Le 12 septembre 2025, le Data Act est entré en application.
Le Règlement européen dit « Data Act » contient principalement des dispositions visant à encourager la circulation de données (personnelles ou non) générées par les objets connectés (IOT). Un autre volet du Règlement prévoit par ailleurs de nouvelles obligations applicables aux prestataires de services « cloud », c’est-à-dire aux fournisseurs de SaaS, PaaS et IaaS.
Le Data Act poursuit notamment un objectif de simplification et de sécurisation du changement vers un fournisseur de services de traitement de données, ou vers une infrastructure TIC sur site.
Les contrats des fournisseurs de ces services conclus à partir de cette date (dont CGV), doivent être en conformité avec ce texte.
En application de ce texte, les prestataires de services Cloud (dont les éditeurs de logiciels en mode SaaS) doivent supprimer de leurs contrats tous les « obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels qui freinent les clients » dans leurs démarches de résiliation, changement de prestataire ou portage de données.
Les droits du client et les obligations du fournisseur en cas de fin de contrat doivent clairement énoncés par écrit.
Des clauses dédiées doivent décrire les mesures qui seront mises en œuvre par le prestataire pour organiser et faciliter la stratégie de sortie du client, garantir la sécurité et l’intégrité des données du client et la reprise par un nouveau prestataire ou en interne, le tout dans un préavis défini.
Le Data Act prévoit également la suppression progressive des frais de changement de fournisseurs.
A partir du 12 janvier 2027, les fournisseurs ne pourront plus imposer de frais à leurs clients pour le processus de changement de fournisseur (des dispositions transitoires sont prévues jusqu’à cette date).
Sanctions : chaque État membre doit mettre en place un régime de sanctions « efficaces, proportionnées et dissuasives » en cas de manquement, et désigner une autorité de contrôle nationale.
A noter : en France, la loi dite SREN du 21 mai 2024 a anticipé ce sujet et prévoit déjà des dispositions encadrant les frais de changement de fournisseur et de transferts de données. L’ARCEP a été désignée autorité de contrôle pour l’application des dispositions de la loi SREN.
Des questions sur le Data Act et ses implications ? Les avocats de notre équipe IP/IT sont à votre disposition.
