Tribunes

Data Act : ces clauses contractuelles qui deviennent abusives dans les contrats B2B

Comme l'indique François-Pierre Lani, le Data Act s’applique aux contrats passés avec les prestataires de cloud. Le texte comporte, en effet, tout un volet relatif au changement de fournisseur de « services de traitement de données ». (Photo : D.R.)

Entré en application le 12 septembre 2025, le Data Act a pour objectif d'établir des règles harmonisées à l'échelle de l'UE notamment en matière de partage des données, encadrant les pratiques contractuelles des acteurs en la matière. Un certain nombre de clauses dans les contrats B2B sont ainsi réputées abusives.

PublicitéLe règlement 2023/2854, dit « Data Act », publié le 22 décembre 2023, vise à fixer des règles harmonisées à l'échelle de l'Union Européenne pour l'équité et l'accès aux données. Il se lit au regard du règlement sur la gouvernance des données (règlement 2022/868 « Data Governance Act »), entré en application en septembre 2023, et qui a pour finalité de faciliter le partage des données. Ainsi mis en perspective, l'objectif du Data Act est donc de favoriser une économie de la donnée plus équitable en organisant les conditions d'accès, d'utilisation et de partage des données générées par les produits connectés et les services connexes.

Le Data Act vise ainsi à permettre un accès et une valorisation des données générées notamment par les produits connectés à l'occasion de leur utilisation, dans un contexte où ces dernières sont exclusivement captées par le fabricant de ces produits.

Un règlement sur les « données » au sens large

La définition de « données » énoncée au règlement est large et comprend « toute représentation numérique d'actes, de faits, ou d'informations que ce soit sous forme sonores, visuels ou audiovisuels ». De même, constituent les « produits connectés » visés par le règlement les « objet[s] qui obtien[en]t, génère[nt] ou recueille[nt] des données concernant [leur] utilisation ou [leur] environnement » et sont en mesure de communiquer des données relatives à ces produits par l'intermédiaire d'un service de communications électroniques, d'une connexion physique ou d'un dispositif d'accès intégré initialement conçu pour transmettre ces informations à l'utilisateur uniquement (et non à un tiers). Sont ainsi visés un large éventail de données ainsi que de produits parmi lesquels « les véhicules, les équipements de santé et de bien-être, les navires, les avions, les équipements domestiques et les biens de consommation, les dispositifs médicaux et sanitaires, ou encore les machines agricoles et industrielles ». Le potentiel libéré s'agissant des données partagées est donc considérable.

Un cadre contractuel strictement défini

En vue de garantir les principes d'équité et de transparence dans les relations B2B consacrés par le règlement, l'article 13 du Data Act encadre les clauses contractuelles « imposées unilatéralement à une autre entreprise ». Ledit article 13 précise ainsi : « toute clause relative à l'accès aux données, à leur utilisation, ainsi qu'à la responsabilité ou aux recours en cas de violation ou de résiliation d'obligations liées aux données » ne lie pas la partie à laquelle elle a été unilatéralement imposée, dès lors que cette dernière présente un caractère abusif.

En d'autres termes, une telle clause, bien que figurant dans le contrat, sera réputée privée de tout effet - ce qui sera, cependant, encore à démontrer en cas de contentieux. Les considérants du règlement précisent encore comment il convient de considérer qu'une clause contractuelle a été « unilatéralement imposée » ; en définitive, nous dit le règlement, ces dernières le sont dans des « situations du type "à prendre ou à laisser" dans lesquelles une partie prévoit une certaine clause contractuelle et où l'autre entreprise ne peut pas influencer le contenu de cette clause malgré une tentative de négociation. »

PublicitéConstitue, enfin, une clause « abusive » au sens du règlement celle qui est « d'une nature telle que son utilisation s'écarte manifestement des bonnes pratiques commerciales en matière d'accès aux données et d'utilisation des données ». Passée la définition de ces critères généraux, la Data Act dresse, à l'instar de ce qui existe en droit de la consommation, une « liste noire » et une « liste grise » des clauses contractuelles portant sur l'accès, l'utilisation des données ou encore la responsabilité au regard des obligations instituées par le Data Act. Ainsi, l'utilisation de ces clauses est soit toujours considérée comme abusive, soit uniquement présumée abusive.

Des clauses toujours abusives...

Sont ainsi réputées abusives (sans possibilité de renverser la présomption), les clauses ayant, par exemple, « pour objet ou pour effet » :

- d'exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d'actes intentionnels ou de négligence grave ;

- d'exclure les voies de recours en cas d'inexécution d'obligations contractuelles ou la responsabilité de la partie qui a unilatéralement imposé la clause en cas de manquement à ces obligations ;

- de donner un droit exclusif de déterminer si les données fournies sont conformes au contrat ou d'interpréter toute clause contractuelle à la partie qui a unilatéralement imposé la clause.

...aux clauses « présumées » abusives

Sept types de clauses sont, cependant, uniquement « présumées » abusives. Y figurent notamment celles ayant pour objet ou pour effet (i) de limiter les voies de recours de la partie à qui elle a été imposée unilatéralement, (ii) de permettre à la partie qui a imposé unilatéralement la clause d'avoir accès aux données de l'autre partie contractante et de les utiliser de manière qui porte gravement atteinte aux intérêts légitimes de cette autre partie, en particulier lorsque ces données contiennent des informations commercialement sensibles ou sont protégées par des secrets d'affaires ou des droits de propriété intellectuelle, ou encore (iii) de permettre à la partie qui a imposé unilatéralement la clause de modifier substantiellement le prix indiqué dans le contrat ou toute autre condition de fond liée à la nature, au format, à la qualité ou à la quantité des données à partager sans motif valable.

Il convient d'ajouter que les dispositions relatives aux clauses contractuelles en question s'appliquent aux contrats conclus après le 12 septembre 2025. Cependant, pour ne pas risquer de perturber l'équilibre des engagements les plus importants, certains contrats tels que les contrats à durée indéterminée et les contrats longs (dont l'échéance est au moins de 10 ans à compter du 11 janvier 2024, soit prenant fin au 11 janvier 2034 ou après) disposent d'un régime dérogatoire en vertu duquel le Data Act ne leur sera applicable qu'à compter du 12 septembre 2027.

Que penser des clauses contractuelles « types » de la Commission Européenne ?

Conformément à l'article 41 du Data Act, la Commission Européenne, après une consultation publique des acteurs du secteur, a dévoilé des clauses contractuelles types dont peuvent s'inspirer notamment les fabricants ainsi que les utilisateurs de produits connectés pour négocier ou renégocier leurs contrats en conformité avec le Data Act. Si ces clauses ne sont ni contraignantes ni obligatoires pour permettre aux entreprises de se conformer au Data Act, elles demeurent un guide précieux pour ces dernières dans leur rédaction des clauses devant figurer dans les contrats impliquant un partage de données ainsi que dans ceux conclus avec les prestataires de services en nuage - le Data Act comporte, en effet, tout un volet relatif au changement de fournisseur de « services de traitement de données ».

Cela étant dit, ces dernières ne constituent pas l'horizon indépassable de ce qui est négociable et il appartient à tous les acteurs, tels que les nombreux éditeurs SaaS présents sur le marché et auxquels s'applique le règlement, de prendre la mesure des potentialités et des risques liés à l'entrée en application de ce texte afin de dégager une stratégie qui leur soit adaptée.

Tribune rédigée avec Jeremy Achour, collaborateur du cabinet Derriennic Associés. Jeremy Achour assiste les clients du cabinet sur leurs problématiques liées à la propriété intellectuelle ainsi qu'au droit des nouvelles technologies, tant en conseil qu'en contentieux. Il intervient particulièrement en contentieux informatique ainsi qu'en négociation de contrats informatiques.

Article rédigé par

François-Pierre Lani, avocat associé au cabinet Derriennic Associés
François-Pierre Lani est un avocat reconnu en droit de l'informatique et des nouvelles technologies. François-Pierre Lani apporte personnellement toute son expérience et son savoir-faire dans les dossiers les plus complexes du domaine des nouvelles technologies. Il est associé du cabinet Derriennic Associés depuis 25 ans après avoir exercé des fonctions de directeur juridique et de business developper à l'international en entreprise.