EU Data Act et systèmes d'intelligence artificielle.

L'article 4 du Data Act donne à l'utilisateur d'un produit connecté (industriel ou particulier) un droit d'accès aux données générées par ce produit. L'article 5 lui permet de demander la transmission de ces données à un tiers de son choix, sauf cas de secret commercial dûment justifié. Pour un fabricant qui exploite ces données pour entraîner ses propres modèles IA, l'exclusivité de fait disparaît : un concurrent ou un fournisseur tiers, mandaté par l'utilisateur, peut désormais y accéder. La conception des systèmes IA doit donc reposer sur une base de données documentée, avec des chemins de partage prévus par défaut.

Le chapitre VI du Data Act facilite le changement de fournisseur cloud (cloud switching). Les hyperscalers doivent supprimer les frais de sortie progressivement, fournir une assistance contractuelle au transfert et garantir l'équivalence fonctionnelle. Pour les systèmes IA hébergés en cloud, cela transforme la grille de sélection : un système conçu autour des API propriétaires d'un fournisseur unique devient plus difficile à externaliser ailleurs. Les architectures portables (Kubernetes, formats ouverts, modèles auto-hébergeables) gagnent en valeur économique et juridique. La résilience opérationnelle DORA croise ces exigences pour les entités financières.

Le Data Act ne déroge pas au RGPD. Lorsque les données IoT sont des données personnelles, toutes les bases légales et tous les droits du RGPD restent applicables. La nouveauté est que le détenteur des données a une obligation positive de mise à disposition envers l'utilisateur, qui peut entrer en tension avec la base légale d'origine. La CNIL a précisé en 2025 que la transmission à un tiers à la demande de l'utilisateur peut s'appuyer sur la base légale d'exécution du contrat ou sur le consentement, selon le cas. La documentation contractuelle et l'analyse d'impact sur la protection des données (AIPD) doivent intégrer ces flux de partage.

Trois effets concrets. Premièrement, les données IoT exclusives sur lesquelles certains éditeurs ont bâti un avantage deviennent partageables sur demande utilisateur, ce qui modifie les modèles économiques. Deuxièmement, la documentation des jeux d'entraînement gagne en importance : prouver l'origine et la base légale devient un livrable courant attendu par les superviseurs. Troisièmement, l'article 35 du Data Act limite l'usage par le détenteur des données obtenues de l'utilisateur pour développer un produit concurrent, ce qui restreint certains usages d'entraînement secondaire. Le cadre contractuel doit être posé en amont, pas en remédiation.

Les deux textes se complètent. Le Règlement IA pose les exigences de qualité des données d'entraînement (article 10) et de transparence sur les données utilisées. Le Data Act pose les conditions d'accès et de partage de ces mêmes données. Pour un système IA classé risque élevé qui s'appuie sur des données IoT, la documentation technique doit faire la jonction : provenance, base légale au sens du RGPD, droits de partage au sens du Data Act, gouvernance qualité au sens du Règlement IA. Les amendes du Data Act sont fixées par les États membres ; en France, le projet de transposition retient des plafonds proches de ceux du RGPD pour les manquements graves.