La donnée occupe une place centrale dans l’architecture normative de l’Union européenne. Ressource économique essentielle, elle est également au cœur de la protection des libertés individuelles. L’Union a donc bâti un ensemble cohérent de textes, souvent perçus comme contradictoires mais en réalité complémentaires.
Trois règlements structurent principalement ce cadre :
· le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), applicable depuis le 25 mai 2018 ;
· le règlement (UE) 2023/2854 du 13 décembre 2023 relatif aux données (Data Act), en application depuis septembre 2025 ;
· le règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (AI Act), dont l’entrée en vigueur est progressive à compter de 2025.
L’antagonisme de façade entre un RGPD centré sur la licéité et la limitation des traitements de données personnelles, et un Data Act orienté vers l’accès, le partage et la portabilité des données, s’efface au profit d’une complémentarité normative : le premier protège les droits fondamentaux, le second organise la circulation des données dans l’économie numérique.
En pratique, le RGPD ne vise que les données à caractère personnel, tandis que le Data Act s’applique à l’ensemble des données générées par les produits et services connectés, personnelles ou non.
Lorsqu’une donnée est à la fois « générée » au sens du Data Act et « personnelle » au sens du RGPD, ce dernier conserve sa primauté : bases légales, information, droits d’accès et de rectification demeurent obligatoires.
Le Data Act, lui, élargit la portabilité en permettant à tout utilisateur, y compris professionnel, d’obtenir un accès aux données issues de son produit et de les partager avec des tiers, sous réserve du respect des bases légales du RGPD.
Les deux textes se rejoignent aussi sur la sécurité et les contrats. Le Data Act impose un accès sécurisé et interdit les clauses abusives restreignant l’usage des données, tandis que le RGPD exige des mesures techniques et organisationnelles adaptées, ainsi que la minimisation des données traitées.
Les mécanismes de changement de prestataire prévus par le Data Act entraînent enfin des transferts internationaux, qui ne peuvent s’effectuer qu’en conformité avec le RGPD (clauses types, décisions d’adéquation, etc.).
L’AI Act ne porte quant à lui pas directement sur la donnée, mais sur les systèmes qui en font usage. Il instaure une régulation par niveau de risque : interdiction d’usages jugés inacceptables (manipulation cognitive, notation sociale, reconnaissance faciale de masse), obligations renforcées pour les systèmes à haut risque (santé, éducation, recrutement, crédit, sécurité) et exigences de transparence pour l’IA générative et d’usage général. Son champ d’application vise non seulement les concepteurs d’IA, mais aussi les importateurs, distributeurs et utilisateurs professionnels, ce qui élargit la chaîne des responsabilités.
L’articulation avec les deux autres textes est immédiate : toute IA traitant des données personnelles relève du RGPD, toute IA exploitant des données issues d’objets connectés relève du Data Act et l’AI Act ajoute une exigence de qualité, de traçabilité et d’absence de biais.
Ainsi, une même solution technologique peut être simultanément soumise aux trois règlements. Ce triptyque européen dessine un cadre intégré :
· le RGPD pour la protection des droits fondamentaux ;
· le Data Act pour l’organisation de la circulation et la valorisation économique ;
· l’AI Act pour la gouvernance des systèmes d’intelligence artificielle.
Pour les entreprises, la conformité devient nécessairement croisée. Tout projet numérique doit anticiper l’application cumulative de ces régimes, afin de concilier protection des libertés, valorisation économique et encadrement des technologies émergentes.
Ainsi, si l’on prend l’exemple d’une société fabriquant des appareils de fitness connectés, proposant à ses clients d’exporter leurs données d’entraînement via une application mobile.
Garanties RGPD :
- Le client dispose d’un droit à la portabilité de ses données personnelles vers un autre responsable de traitement, à condition que le traitement repose sur son consentement ou un contrat.
- Le responsable doit fournir les données dans un format structuré, couramment utilisé et lisible par machine, ce qui suppose un effort technique de standardisation.
- Le principe de minimisation impose de ne transmettre que les données pertinentes, pas l’intégralité brute des informations collectées.
- Les droits d’opposition et d’effacement demeurent ouverts : si l’utilisateur demande la suppression de ses données, la société doit effacer les données exportées qu’elle détient encore.
- Toute réutilisation ultérieure des données par un tiers reste soumise à l’obtention d’une base légale conforme (consentement, contrat, intérêt légitime).
Garanties Data Act :
- L’utilisateur, y compris professionnel (ex. une salle de sport exploitant plusieurs machines), peut accéder à toutes les données générées par l’appareil connecté, qu’elles soient personnelles ou non.
- Il peut les partager librement avec des tiers, ce qui dépasse le périmètre du droit à la portabilité prévu par le RGPD. Cet accès n’est toutefois pas illimité : il reste soumis à des obligations de sécurité, à la protection du secret des affaires et, en présence de données personnelles, au respect intégral du RGPD.
- Le fournisseur doit assurer la sécurité de la transmission et préserver le secret des affaires.
Ainsi, si les données exportées incluent des informations personnelles (rythme cardiaque, identité, géolocalisation), le RGPD reste prioritaire pour encadrer la base légale, la minimisation et l’exercice des droits des personnes et le Data Act n’autorise pas la réutilisation de données personnelles en dehors du cadre défini par le RGPD.
Enfin, si l’application intègre un module d’intelligence artificielle proposant des recommandations personnalisées, l’AI Act impose des obligations de transparence et de gestion des risques.
Pas de contribution, soyez le premier