En 2026, vous ne pouvez plus garder enfermées les données de vos clients.
C’est la traduction sobre de ce qui entre en vigueur le 12 septembre 2026 : l’article 3(1) du règlement (UE) 2023/2854 — le Data Act européen. À partir de ce jour, quiconque construit un capteur, connecte une machine, livre une application qui génère des données doit penser, dès la première esquisse, que ces données appartiennent à l’utilisateur — et doivent rester accessibles pour lui.
Ce n’est pas un sujet nouveau. C’est une date d’expiration.
Ce qui s’appliquait jusque-là, ce qui s’appliquera dès septembre
Le règlement est en vigueur depuis janvier 2024. Le premier bloc d’obligations a été absorbé le 12 septembre 2025 : droit d’accès aux données pour les utilisateurs de produits existants, conditions équitables de changement de cloud, protection contre les clauses B2B abusives. La plupart des petites structures n’ont rien senti directement — la pression venait du haut de la chaîne, là où les grands fabricants ont dû réagir. Les PME en aval en ont profité sans le voir.
Le 12 septembre 2026, le destinataire change.
À partir de ce jour, l’obligation de conception s’applique à tout nouveau produit connecté mis sur le marché de l’UE. « Data by design » est la formule officielle. Traduction : si votre produit génère des données — et c’est aujourd’hui le cas de presque tous les produits, du régulateur de chauffage à la commande d’atelier — alors votre acheteur doit pouvoir techniquement y accéder sans vous demander la permission.
Ça paraît académique. C’est une bombe.
Ce que cela signifie pour trois maisons typiques
Constructeur de machines avec composante IoT. Qui veut vendre en 2027 une commande d’atelier connectée doit avoir décidé d’ici septembre 2026 : quelles données l’appareil produit-il ? Qui peut y accéder ? Comment l’acheteur y accède-t-il sans passer par notre backend ? Faute de réponse, le produit n’est plus juridiquement vendable dans l’UE — non pas parce qu’un inspecteur arrive, mais parce que le premier grand client le demande dans son cahier des charges.
Éditeur logiciel avec service cloud. Que se passe-t-il quand un client dit : « Je prends deux ans de données machine et je pars ailleurs » ? Si la réponse est « techniquement seulement avec notre offre Premium », vous êtes vulnérable à partir de septembre 2026. Le Data Act interdit les barrières artificielles à la migration. Les données appartiennent au client, pas au contrat.
Logiciel associatif, gestion de cabinet, IT d’atelier. Le seuil est plus bas qu’on ne le pense. Dès que votre logiciel produit des données pour d’autres entreprises — données de membres, de patients, de commandes — vous faites partie de la chaîne. L’obligation ne s’arrête pas aux grands noms industriels. Elle s’arrête au dernier bit qu’un humain ou une machine a produit dans le produit.
Pourquoi cela rencontre le CLOUD Act
Le Data Act dit : les données appartiennent à l’utilisateur. Le CLOUD Act de 2018 dit : les autorités américaines peuvent accéder aux données contrôlées par une entreprise américaine — peu importe où se trouve le serveur. Schrems II dit depuis 2020 : le droit américain n’offre pas un niveau de protection adéquat pour les données européennes.
Si vous construisez en 2026 un produit connecté et que ses données sont stockées chez un hyperscaler américain — même en « région UE » — votre client se trouve face à un conflit qu’il ne peut pas résoudre lui-même. Son droit d’accès rencontre le droit d’une autorité étrangère à interrompre cet accès. C’est l’architecture qui décide, pas le contrat.
C’est précisément le piège dans lequel beaucoup de petites maisons sont tombées ces cinq dernières années. Elles ont misé sur de grandes plateformes américaines parce que c’était rapide et bon marché. Elles ont ainsi lié leur architecture de données à un régime juridique en tension avec le Data Act. En septembre 2026, cette tension devient visible — non pas devant un tribunal, mais dans le prochain cahier des charges.
Ce qu’une autre architecture rend possible
Une colonne vertébrale opérationnelle qui tourne sur des serveurs que vous contrôlez n’est pas une déclaration politique. C’est une réponse technique à une question juridique. Les données de vos clients reposent là où vous pouvez les atteindre — pas là où le procureur d’un autre pays peut les atteindre. Les interfaces sont documentées. Les exports sont intégrés. Changer de fournisseur est possible parce que le format est ouvert — pas parce qu’une clause le promet.
C’est la forme de clarté que le Data Act demande à l’économie européenne en 2026. Pas comme un geste. Comme condition pour continuer à vendre.
La question honnête
Imaginez qu’en octobre 2026, un grand client vous demande lors d’un audit : « Où sont précisément nos données, et pouvons-nous y accéder sans passer par vous ? » Quelle est votre réponse ?
Si la réponse est « oui », tout va bien. Si la réponse est une explication, vous devriez commencer aujourd’hui.
Et maintenant ?
Ce que Tycho Platform fait différemment — colonne vertébrale opérationnelle sur votre serveur →
Trois questions, une réponse — le check de liberté numérique →
À lire aussi : L’Europe répond au CLOUD Act →
Cet article décrit le règlement (UE) 2023/2854 dans sa version applicable à compter du 12 septembre 2026. Il ne remplace pas un conseil juridique. Pour une situation concrète, adressez-vous à un avocat spécialisé en droit du numérique.