de sauvegarde et d’archivage cohérentes. Cela permet une récupération en cas de libérations erronées ou d’abus.
  • Rapports : Les équipes informatiques doivent créer des rapports réguliers sur les sorties de données et les transmettre aux niveaux de conformité et de direction. Cela assure la transparence et la traçabilité.

Questions fréquentes

Comment distinguer les données personnelles des données non personnelles ?

On vérifie les contextes et la possibilité de liaison. Les données de localisation et d’utilisation sont souvent reliables à des personnes. Sans base juridique RGPD appropriée, pas de divulgation.

Doit-on livrer des données à n’importe quel tiers ?

Uniquement sur demande de l’utilisateur et en respectant les conditions. Les contrôleurs d’accès sont exclus.

À partir de quand l’accès direct est-il obligatoire ?

Pour les nouveaux produits et services arrivant sur le marché à partir du 12.09.2026. D’ici là, la mise à disposition sur demande doit fonctionner.

Existe-t-il des clauses types ?

Oui, l’UE élabore des MCT non contraignants et des CCT cloud ; une déclaration de l’EDPB sur le projet est disponible.

Quel rôle joue le changement de cloud ?

L’Act favorise le changement et le multi-cloud. Les frais doivent être équitables et non discriminatoires.

Conclusion

Le Data Act déplace le contrôle des données de produits et de services vers les utilisateurs et ouvre des marchés pour des services autour de la maintenance, de l’analyse et de l’intégration. Pour les équipes informatiques, cela signifie du travail sur trois fronts : inventaire des données et droit, interfaces sécurisées et surveillance opérationnalisée. De plus, de nouvelles responsabilités apparaissent dans les domaines de la gestion de la conformité, de la documentation des processus et de la formation des employés. L’interaction avec les services cloud et l’intégration dans les architectures de sécurité existantes doivent également être planifiées tôt. Celui qui standardise, automatise et met en place des sauvegardes tôt réduit l’effort et le risque et se positionne simultanément pour les futurs développements réglementaires et les nouveaux modèles commerciaux dans l’environnement axé sur les données.

Références

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.