Impact du Data Act – Partie 3 – API et intéropérabilité
API et interopérabilité des services cloud. Découvrez les règles et bonnes pratiques pour garantir réversibilité et conformité.
Le Règlement (UE) 2023/2854 « Data Act »[1] est entré en application le 12 septembre 2025 et cherche à modifier le rapport de force entre les prestataires de services de traitement de données (IaaS, PaaS, SaaS) et leurs clients. Son ambition est notamment de favoriser la concurrence et l’émergence de nouveaux acteurs . Pour cela, le règlement pose un cadre visant à faciliter le changement de fournisseur et notamment de nouvelles règles de réversibilité et d’interopérabilité.
Pour les acteurs du cloud et du SaaS, l’enjeu immédiat est d’adapter leurs contrats, outiller et informer les clients et prospects sur le processus de sortie, documenter les données et actifs exportables, et publier un registre en ligne listant formats, structures et normes d’interopérabilité.
A noter : sauf exception (par exemple pour le transfert des données hors UE), le Data Act porte sur l’ensemble des données, personnelles et non personnelles, avec prévalence du RGPD.
Le Data Act s’applique à tous les services IaaS/PaaS/SaaS, mais également à tout autre modèle à venir.
A noter : certains services « sur mesure » ou en version bêta/essai bénéficient d’assouplissements, mais ne sont pas exclus de toutes les obligations (ex. : information, interfaces ouvertes). Même les offres gratuites doivent permettre la portabilité.
Au-delà de l’UE, la France a anticipé et complété plusieurs volets du Data Act via la loi SREN du 21 mai 2024 (avec l’ARCEP comme autorité compétente), notamment s’agissant du plafonnement puis de l’interdiction des frais de changement de fournisseur et de la mise à disposition d’interfaces ouvertes. (cf. nos deux articles focus sur ces questions).
Nos focus sur le Data Act :
Le Data Act laisse à chaque Etat Membres la responsabilité d’établir un régime de sanctions effectives, proportionnées et dissuasives.
Ainsi en France, le projet de loi DDADUE du 10 novembre 2025 propose de reprendre les sanctions prévues par la loi SREN, à savoir une amende pouvant atteindre 3 % du CA HT mondial et jusqu’à 5 % en cas de récidive dans les cinq ans. Il faudra en revanche attendre l’adoption définitive de ce projet de loi et sa promulgation ainsi que la nomination officiellement d’une autorité de contrôle -a priori l’ARCEP- pour la mise en œuvre de ces sanctions.
Cependant, en cas de conflit d’interprétation, le RGPD prévaut sur le Data Act. Dans ce cas, la CNIL sanctionne : amende pouvant atteindre 20M€ ou 4% du CA annuel.
A noter : en plus des sanctions administratives, il est toujours possible d’envisager une action en concurrence déloyale à l’encontre d’un concurrent qui ne serait pas en conformité avec le Data Act (cf. notre article sur la question concernant la violation du RGPD). De même, un client pourrait se prévaloir de la nullité de certaines clauses de son contrat, si celles-ci sont contraires au Data Act.
Notre cabinet accompagne éditeurs, fournisseurs et clients : diagnostic Data Act, audit contractuel, check-list des actions à entreprendre, rédaction des documents contractuels, plan de réversibilité et formation des équipes. Parlons-en.
API et interopérabilité des services cloud. Découvrez les règles et bonnes pratiques pour garantir réversibilité et conformité.
Le processus de changement de fournisseur de services de traitement de données : les enjeux de la nouvelle réglementation européenne.
La charte informatique est un outil essentiel pour renforcer la cybersécurité en entreprise. Face à l’explosion des cyberattaques, elle encadre l’usage des outils numériques, sensibilise les salariés, limite les risques liés aux comportements humains et s’intègre au dispositif global de protection recommandé par la CNIL.