Logo de Mateia Cabinet d'avocat Paris

Impact du Data Act sur les fournisseurs de services de traitement de données

Pour une présentation générale du Data Act dans le cadre des services de traitement de données et la question de l’interopérabilité et API, voir : Objet, enjeu, périmètre, sanctions du Data Act et Focus sur l’interopérabilité et les API

Partie 2 - LE processus de changement de fournisseur

I - Réversibilité : la procédure de sortie encadrée par l’article 25

Le Data Act instaure un processus de changement de fournisseur en trois temps, avec des délais impératifs et des rôles clairement répartis :

  1. Préavis de 2 mois max à compter de la notification du client indiquant qu’il souhaite changer de fournisseur.
        
    A noter :         Le contrat est automatiquement résilié à la fin de cette période de 2 mois si le client souhaite supprimer ses données sans récupération.
       
  2. Période transitoire de 30 jours max suivant la fin du préavis, pendant laquelle le contrat reste en vigueur et le service continue : le fournisseur d’origine doit assister raisonnablement le client pour extraire et transférer les données exportables et les actifs numériques nécessaires. A la fin de cette période, le contrat est résilié.

       
    A noter :     Le client peut prolonger une fois cette période transitoire pour la durée qu’il juge appropriée (le fournisseur a toutefois la possibilité de limiter contractuellement cette durée). Le fournisseur peut également prolonger cette période uniquement.
       

  3. Période de récupération des données de 30 jours min (ou plus si accord entre les parties) après la transition : sécurité pour que le client puisse récupérer des données manquantes, avant la suppression définitive des données.

       
    A noter :         Le Data Act ne définit pas de manière parfaitement univoque la « fin du processus » (qui déclenche la résiliation automatique du contrat). Les documents d’expertise de la Commission privilégient une approche déclarative côté client (c’est au client d’acter la fin). En pratique, il est recommandé de stipuler clairement dans le contrat les différentes étapes et la façon de les acter pour éviter des situations de blocage.

II - Engagement ferme de durée et pénalités : ce qui reste possible

Beaucoup de fournisseurs SaaS ont fait reposer leur politique commerciale sur un engagement de durée ferme de la part du client.

Le Data Act n’interdit pas cette pratique, ni les contrats à durée déterminée. Toutefois, dans un tel cas, le client doit quand même avoir la possibilité de mettre fin au contrat avant le terme pour changer de fournisseur,  en suivant la procédure décrite ci-dessus.

Le fournisseur pourra alors appliquer des pénalités de résiliation anticipée, à condition qu’elles soient proportionnées (i.e. qui « n’excède pas ce qui est nécessaire pour atteindre les objectifs ») et que le client en ait été informé avant la conclusion du contrat : l’objectif reste de ne pas créer d’obstacle au changement.

En droit français, ces pénalités s’analysent de manière quasi systématique en clause pénale et peuvent être réduites par le juge si elles sont manifestement excessives. En pratique, les tribunaux considèrent généralement comme manifestement excessives les pénalités égales ou au-delà de 100 % des sommes restant dues, sauf justification (investissements amortis, remises conditionnées, coûts fixes etc.). Il est donc recommandé de bien justifier dans le contrat le montant des pénalités appliquées.

Par ailleurs, dans l’hypothèse d’une résiliation anticipée d’un contrat à durée déterminée et en l’absence de telles pénalités prévues au contrat, il reviendra au fournisseur de démontrer la perte qu’il a faite et le gain dont il a été privé. La Cour de cassation a rappelé récemment (3 décembre 2025 Cour de cassation Pourvoi n° 24-17.537, publié au bulletin) sur le fondement de l’article 1231-2 du code civil et du principe de réparation intégrale sans perte ni profit que le prix intégral du service n’est dû qu’en cas d’exécution de la prestation convenue. Dans le cadre d’un service SaaS dans lequel le service est rendu en continu, la demande consistant à demander le paiement des sommes dues jusqu’à la fin du contrat en cas de résiliation anticipée a donc, contrairement à une idée très souvent répandue, peu de chance de prospérer en cas de contentieux judiciaire.

Pour un fournisseur, prévoir des pénalités de sortie du contrat reste, selon nous, la meilleure option. En effet, sauf à ce qu’elles soient considérées comme manifestement excessives, elles ont a minima pour intérêt de ne pas avoir à démontrer la réalité du préjudice, ce qui n’est pas chose aisée et peut amener à dévoiler sa marge et ses coûts. Quoi qu’il en soit, la proportionnalité des pénalités et la traçabilité de la méthode de calcul sont clés.

Il sera également intéressant de voir comment les clients utiliseront le Data Act pour sortir de manière anticipée d’un accord, dans les cas où (i) le contrat n’a pas prévu de pénalité spécifique (le Data Act ne prévoit pas la possibilité de dommages et intérêts pour rupture anticipée si aucune pénalité n’est prévue), ou (ii) a prévu une pénalité dont la « proportionnalité » serait contestée (cela sera-t-il équivalent à démontrer son caractère manifestement excessif ?).

III - Ce qui doit être exportable, les données et « actifs numériques »

Le fournisseur d’origine doit permettre l’export des données d’entrée et de sortie (y compris métadonnées) générées par l’usage du service, à l’exclusion des actifs/données protégés par PI ou secrets d’affaires du fournisseur ou de tiers, ainsi que des éléments dont l’export exposerait la sécurité du service (ex : intégrité, cybersécurité).

Au-delà des données, le règlement vise aussi les « actifs numériques » : tout élément numérique (y compris applications, machines virtuelles, conteneurs, paramétrages, droits d’accès, etc.) dont le client détient un droit d’usage indépendamment de sa relation avec le fournisseur sortant et qui est nécessaire pour utiliser efficacement les données chez le nouveau prestataire. Ce point suppose un tri juridique et technique : identifier ce qui relève du client (droits autonomes) et exclure ce qui appartient au fournisseur (PI/secrets, composants de sécurité non transférables).

Obligation d’information: le fournisseur doit expliquer les procédures d’export, les limites techniques connues et tenir un registre en ligne détaillant structures, formats, normes et spécifications d’interopérabilité ainsi que toutes les données et actifs exportables. En France, l’ARCEP a publié des recommandations techniques utiles pour la tenue de ce registre[1].

IV - Frais de sortie : réduction, transparence… puis interdiction

Le Data Act organise une baisse progressive des frais de changement de fournisseur pouvant être facturés aux clients  :

  • Du 11 janvier 2024 au 12 janvier 2027 : possibilité de facturer des frais de changement de fournisseur égaux aux coûts réels et directs, sous réserve qu’ils soient contractuellement prévus et chiffrés. Des exemples de ces différents frais sont donnés par l’ARCEP dans un récent projet de recommandations soumis à consultation : support technique, accès à des canaux de communication etc.[2]

         
    A noter :     par application de l’article 27 de la SREN et de l’Arrêté du 17 novembre 2025[3], les fournisseurs n’ont pas le droit d’appliquer de frais de transfert des données (i.e. « frais nécessaires pour l’extraction des données »)[4].
       

  • À compter du 12 janvier 2027 : interdiction totale de facturer des frais de changement de fournisseur (hors cas particuliers visés par le règlement).

    A noter : en cas d’usage simultané de services complémentaires sans changement de fournisseur (multicloud) : le Data Act admet la facturation de frais de transfert de données limités aux coûts de sortie effectivement occasionnés. Dans un récent projet de recommandations soumis à consultation, l’ARCEP ne semble retenir que très peu de coûts facturables dans ce cadre (essentiellement les coûts de dimensionnement réseau).

    A noter sur les services supplémentaires : un fournisseur peut facturer, sur demande du client et avec accord préalable sur le prix, des prestations (i) allant au-delà des obligations de base (ex. assistance à la reconstruction de données chez le nouveau prestataire, conseil d’architecture, développements spécifiques) et (ii) qui pourraient réalisées par un autre prestataire que le fournisseur d’origine.

V - En synthèse : les actions à mettre en œuvre sans tarder

  1. Créer une annexe « Data Act » type pour tous nouveaux contrats et pour amender les contrats existants afin d’y intégrer notamment la procédure de changement de fournisseur et les pénalités de résiliation anticipée en cas de contrat à durée déterminée (cf. pour inspiration les clauses proposées par le groupe d’experts de la commission).

    Quelques recommandations

    • définir clairement les différentes étapes du processus (n’oubliez pas la date à laquelle le client doit au plus tard indiquer son intention de ne pas récupérer les données) ;
    • encadrer les obligations d’assistance raisonnable du fournisseur ;
    • définir des critères objectifs et vérifiables permettant d’acter l’effectivité de l’export et la fin du processus même en l’absence de confirmation écrite du client ;
    • en cas de durée déterminée, fixer des pénalités proportionnées et justifiables et les communiquer en amont au client (obligation d’information précontractuelle).
    • Indiquer les coûts de changement facturables au client jusqu’au 12 janvier 2027.
  2. Documenter un processus d’export et publier un registre en ligne ; et
  3. Adapter la tarification en justifiant contractuellement la facturation des coûts réels et directs du changement préparer le zéro frais post-2027 et modéliser une offre de services additionnels conforme.

Notre cabinet accompagne éditeurs, fournisseurs et clients : diagnostic Data Act, audit contractuel, check-list des actions à entreprendre, rédaction des documents contractuels, plan de réversibilité et formation des équipes. Parlons-en.

Besoin de nous : cliquez ici !

[1] Recommandation : Interopérabilité et portabilité des services d’informatique en nuage (25 septembre 2025)

[2] Projet de lignes directrices portant sur les coûts susceptibles d’être pris en compte dans la détermination des frais de changement de fournisseur de services d’informatique en nuage autres que les frais liés au transfert de données |’Arcep

[3] Arrêté du 17 novembre 2025 fixant le montant maximal de tarification pour les frais de transfert de données dans le cadre d’un changement de fournisseur de services d’informatique en nuage dans le cadre de l’article 27 de la loi n° 2024-449 du 21 mai 2024 – Légifrance

[4] Projet de lignes directrices sur les coûts susceptibles d’être pris en compte dans la détermination des frais de transfert de données en cas de recours simultané à plusieurs fournisseurs de services d’informatique en nuage |’Arcep

Autres articles

Charte informatique : un document indispensable !

La charte informatique est un outil essentiel pour renforcer la cybersécurité en entreprise. Face à l’explosion des cyberattaques, elle encadre l’usage des outils numériques, sensibilise les salariés, limite les risques liés aux comportements humains et s’intègre au dispositif global de protection recommandé par la CNIL.

Lire la suite »