1. Insights /

Insights

L'impact du Règlement européen sur les données (EU Data Act) sur les contrats de services de traitement des données

L'impact du Règlement européen sur les données (EU Data Act) sur les contrats de services de traitement des données

Dec 03, 2025
Download PDFDownload PDF
Print
Share
Français

Qu'est-ce que le Règlement sur les données ?

Le Règlement européen sur les données (Règlement (UE) 2023/2854 ou Data Act) (ci-après le « Règlement »), applicable à partir du 12 septembre 2025, introduit un cadre juridique complet visant à améliorer la portabilité et l'interopérabilité des données et à réduire la dépendance vis-à-vis des prestataires de services individuels dans l'ensemble de l'économie numérique. Les dispositions les plus importantes portent sur la possibilité des clients à faire valoir leurs droits de changer de fournisseur. C’est ainsi que le texte aborde le changement de fournisseur de services cloud et impose des obligations importantes aux prestataires de « services de traitement des données ».

Bien que les contrats à durée déterminée restent légaux, les prestataires de services, y compris IaaS, PaaS et SaaS, sont désormais tenus de réévaluer la structure et le contenu de ces contrats à la lumière des nouvelles obligations imposées par le Règlement  sur les données. Ce Règlement introduit des normes harmonisées qui affectent la manière dont les prestataires interagissent avec leurs clients, les obligeant à s'assurer que les clauses contractuelles reflètent des conditions équitables, raisonnables et non discriminatoires. Par conséquent, de nombreux contrats existants devront potentiellement être adaptés pour se conformer aux exigences du Règlement et rester conformes aux futurs renouvellements ou modifications.

Quelles sont les entités concernées ?

Le Règlement s'applique aux entités impliquées dans la génération, le traitement et l'utilisation des données. Son champ d'application comprend :

  1. Les fabricants de produits connectés et les fournisseurs de services connexes : les entités qui commercialisent sur le marché de l'UE des appareils connectés (IoT) et les services numériques associés.
  2. Les détenteurs de données : cela inclut les fabricants, les prestataires de services et les opérateurs de plateformes qui contrôlent l'accès aux données générées par les produits ou services connectés.
  3. Les destinataires de données : les entités, publiques ou privées, qui reçoivent des données de la part des détenteurs de données à des fins commerciales ou d'intérêt public.
  4. Organismes du secteur public : les institutions de l'UE et les autorités des États membres peuvent demander des données aux détenteurs en cas de besoin exceptionnel, tel qu'une situation d'urgence publique.
  5. Fournisseurs de services de traitement de données : les services de traitement de données sont des services numériques permettant l'accès à un ensemble partagé de ressources informatiques configurables. Cela comprend:
    • Logiciel en tant que service (SaaS)
    • Plateforme en tant que service (PaaS)
    • Infrastructure en tant que service (IaaS)

Le Règlement s'applique quel que soit le lieu d'établissement du fournisseur, dès lors que les services sont mis à la disposition des clients au sein de l'UE.

Quelles sont les principales obligations des fournisseurs de services de traitement de données ?

Les fournisseurs de SaaS sont soumis à des obligations de services et à des exigences de transparence contractuelle. À compter du 12 septembre 2025, celles-ci comprennent :

Les fournisseurs doivent supprimer les obstacles au changement en permettant aux clients de transférer leurs données et, lorsque cela est possible, leurs applications et autres contenus numériques vers un autre fournisseur.

Bien que les fournisseurs doivent offrir une assistance raisonnable durant le processus de changement, ils ne sont pas tenus de reconstruire l'environnement du client au sein de l'infrastructure de destination.

Les contrats doivent clairement définir les droits du client et les obligations du fournisseur en cas de changement de fournisseur ou de migration vers une infrastructure sur site. Les contrats doivent prévoir un délai de préavis de deux mois et un délai de 30 jours pendant lequel le fournisseur doit prendre en charge la transition.

Les fournisseurs doivent informer les clients des procédures de changement disponibles, des formats et des limitations techniques connues. Ils doivent également tenir à jour un registre en ligne détaillant les structures de données, les formats et les normes d'interopérabilité pertinentes.

Toutes les parties impliquées dans le processus de changement doivent coopérer de bonne foi afin de garantir des transferts de données sécurisés, rapides et sans interruption, en utilisant des formats ouverts et lisibles par machine.

Les fournisseurs doivent divulguer publiquement les localisations de leur infrastructure TIC et décrire les mesures de protection mises en place pour empêcher l'accès illicite aux données non personnelles. Ces informations doivent être mentionnées dans les contrats de service.

Entre janvier 2024 et janvier 2027, les fournisseurs peuvent facturer des frais réduits et limités aux coûts directs du changement de fournisseurs. Toutefois, le changement de fournisseur devra être gratuit à partir de janvier 2027.

Les fournisseurs (à l'exception des fournisseurs IaaS) doivent proposer gratuitement des interfaces ouvertes afin de permettre l'interopérabilité et la portabilité des données.

Les fournisseurs ne peuvent imposer unilatéralement des clauses abusives dans les contrats, particulièrement les clauses relatives à l'accès aux données ou leur utilisation.

Délais de mise en conformité ?

La loi sur les données est applicable à partir du 12 septembre 2025 à toutes les entités relevant de son champ d'application. Toutefois, la loi sur les données introduit également un régime transitoire spécifique  aux contrats conclus avant le 12 septembre 2025, reportant l'application des obligations relatives aux clauses contractuelles abusives prévues à l'article 13 :

  • Pour les contrats signés à compter du 12 septembre 2025, l'article 13 s'applique immédiatement.
  • Pour les contrats conclus avant le 12 septembre 2025, l'article 13 ne s'appliquera qu'à partir du 12 septembre 2027 si l'une des conditions suivantes est remplie :
    • le contrat est à durée indéterminée, ou
    • le contrat  doit expirer au moins dix ans après le 11 janvier 2024, c'est-à-dire le 11 janvier 2034 ou à une date postérieure.

Cette approche progressive garantit que les contrats à long terme ou à durée indéterminée seront progressivement mis en conformité, tandis que les contrats à court terme ne seront pas affectés, sous réserve de renouvellement ou modification.

Quelles mesures devez-vous prendre dès maintenant ?

Avec l'entrée en vigueur du Règlement, les fournisseurs de SaaS doivent agir rapidement pour aligner leurs opérations, leurs contrats et leur infrastructure technique. Les mesures suivantes sont essentielles pour garantir la conformité et atténuer les risques juridiques et commerciaux :

Audit et révision des contrats

  • Examinez les contrats SaaS existants afin d'identifier les clauses qui sont en contradiction avec la loi sur les données, telles que les conditions de résiliation restrictives ou les procédures de changement opaques.

Évaluation de la structuration technique

  • Évaluez les capacités de la plateforme en matière d'exportation, de portabilité et d'interopérabilité des données.

Gouvernance et documentation

Communication avec les clients

Formation et suivi

Comment pouvons-nous vous aider ?

L'équipe de BCLP est à même d'aider votre organisme dans son processus de mise en conformité. Nous vous aidons à identifier les services et les accords contractuels concernés par le Règlement et à identifier les modifications requises. Nous vous assistons également dans la rédaction ou la révision de modèles de contrats afin de garantir leur conformité avec le nouveau cadre juridique. Nos conseils s'étendent à la mise en œuvre technique des mesures de conformité, afin de garantir que les stratégies opérationnelles reflètent les exigences de la réglementation en vigueur.

Afin de garantir une conformité à long terme, nous proposons un suivi juridique continu et organisons des sessions de formation sur mesure pour les équipes internes, pour qu'elles restent informées et préparées aux négociations commerciales et juridiques.

En répondant de manière proactive à leurs obligations, les fournisseurs de SaaS atténuent non seulement les risques juridiques, mais renforcent également leur position sur un marché concurrentiel du traitement des données.

Related Capabilities

Data Privacy & Security Data Privacy & Security

General Data Protection Regulation General Data Protection Regulation

  • Data Privacy & Security

  • General Data Protection Regulation

Meet The Team

View All Related Professionals View All Related Professionals

Pierre Emmanuel Froge
Pierre Emmanuel Froge
+33 (0) 1 44 17 76 21

View Profile View Profile

Meet The Team

View All Related Professionals View All Related Professionals

Pierre Emmanuel Froge
Pierre Emmanuel Froge
+33 (0) 1 44 17 76 21

View Profile View Profile

Meet The Team

Pierre Emmanuel Froge
Pierre Emmanuel Froge
+33 (0) 1 44 17 76 21

View Profile View Profile

This material is not comprehensive, is for informational purposes only, and is not legal advice. Your use or receipt of this material does not create an attorney-client relationship between us. If you require legal advice, you should consult an attorney regarding your particular circumstances. The choice of a lawyer is an important decision and should not be based solely upon advertisements. This material may be “Attorney Advertising” under the ethics and professional rules of certain jurisdictions. For advertising purposes, St. Louis, Missouri, is designated BCLP’s principal office and Kathrine Dixon (kathrine.dixon@bclplaw.com) as the responsible attorney.