Le Règlement européen sur les données (EU Data Act) exige des contrats clairs sur l’accès aux données et leur utilisation

Règlement européen sur les données : informations de base

Le Règlement 2023/2854 sur des « règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données », autrement dit le Data Act de l’UE : 

• a été publié le 22 décembre 2023, est entré en vigueur en janvier 2024 et sera applicable à partir du 12 septembre 2025. Une période de transition est prévue pour la vente de produits non conformes au Data Act jusqu’en septembre 2026 ;
   
• entend empêcher que certains acteurs du marché disposant d’un grand pouvoir de marché déterminent de manière inégale l’accès à des données importantes, le plus souvent industrielles et non personnelles, et entravent ainsi les modèles commerciaux innovants, en particulier ceux des petites entreprises et des start-ups ;
   
• oblige notamment les fournisseurs de produits et de services connectés à permettre aux utilisateurs d’accéder aux données qu’ils génèrent ;
   
• stipule que l’accès et la mise à disposition de données dans le domaine business-to-business ne peuvent se faire qu’à des conditions équitables, raisonnables et non discriminatoires (cf. principe FRAND – Fair, Reasonable and Non Discriminatory) ;
   
• s’applique aux activités des entreprises au sein de l’UE. Les entreprises suisses sont donc concernées si elles exportent vers l’UE ou font du commerce dans l’UE. Cela comprend à la fois les obligations et les droits conférés par le Data Act. Les très petites et petites entreprises (moins de 10/50 employés et moins de 2/10 millions d’euros de chiffre d’affaires annuel, cf. 2003/361/CE) sont exemptées des exigences du Data Act, à moins qu’elles ne fassent partie d’une plus grande entreprise ou qu’elles agissent en tant que sous-traitants. Elles peuvent toutefois profiter du Data Act en tant qu’utilisateurs ou tiers.

Nécessité (urgente) de conclure des contrats

Avec le Règlement européen sur les données, il devient nécessaire de prévoir des dispositions contractuelles.

Un groupe d’experts de l’UE a présenté en avril 2025 un rapport (« Final Report of the Expert Group on B2B Data Sharing and Cloud Computing Contracts ») dans lequel sont proposées des clauses contractuelles types (« Model Contractual Terms », MCT). On y distingue quatre cas pertinents : 

1. Contrat entre une partie détenant des données et une personne utilisant un produit connecté ou un service connexe, dans lequel la partie détenant des données souhaite utiliser des données générées par le produit ou le service – souvent formulé de manière simplifiée sous forme de contrat entre le fabricant et le client.
    
2. Contrat entre l’utilisateur d’un produit ou d’un service connecté et une entreprise tierce qui reçoit des données, lorsque l’utilisateur demande à la partie qui détient les données de les lui transmettre – souvent formulé de manière simplifiée sous forme de contrat entre le client et le tiers.
    
3. Contrat entre une partie qui détient des données et une partie tierce qui les reçoit (p. ex. une entreprise), lorsque la partie qui détient des données est légalement tenue de les transmettre à la partie qui les reçoit à la demande de la personne qui les utilise – souvent formulé de manière simplifiée sous forme de contrat entre le fabricant et le tiers.
    
4. Partage volontaire de données entre plusieurs parties fournissant des données et plusieurs parties recevant des données, dans le cadre duquel il n’existe aucune obligation légale de fournir des données, mais où les données sont partagées d’un commun accord.