EU-Flaggen vor der Europäischen Kommission in Brüssel
Digital Business & Future 22.04.2026

Loi Data Act : que doivent faire les fabricants allemands d’IoT ?

7 min de lecture

Le Bundestag a adopté le 26 mars la loi de mise en œuvre du Data Act, activant ainsi le règlement européen Data Act en Allemagne. Les fabricants allemands d’objets connectés disposent désormais de cinq mois pour adapter leurs produits à la norme Access by Design. L’Agence fédérale des réseaux (Bundesnetzagentur) devient l’autorité chargée du contrôle, avec des amendes pouvant atteindre 500 000 euros. Une exception importante est prévue pour les PME de moins de 50 employés – mais pas pour les autres.

L’essentiel en bref

  • Loi de mise en œuvre adoptée : Le Bundestag a adopté le 26 mars 2026 la loi de mise en œuvre du Data Act, transposant ainsi le règlement européen 2023/2854 dans le droit allemand (Bundestag allemand, semaine 13).
  • Agence fédérale des réseaux comme autorité de contrôle : La BNetzA est le point de contact central pour la mise en œuvre, la surveillance et l’application du texte. En cas de manquement, des amendes pouvant atteindre 500 000 euros par infraction sont prévues.
  • Date limite du 12 septembre 2026 : À compter de cette date, tous les nouveaux produits connectés devront respecter le principe Access by Design – les utilisateurs auront un accès direct à leurs données produits, sans passer par le fabricant (Data Act européen, art. 3).
  • Portabilité cloud depuis le 12 septembre 2025 : L’obligation de permettre aux clients de changer de fournisseur sans frais de sortie forfaitaires est déjà en vigueur. À partir du 12 janvier 2027, seuls les coûts directs avérés pourront être facturés.
  • Exception pour les PME : Les fabricants comptant moins de 50 salariés et un chiffre d’affaires annuel inférieur à 10 millions d’euros sont exonérés des obligations d’accès. Ceux qui dépassent ces seuils entrent progressivement dans le champ d’application.

Ce que la loi de mise en œuvre prévoit depuis le 26 mars

Le Data Act européen est applicable dans toute l’Europe depuis le 12 septembre 2025. Ce règlement détermine qui peut accéder aux données générées par des produits connectés et les services associés – du robot de traite en Souabe au système d’ascenseur d’un immeuble de bureaux, en passant par les plateformes SaaS de gestion de flottes. Ce que le cadre européen ne précisait pas, ce sont les modalités nationales de mise en œuvre : quelle autorité est compétente, comment les infractions sont sanctionnées, et qui finance l’application.

C’est précisément ce que le Bundestag a réglé le 26 mars 2026, lors de la 13e semaine civile. La loi de mise en œuvre du Data Act désigne l’Agence fédérale des réseaux comme autorité de surveillance compétente et établit la base juridique pour les enquêtes, les demandes de renseignements, les mesures provisoires et les astreintes. En même temps, la loi tranche le différend entre État fédéral et Länder : la BNetzA supervise les demandes de données adressées aux autorités fédérales, tandis que les Länder restent responsables de leurs propres établissements – une concession au fédéralisme qui a marqué les débats au cours de la procédure parlementaire.

Lors des auditions, le nombre de notions juridiques floues a été critiqué. La loi utilise des formulations telles que conditions raisonnables, dans les meilleurs délais ou sans retard injustifié, qui ne prendront forme qu’avec la pratique d’application et les lignes directrices de la BNetzA. Pour les entreprises, cela signifie une certaine incertitude juridique durant les premiers mois – mais aussi une marge de manœuvre, puisque l’autorité entend d’abord guider par des recommandations plutôt que par des sanctions.

Définition

Access by Design désigne l’obligation technique de concevoir les produits connectés de manière à ce que les utilisateurs ou des tiers mandatés puissent accéder aux données produites sans effort de développement supplémentaire. L’accès doit être simple, sécurisé, structuré et fourni dans un format lisible par machine – généralement via une API documentée.

Qui est concerné – et qui bénéficie de l’exception pour les PME

Le Data Act s’adresse à deux groupes d’entreprises simultanément : les fabricants de produits connectés et les fournisseurs de services associés d’une part, les prestataires de services cloud d’autre part. Pour les PME du DACH, cela signifie que pratiquement tout constructeur de machines équipant ses installations de télémétrie est considéré comme fabricant au sens du règlement. Tout fournisseur SaaS traitant des données clients est un prestataire de services de traitement de données.

L’élément décisif réside dans le champ d’application : le règlement s’applique aux produits mis pour la première fois sur le marché après le 12 septembre 2026. Les machines déjà vendues ne sont pas soumises à l’obligation d’Access-by-Design – un détail important, car il atténue l’obligation de mise à niveau. Les fabricants doivent cependant adapter leurs gammes de produits existantes au plus tard lors de la prochaine génération de matériel – avec suffisamment de temps pour les certifications, les mises à jour logicielles et les ajustements contractuels.

Le principal allègement pour les PME est l’exception prévue à l’article 7 du règlement européen. Les entreprises comptant moins de 50 salariés et réalisant un chiffre d’affaires annuel inférieur à 10 millions d’Euros sont exemptées des obligations d’accès. Selon les statistiques de la Chambre de commerce et d’industrie, cela concerne plus de 90 % des constructeurs de machines allemands. Il faut cependant noter l’application différée : une entreprise dépassant ces seuils au cours d’un exercice devra se conformer aux obligations les années suivantes – un risque de planification pour les entreprises en phase de croissance.

En revanche, aucune exception n’est prévue pour les règles de changement de cloud. Celles-ci s’appliquent à tous les prestataires de services de traitement de données, quelle que soit la taille de l’entreprise. Une PME SaaS employant 30 personnes doit donc permettre à ses clients de changer de prestataire sans frais de sortie forfaitaires – même si elle est exemptée des obligations liées aux produits IoT. Cette distinction est cruciale pour l’analyse des écarts dans sa propre gamme de produits.

Les trois blocs d’obligations : accès, changement de fournisseur et accès des autorités

Le Data Act regroupe trois ensembles d’obligations distincts, à traiter séparément sur le plan organisationnel. Le premier volet concerne l’accès aux données par les utilisateurs. Les fabricants de produits connectés doivent garantir que l’acheteur d’une machine ou l’utilisateur d’un logiciel ait un accès direct aux données générées par le produit et les services associés. Cet accès doit être rapide, sécurisé et, en règle générale, sans frais supplémentaires. Pour les produits mis sur le marché avant le 12 septembre 2026, ces obligations d’Access-by-Design ne s’appliquent pas encore – mais les fabricants devraient profiter de la période transitoire pour adapter leurs produits existants et préparer les voies de mise à jour logicielle.

Le deuxième volet porte sur le changement de fournisseur cloud. Depuis le 12 septembre 2025, les prestataires de services de traitement de données – c’est-à-dire les fournisseurs de cloud public classiques, mais aussi les fournisseurs SaaS sectoriels – ne peuvent plus imposer d’obstacles artificiels à leurs clients pour changer de prestataire. Les contrats doivent clairement indiquer les durées d’engagement, les délais de préavis et les règles de sortie. À partir du 12 janvier 2027, les prestataires ne pourront plus facturer de frais de sortie forfaitaires – seuls seront autorisés les coûts justifiés par la migration effective des données. Pour les hyperscalers, cela représente une remise en cause majeure de leurs modèles tarifaires établis, tandis que pour les clients, c’est un levier significatif dans les négociations contractuelles.

Le troisième volet régit l’accès aux données par les autorités publiques dans des situations exceptionnelles. Les autorités peuvent, dans des cas de crise clairement définis – catastrophes naturelles, pandémies, cyberattaques majeures – accéder directement aux données des entreprises si celles-ci sont nécessaires pour gérer la crise. Les conditions sont strictement encadrées, mais les entreprises doivent être techniquement préparées à répondre à de telles demandes. La loi d’application précise quelles autorités en Allemagne sont habilitées à formuler ces demandes et quel rôle joue la Bundesnetzagentur en tant qu’instance de contrôle.

Calendrier : Ce qui doit s’appliquer et quand

Date limite Obligation Concernés
12 septembre 2025 Possibilité de changement de cloud, clauses contractuelles, accès des autorités Tous les prestataires de services de traitement de données
26 mars 2026 Loi d’application allemande adoptée, la BNetzA désignée comme autorité de contrôle Toutes les entreprises actives en Allemagne
12 septembre 2026 Access by Design pour les nouveaux produits connectés Fabricants de produits IoT (hors PME)
12 janvier 2027 Fin des frais de sortie forfaitaires Tous les fournisseurs de services cloud
2028 Évaluation par la Commission européenne de l’impact sur les PME L’exception pour les PME est remise en question

Sources : Règlement UE 2023/2854, Bundestag allemand, semaine 13/2026, BMWK

La date clé du calendrier est le 12 septembre 2026. À compter de cette date, l’obligation « Access by Design » s’appliquera à tous les produits mis sur le marché pour la première fois après celle-ci. Les fabricants qui souhaitent lancer de nouvelles générations de produits sur le marché à l’automne 2026 doivent déjà finaliser l’architecture de leurs interfaces de données, rédiger la documentation des API et faire valider leurs concepts d’accès par leur service juridique. Celui qui commence seulement en août sera en retard.

Le rôle de la Bundesnetzagentur

Avec la loi d’application, la Bundesnetzagentur endosse une nouvelle mission de régulation dans un domaine jusqu’ici fragmenté entre protection des données, droit de la concurrence et politique numérique. Elle devient le point de contact central pour les plaintes, les demandes d’information et les questions d’interprétation. L’autorité peut lancer des enquêtes, obliger les entreprises à fournir des renseignements, émettre des injonctions provisoires et, si nécessaire, infliger des amendes coercitives.

Montant maximal de l’amende (Allemagne)
500.000 €
par infraction à la loi d’application du Data Act, infligée par la Bundesnetzagentur

Source : Bundestag allemand, séance plénière semaine 13/2026

500 000 euros par infraction représentent un montant modéré au niveau international – le RGPD prévoit jusqu’à 20 millions d’euros, le Digital Markets Act jusqu’à dix pour cent du chiffre d’affaires mondial. Mais pour un constructeur de machines de taille moyenne réalisant 25 millions d’euros de chiffre d’affaires annuel, une amende à six chiffres constitue un frein tangible, surtout si plusieurs infractions sont constatées simultanément. Plus importante que le montant absolu est la portée symbolique : la BNetzA est une autorité opérationnelle comptant 3 200 collaborateurs et dotée d’une expérience en matière d’application des règles – de la régulation des télécommunications à la supervision du marché de l’énergie, en passant par le secteur postal. Elle ne laissera pas le Data Act rester lettre morte.

Ce à quoi les PME peuvent s’attendre dès maintenant, ce sont les premières lignes directrices et consultations de la Bundesnetzagentur – généralement prévues pour l’été 2026. Ces lignes directrices préciseront les notions juridiques indéterminées, fourniront des modèles de contrats pour le cloud et donneront des indications sur la délimitation entre l’exception pour les PME et les obligations régulières. Ceux qui ont le temps de participer activement aux consultations pourront influencer l’interprétation dans leur sens – des associations comme le VDMA et Bitkom préparent déjà des documents de positionnement à cet effet.

Plan en six points pour les entreprises du secteur intermédiaire

Pour les entreprises du secteur intermédiaire, une démarche structurée selon six étapes claires, réalisables dans les cinq prochains mois, est fortement recommandée :

  1. Définir le périmètre : Quels produits et services de l’entreprise relèvent du Data Act ? Qui est le fabricant, qui est le fournisseur de cloud, et qui cumule les deux rôles ? Sans une catégorisation rigoureuse, toute action ultérieure restera partielle.
  2. Vérifier l’exception PME : Comparer le nombre de salariés et le chiffre d’affaires de l’exercice précédent. Même en cas de structure holding, c’est l’ensemble du groupe qui est pris en compte : une entité isolée peut dépasser le seuil si la société mère le dépasse.
  3. Inventorier l’architecture des données : Quelles données les produits connectés génèrent-ils exactement ? Où sont-elles stockées, qui y a accès, quelles interfaces existent déjà ? Cet inventaire constitue la base pour la mise en œuvre du principe « accès par conception » (Access-by-Design).
  4. Élaborer une feuille de route API : À compter de septembre 2026, tout nouveau produit devra disposer d’une interface d’accès documentée – généralement REST ou MQTT avec authentification OAuth. Pour les produits existants, une décision de rétrofit doit être prise : mise à jour ou déploiement sans accès conforme au principe Access-by-Design.
  5. Revoir les contrats cloud : Examiner les contrats en cours de traitement des données à la recherche de clauses de portabilité. Si des frais d’egress forfaitaires sont prévus, ils doivent être ajustés d’ici au 12 janvier 2027. Les nouveaux contrats doivent être conçus conformément au Data Act – des modèles de clauses devraient être publiés à l’automne 2026.
  6. Désigner un interlocuteur : La loi de mise en œuvre exige la nomination d’un point de contact interne pour les demandes des utilisateurs et les requêtes des autorités. Fonctionnellement, le délégué à la protection des données est un interlocuteur naturel, mais les équipes produit et IT doivent être étroitement associées.

Celui qui aura traité ces six étapes d’ici fin juin abordera septembre sereinement. Celui qui ne se réveillera qu’en août devra compter sur les orientations de la BNetzA et les ateliers de transition des associations professionnelles – faisable, mais inutilement stressant.

Positionnement : le Data Act dans le paysage réglementaire 2026

Le Data Act s’inscrit dans un ensemble de réglementations européennes qui occuperont les entreprises du secteur intermédiaire en 2026. La mise en œuvre de la NIS2 concerne la cybersécurité des secteurs critiques, l’acte européen sur l’IA (AI Act) encadre l’utilisation des systèmes d’intelligence artificielle, en particulier les applications à haut risque, l’obligation de facturation électronique transforme la comptabilité, et le euro numérique soulève de nouvelles questions pour les processus de paiement. Le Data Act s’ajoute à ce quatuor comme quatrième pilier majeur, avec des chevauchements multiples : avec la NIS2 sur les obligations de déclaration et de protection des systèmes connectés, avec l’AI Act sur la gestion des données d’entraînement, et avec la facturation électronique sur les formats de données.

Pour les entreprises du secteur intermédiaire, cela signifie que les projets de conformité ne peuvent pas être traités isolément. Celui qui, dans le cadre d’une décision de recourir à des services externalisés, réorganise de toute façon son paysage IT vers des prestataires externes, devrait intégrer dès à présent les exigences du Data Act dans le choix de ses fournisseurs. Celui qui déploie un nouveau système ERP devrait concevoir ses interfaces API de manière à satisfaire simultanément à l’obligation d’accès par conception. L’astuce consiste à regrouper les projets réglementaires plutôt que de les mener en parallèle – cela permet d’économiser des coûts et de soulager les ressources IT, déjà très sollicitées.

Conclusion

La loi d’exécution du Data‑Act comble une lacune importante de la régulation numérique allemande. L’Agence fédérale des réseaux devient l’autorité de contrôle. Le cadre des amendes est gérable mais doit être pris au sérieux. L’exception pour les PME soulage au moins 90 % des fabricants d’IoT de taille moyenne des obligations d’accès. Ce qui reste, c’est la règle du changement de cloud – qui concerne tout fournisseur de traitement de données, même en dessous du seuil de chiffre d’affaires.

La date limite du 12 septembre 2026 semble lointaine, mais elle ne l’est pas. Les décisions d’architecture concernant les interfaces API, les mises à jour logicielles, les modèles de contrats et les responsabilités internes nécessitent un préavis. Qui commence aujourd’hui dispose de cinq mois – qui démarre en août n’a que quatre semaines et aucune marge pour les imprévus. Le moment idéal pour l’analyse du périmètre est maintenant, pas lorsque les premières lignes directrices de la BNetzA seront publiées.

Autres analyses de la rédaction

Mise en œuvre du NIS2 : ce que les PME doivent encore faire

EU AI Act : encore 4 mois avant la date limite principale

Facturation électronique : 9 mois avant l’obligation d’envoi

Questions fréquentes

L’exception PME s’applique-t-elle également aux filiales de groupes de taille moyenne ?

L’évaluation se fait généralement au niveau du groupe. Une SARL autonome de 30 salariés, filiale d’une holding de 300 employés, ne peut pas bénéficier de l’exception PME. C’est l’ensemble de l’unité économique qui compte, selon les définitions européennes des petites et moyennes entreprises (recommandation 2003/361/CE). Les entreprises appartenant à des structures de groupe doivent examiner leurs relations actionnariales dès que possible et prendre en compte les seuils de groupe.

Quel est le coût de mise en œuvre pour un constructeur de machines typique de 200 salariés ?

L’éventail est large. Ceux qui disposent déjà d’une intégration OT‑IT moderne, de données produit documentées et d’une gestion d’API fonctionnelle peuvent se contenter d’un effort raisonnable en matière de conseil juridique, d’ajustement de contrats et de processus internes. Ceux qui rendent leurs données machines accessibles uniquement via des outils propriétaires de revendeurs doivent mettre en place une passerelle API, implémenter l’authentification et rédiger la documentation — il s’agit d’un projet de plusieurs mois avec un budget correspondant. Une estimation fiable ne peut être fournie que par votre propre analyse des écarts ; les chiffres génériques sont trompeurs.

Devons‑nous également rétro‑installer l’obligation d’Access‑by‑Design sur les machines que nous avons vendues en 2024 ?

Non. L’obligation ne concerne que les produits mis sur le marché pour la première fois après le 12 septembre 2026. Les machines déjà vendues ne sont pas soumises à l’obligation de mise à niveau. Toutefois, les fabricants de gammes existantes devraient vérifier s’ils peuvent exploiter leur infrastructure de mise à jour pour fournir l’Access‑by‑Design de façon rétroactive — c’est volontaire, mais cela constitue un signal de confiance pour les clients et facilite les générations de produits ultérieures.

Comment le Data Act se positionne-t-il par rapport au droit existant de protection des données selon le RGPD ?

Les deux cadres législatifs coexistent et interviennent à des niveaux différents. Le RGPD protège les données à caractère personnel des personnes physiques et confère aux personnes concernées des droits d’accès. Le Data Act régit l’accès aux données produit et de service indépendamment de toute référence à une personne et s’adresse aux utilisateurs — donc également aux entreprises qui achètent une machine. Lorsque les données générées sont personnelles, par exemple les données de conducteur d’un véhicule, le RGPD et le Data Act s’appliquent simultanément ; en cas de doute, le RGPD prime. L’Agence fédérale des réseaux et les autorités de protection des données doivent collaborer à ce sujet.

Que se passe-t-il si un fournisseur de cloud ne met pas en œuvre les règles d’e‑gress à partir de janvier 2027 ?

L’Agence fédérale des réseaux peut intervenir suite à une plainte de clients. Les frais d’e‑gress forfaitaires seront alors jugés illégaux, le fournisseur devra réviser son tarif. En pratique, cela commence par une mise en demeure avec un délai de correction ; en cas de refus, des amendes pouvant atteindre 500 000 Euro seront infligées. Pour les entreprises clientes concernées, cela signifie : saisir la BNetzA et, en parallèle, réclamer des ajustements auprès du fournisseur. Le fondement juridique est désormais applicable en Allemagne et sera précisé par les tribunaux dans les prochains mois.

Qui surveille la mise en œuvre dans les autres pays de l’UE ?

Chaque État membre désigne son autorité compétente. En France, il s’agit de la CNIL conjointement avec l’ARCOM, en Autriche de la RTR, en Italie de l’AGCOM. La Commission européenne coordonne via un conseil européen de l’innovation des données, chargé d’élaborer des lignes directrices communes. Pour les entreprises opérant à l’échelle de l’UE, cela signifie : les règles de base sont identiques, les interlocuteurs varient selon le pays — une cellule de coordination centrale au sein de l’entreprise est recommandée, notamment pour harmoniser les filiales.

Source image principale : Pexels / Marco

Aussi disponible en

Un magazine de evernine media GmbH
Le magazine des décideurs pour le Mittelstand DACH DEENFRES
Newsletter