Data Act : Ce que les équipes informatiques doivent mettre en œuvre maintenant
Le Data Act sera applicable à partir du 12.09.2025. Il décloisonne les données, oblige fabricants et exploitants à fournir un accès aux données et intervient en profondeur dans les processus, de l’IoT au cloud. Les organisations ont intérêt à harmoniser tôt leur inventaire de données, leurs interfaces et leurs contrôles de sécurité.
Bref aperçu
- Application à partir du 12.09.2025, obligation de conception pour les nouveaux produits à partir du 12.09.2026.
- Les utilisateurs obtiennent l’accès aux données de produits et de services ; leur transmission à des tiers est possible sur demande. Les gatekeepers sont exclus.
- Le cloud switching et le multi-cloud sont renforcés ; des règles encadrent les conditions et les frais équitables.
- Pas de base juridique autonome pour les données à caractère personnel ; le RGPD reste prioritaire.
- L’UE recommande des clauses contractuelles types ; des projets existent, mais certains éléments finaux restent encore en évolution.
Pourquoi le sujet est pertinent maintenant
Avec l’entrée en application du Data Act le 12.09.2025, la période de transition prend fin. Les entreprises doivent mettre à disposition des accès aux données, les encadrer contractuellement et les protéger techniquement. Les retards ne touchent pas seulement la conformité, mais aussi les modèles économiques : maintenance, services après-vente et offres basées sur les données dépendront à l’avenir de flux de données transparents et sécurisés.
En complément du Data Act, le Cyber Resilience Act, autre règlement européen, entre en vigueur. Il crée de nouvelles obligations pour les fabricants et a des effets directs sur l’exploitation sécurisée de solutions comme Sophos Firewall.
Ce qui change ou ce qui est nouveau
- Accès aux données : les utilisateurs de produits connectés obtiennent l’accès aux données brutes et à certaines données traitées générées lors de l’utilisation. Sur demande, une mise à disposition directe à des tiers est requise. Les gatekeepers au sens du DMA sont exclus comme destinataires.
- Conception des produits : à partir du 12.09.2026, les produits connectés devront être conçus de façon à rendre les données directement disponibles par défaut.
- Cloud switching : le Data Act réduit les effets de lock-in, favorise le multi-cloud et encadre les conditions équitables lors d’un changement de fournisseur.
- Règles contractuelles : les contrats de licence de données entre détenteur des données et utilisateur deviennent obligatoires. L’UE publie des clauses types non contraignantes pour accompagner cette mise en œuvre.
Aperçu technique
Termes et rôles
- Détenteur de données : entité qui contrôle l’accès aux données de produits ou de services, souvent le fabricant ou l’exploitant. Les prestataires assumant une responsabilité opérationnelle peuvent également être détenteurs de données. Ils devront mettre en place des processus permettant aux utilisateurs d’accéder aux données sans retard.
- Utilisateur : personne ou organisation qui utilise légalement le produit ou le service, y compris les entreprises. Cela comprend aussi les gestionnaires de flottes, les agriculteurs ou les clients finaux travaillant avec des appareils connectés. Les utilisateurs n’obtiennent pas seulement un droit à l’information, mais un droit d’accès direct à leurs données.
- Tiers : destinataires des données autorisés par les utilisateurs, à l’exclusion des gatekeepers. Il peut s’agir de partenaires de service, d’ateliers indépendants, d’instituts de recherche ou de fournisseurs logiciels. Ils doivent être intégrés via des interfaces sécurisées.
Types de données
- Couverts : données de produits et données de services associées issues de l’utilisation, y compris les données de capteurs, les messages d’état, les données de localisation et les métadonnées. Les jeux de données traités sont également inclus lorsqu’ils sont destinés à une réutilisation.
- Non couverts : données de contenu telles que documents, images ou communications. Elles restent hors du champ d’application.
- Interface avec le RGPD : un lien avec des personnes physiques est souvent possible ; le Data Act ne crée pas de base juridique propre. Chaque transmission doit donc aussi être conforme au RGPD, y compris la vérification de la base juridique et, le cas échéant, du consentement.
Interfaces
- L’accès direct est privilégié ; à défaut, la mise à disposition doit être standardisée, lisible par machine et, si possible, en temps réel. Pour les entreprises, cela implique la mise en place d’API, de fonctions d’export de données et de processus clairement documentés. Le monitoring, l’authentification et la vérification des autorisations font également partie de l’architecture d’interface.
Guide pratique
Préparation
- Inventaire des données : lister les systèmes, produits, capteurs et schémas de données. Anticiper les liens possibles avec des personnes physiques et vérifier les niveaux d’agrégation. Les sources de données externes, les systèmes d’archivage et les données de sauvegarde doivent aussi être pris en compte.
- Classification : distinguer les données de produits et de services des données de contenu. Associer à chaque jeu de données les enjeux RGPD et les bases juridiques applicables. Documenter en plus les catégories et les cycles de vie.
- Contrats : préparer des clauses de licence de données pour les nouveaux contrats et les contrats existants ; examiner les projets de MCT et les adapter si nécessaire. Créer en complément des directives internes et des formations pour les responsables contractuels.
Mise en œuvre
- Interfaces : établir une API ou un export, implémenter AuthN/AuthZ et documenter les formats de sortie. Prévoir aussi le versioning et des environnements de test.
- Autorisation de tiers : mettre en place des processus de consentement ou de vérification des autorisations ; intégrer systématiquement le contrôle des gatekeepers. Utiliser en plus des modèles d’accès basés sur les rôles et des jetons limités dans le temps.
- Cloud switching : planifier les chemins de migration, le transfert des données et le mapping ; définir des stratégies multi-cloud. Prévoir des migrations de test et des contrôles de performance.
- Protection des secrets d’affaires : évaluer les filtres pour les secrets d’affaires, la minimisation et la pseudonymisation. Vérifier les méthodes techniques comme le masquage des données ou la confidentialité différentielle.
- Change management : documenter et communiquer les processus de mise à jour et de modification des interfaces.
Validation
- Cas de test : self-service utilisateur, partage avec des tiers, révocation, scénarios d’erreur. Inclure aussi les cas limites et les tests de charge.
- Journalisation : documenter de manière auditable les exports, destinataires, horodatages et bases juridiques. Mettre en œuvre un stockage à valeur probante et des rapports réguliers.
- Tests de sécurité : tests d’intrusion API, rate limiting, détection d’anomalies. Envisager des scans de vulnérabilités automatisés et des programmes de bug bounty.
- Contrôles de conformité : audits internes pour garantir la conformité au RGPD et au Data Act.
Rollback et monitoring
- Prévoir un chemin de rollback en cas de partage erroné. Documenter les scénarios de restauration et de réponse aux incidents.
- Surveiller les flux sortants via pare-feu, IDS et SIEM ; déclencher des alertes en cas d’écarts de volume ou de schéma. Mettre en œuvre en plus des tableaux de bord temps réel et des processus d’escalade pour les équipes de sécurité.
Recommandations et bonnes pratiques
Mesures recommandées
- Inventaire et catégorisation des données comme étape obligatoire.
- Approche API-first avec des schémas cohérents.
- Least privilege et consentement à granularité fine.
- Automatiser la vérification des gatekeepers.
- Journalisation et preuves à valeur probante.
- Tester tôt le changement multi-cloud.
Tableau d’affectation compact
| Mesure | Objectif | Remarque |
|---|---|---|
| Inventaire des données | Transparence et périmètre | Base pour vérification RGPD |
| Revue des MCT | Clarté contractuelle | Utiliser les projets de l’UE, adapter localement |
| Rate limits API | Protection contre les abus | Combiner pare-feu et API gateway |
| Filtre Gatekeeper | Conformité | Comparaison avec les listes DMA |
| Règles de corrélation SIEM | Traçabilité | Intégration dans les playbooks existants |
| Conception dès 2026 | Pérennité | Accès direct by design |
Impact sur Sophos et d’autres plateformes
- Politique de pare-feu : les nouveaux endpoints de données et les API d’administration nécessitent des règles, une inspection TLS après analyse de risque et des Threat Feeds pour la détection d’anomalies. Une segmentation fine et des règles d’Application Control pour les accès API sont également recommandées.
- Zero Trust : zones segmentées et mTLS pour les accès tiers. Prévoir aussi une rotation régulière des certificats et l’intégration aux fournisseurs d’identité existants afin de piloter des autorisations granulaires.
- SIEM/EDR : corréler les événements liés aux partages de données, notamment les volumes ou destinataires inhabituels. Les cas d’usage avancés devraient aussi couvrir les erreurs API, les tentatives d’authentification et les requêtes non autorisées.
- Cloud : établir des contrôles d’egress et des check-lists contractuelles de sortie pour les scénarios de changement. Prendre aussi en compte la planification de capacité, les tests automatisés des processus de sortie ainsi que les politiques de classification et de chiffrement des données.
- Sauvegarde et archivage : les données partagées en vertu du Data Act devraient être protégées par des stratégies cohérentes de sauvegarde et d’archivage. Cela permet une restauration en cas de partage erroné ou d’abus.
- Reporting : les équipes informatiques devraient produire des rapports réguliers sur les flux de données sortants et les transmettre aux niveaux conformité et direction. Cela garantit transparence et traçabilité.
Questions fréquentes
Comment distinguer les données personnelles des données non personnelles ?
Il faut examiner le contexte et les possibilités de recoupement. Les données de localisation et d’utilisation sont souvent rattachables à une personne. Sans base juridique RGPD appropriée, pas de transmission.
Doit-on livrer des données à n’importe quel tiers ?
Uniquement sur demande de l’utilisateur et dans le respect des conditions applicables. Les gatekeepers sont exclus.
À partir de quand l’accès direct est-il obligatoire ?
Pour les nouveaux produits et services arrivant sur le marché à partir du 12.09.2026. D’ici là, la mise à disposition sur demande doit fonctionner.
Existe-t-il des clauses types ?
Oui, l’UE élabore des MCT non contraignants et des CCT cloud ; une déclaration de l’EDPB sur le projet est disponible.
Quel rôle joue le changement de cloud ?
Le Data Act favorise le changement de fournisseur et le multi-cloud. Les frais doivent être équitables et non discriminatoires.
Conclusion
Le Data Act déplace le contrôle des données de produits et de services vers les utilisateurs et ouvre des marchés pour des services liés à la maintenance, à l’analyse et à l’intégration. Pour les équipes informatiques, cela implique de travailler sur trois fronts : inventaire des données et aspects juridiques, interfaces sécurisées et surveillance opérationnalisée. De nouvelles responsabilités apparaissent également dans la gestion de la conformité, la documentation des processus et la formation des collaborateurs. L’interaction avec les services cloud et l’intégration dans les architectures de sécurité existantes doivent aussi être planifiées tôt. Les organisations qui standardisent, automatisent et mettent en place des garde-fous dès maintenant réduisent l’effort et le risque, tout en se positionnant pour les futures évolutions réglementaires et les nouveaux modèles économiques fondés sur les données.
Références
