Dans cette tribune, Alexandra Iteanu, avocate à la cour, décrypte le Data Act, ce nouveau règlement européen qui bouscule les contrats Cloud et encadre pour la première fois les clauses abusives en B2B.
Le législateur européen n’est pas avare de papier ou d’encre : avec ses 119 considérants et 50 articles, le règlement (UE) 2023/2854, dit « Data Act », est entré en application le 12 septembre dernier. Son ambition est claire : fluidifier la circulation des données en Europe, en fixant des règles d’ouverture et de partage qui concernent aussi bien les consommateurs que les entreprises.
Si ce texte marque une étape majeure, il ne s’agit pas d’un saut dans l’inconnu. D’une part, certaines obligations figuraient déjà dans notre législation nationale, à travers la loi « SREN » du 21 mai 2024[1]. D’autre part, le Data Act innove surtout par l’introduction d’un régime inédit de lutte contre les clauses abusives dans les contrats B2B, plaçant ainsi la loi au-dessus des contrats d’adhésion que les utilisateurs se voient contraints de signer.
Des obligations déjà connues dans notre droit national
Le champ d’application du Data Act est particulièrement large : fabricants de produits connectés, détenteurs et destinataires de données, fournisseurs de services de traitement de données… Dans une économie où le cloud et le partage de données sont devenus omniprésents, rares sont les acteurs qui pourront se considérer en dehors de son périmètre.
Pour autant, certaines obligations ne constituent pas une nouveauté absolue. La loi SREN avait déjà introduit les principes d’interopérabilité et de portabilité, que le règlement précise désormais en imposant aux prestataires d’inscrire dans leurs contrats les procédures prévues et les coûts associés.
De même, si la loi SREN limitait déjà les frais de transfert aux coûts réels supportés par le fournisseur, le Data Act va plus loin en interdisant purement et simplement toute facturation à partir du 12 janvier 2027.
Enfin, l’exigence d’interfaces ouvertes et de registres en ligne permettant de garantir l’interopérabilité s’inscrit dans la continuité de notre droit national.
Un encadrement inédit des contrats d’adhésion B2B
L’apport le plus significatif du Data Act réside sans doute dans son volet contractuel. Les relations entre fournisseurs de services de traitement de données et leurs clients reposent quasi exclusivement sur des contrats d’adhésion, rédigés unilatéralement par les prestataires, largement à leur avantage et laissés sans réelle marge de négociation aux utilisateurs.
Le Data Act modifie cet équilibre. Il impose non seulement l’intégration de mentions d’information précises (sur les procédures de portabilité, leurs modalités et leurs coûts, notamment), mais encadre aussi les clauses abusives dans les relations B2B. L’objectif est clair : protéger les petites et moyennes entreprises face aux grands acteurs qui imposent des conditions contractuelles standardisées et déséquilibrées.
Le texte vise les stipulations qui s’écartent manifestement des « bonnes pratiques commerciales » et contreviennent aux exigences de « bonne foi » et de « loyauté » (article 13-3 du règlement).
Certaines clauses sont réputées abusives de plein droit (article 13-4), comme celles qui limitent la responsabilité du fournisseur ou qui suppriment les voies de recours. D’autres ne sont que présumées abusives (article 13-5), laissant au fournisseur la possibilité d’apporter la preuve du contraire.
Dans la pratique, ce mécanisme obligera de nombreux prestataires à revoir leurs conditions générales : bon nombre des gros prestataires de Cloud impose aujourd’hui des clauses exclusives de responsabilité, ou la désignation d’instance arbitrale étrangère pour le règlement des conflits.
À défaut de modification de ces clauses, les clients disposeront d’un outil juridique efficace pour contester certaines clauses devant le juge, qui pourra en prononcer l’inopposabilité.
En conclusion
Le Data Act, à l’instar du RGPD, n’est pas un texte isolé : il s’intègre dans un écosystème normatif plus large, aux côtés du Data Governance Act et de la loi SREN. Il rappelle une règle cardinale : dans l’économie numérique, la loi reste au-dessus du contrat.
L’avenir dira si cette régulation saura trouver l’équilibre entre protection des acteurs économiques, fluidité du marché et encouragement de l’innovation. Si tel est le cas, le Data Act ne sera pas seulement une contrainte juridique, mais un instrument au service d’un marché européen des données plus ouvert et plus équitable.
Alexandra ITEANU
[1] loi n°02024-449 du 21 mai 2024 dite loi « SREN »
