L’impact du Data Act sur la fin des contrats de service numérique

Pour y remédier, le règlement interdit aux fournisseurs d’imposer à leurs clients tout obstacle injustifié au switching (changement de fournisseur ou internalisation du service), qu’il soit pré-commercial, commercial, technique, contractuel ou organisationnel, et leur impose des exigences minimales destinées à faciliter la réversibilité des données.

Points clés à retenir

• Le Data Act ne confère pas un droit de résiliation anticipée ou un droit de sortie au profit du client d’un service de traitement de données ;
• Il interdit en revanche tout obstacle injustifié au switching ;
• Les fournisseurs de services de traitement de données sont désormais tenus d’inclure dans leurs contrats une clause de réversibilité conforme aux exigences minimales du Data Act ;
• Le préavis initiant la période de transition ne peut excéder deux mois ;
• La période de migration ne peut excéder 30 jours calendaires, prolongeable jusqu’à 7 mois en cas d’impossibilité technique dûment justifiée ;
• À compter du 12 janvier 2027, les frais de changement de fournisseur sont totalement supprimés. Jusqu’à cette date, seuls des frais correspondant aux coûts directs réels peuvent être facturés.

Quels sont les contrats concernés par le Data Act ?

Le Chapitre VI du Data Act répond à un champ d’application propre. Il s’applique aux contrats conclus par des fournisseurs de services de traitement de données au sens du règlement, c’est-à-dire les services numériques permettant un accès omniprésent et à la demande à des ressources informatiques partagées, couvrant les modèles SaaS (Software as a Service), IaaS (Infrastructure as a Service) et PaaS (Platform as a Service).

S’agissant des données concernées, le règlement s’applique aussi bien aux données à caractère personnel qu’aux données à caractère non personnel (Art. 1.2).

Deux catégories de services sont expressément exclues de certaines obligations découlant de ce chapitre (Art. 31) : (i) les services de traitement de données conçus sur mesure et non proposés à grande échelle commerciale, et (ii) les services fournis en version de test ou bêta, pour une durée limitée et à des fins d’évaluation.

S’agissant du champ d’application temporel :

• Les obligations relatives au switching (Chapitre VI) s’appliquent depuis le 12 septembre 2025, aux contrats en cours et à ceux conclus à compter de cette date (art. 50) ;
• L’interdiction des clauses abusives prévue par l’article 13 du Data Act ne s’appliquera, pour les contrats en cours, qu’à compter du 12 septembre 2027 (art. 50) ;
• La suppression totale des frais de changement de fournisseur interviendra le 12 janvier 2027 (art. 29).

Quel est l’impact du Data Act sur la durée du contrat ?

Le règlement pourrait laisser penser qu’il confère au client un droit de résiliation anticipée, dès lors qu’il désire changer de prestataire, internaliser le service, ou supprimer ses données. Trois dispositions pourraient en particulier induire en erreur :

• l’article 25, §2, a) prévoit que la phase de réversibilité débute « sur demande » du client ;
• l’article 25, §2, c) impose que le contrat stipule qu’il sera « considéré comme résilié » à l’achèvement du processus de switching ;
• l’article 29 impose au fournisseur d’informer le client des éventuelles pénalités applicables en cas de résiliation anticipée.

Mais le considérant 9 du règlement est à cet égard sans ambiguïté : le Data Act n’affecte pas le droit (national) des contrats. Le règlement ne contient aucune disposition expresse créant une cause autonome de résiliation au profit du client. C’est donc toujours le contrat, et lui seul, qui détermine le moment et les conditions dans lesquels les parties peuvent mettre fin à leur relation. Le Data Act facilite le switching une fois la fin du contrat acquise, quelle qu’en soit la cause.

En revanche, le Data Act est susceptible d’avoir une incidence indirecte sur la durée effective de l’engagement contractuel dans la mesure où le contrat se poursuit pendant toute la durée de la période transitoire, durant laquelle le fournisseur est tenu de continuer à fournir les services (art. 25, §2, a.). Cette période de 30 jours peut être significativement allongée.

Comment le Data Act assure l’effectivité de la réversibilité des données ?

Un processus de réversibilité des données organisé en 4 phases successives

–   Notification : le processus débute par la notification par le client de sa volonté de changer de fournisseur ou de passer à une infrastructure sur site (art. 25.3). Cette notification constitue le point de départ du préavis ;

–   Préavis (≤ 2 mois) : à compter de la notification, le prestataire est tenu d’assurer la continuité du service. Ce délai ne peut excéder deux mois (art. 25.2 d.) et toute clause contractuelle prévoyant un préavis supérieur est réputée non écrite ;

–   Période transitoire (≤ 30 jours, ou ≤ 7 mois) : à l’expiration du préavis s’ouvre la période transitoire de migration. Cette période ne peut excéder 30 jours calendaires (art. 25.2 a.), sauf impossibilité technique justifiée permettant un allongement jusqu’à 7 mois (art. 25.4). Le client peut également solliciter une prolongation unique (art. 25, §5) ;

–   Fin du contrat : le contrat prend fin à l’achèvement du processus de changement de fournisseur. Le fournisseur est tenu de maintenir l’accès aux données exportables durant un délai minimum de 30 jours calendaires, puis de procéder à l’effacement intégral de toutes les données.

Une clause de réversibilité obligatoire et encadrée

Désormais, le Data Act impose au fournisseur d’inclure dans le contrat une clause de réversibilité répondant à un contenu minimal défini par le règlement. Cette clause doit notamment stipuler :

–   le périmètre des données exportables et le format de restitution des données ;

–   le délai de préavis, lequel ne peut excéder 2 mois ;

–   la durée de la période de transition (30 jours calendaires par défaut) ;

–   l’obligation pour le prestataire de concourir à la stratégie de sortie du client ;

–   les frais de migration applicables (jusqu’au 12 janvier 2027, seuls les coûts directs réellement supportés peuvent être refacturés, sous réserve d’information préalable – art. 29) ;

–   l’obligation pour le fournisseur d’effacer intégralement les données exportables et actifs numériques à l’issue de la période de récupération.

Toute clause de réversibilité stipulée dans un contrat couvert par le Data Act doit par ailleurs résister au contrôle des clauses abusives (art. 13). Des pénalités de résiliation anticipée demeureraient licites, à condition d’être proportionnées et de ne pas reconstituer un verrou financier équivalent au maintien forcé dans le contrat.

Quelles sont les sanctions en cas de non-respect de ces règles ?

Les États membres sont chargés de prévoir des sanctions effectives, proportionnées et dissuasives en cas de non-respect de ces obligations (art. 40). En France, l’ARCEP a été désignée comme autorité compétente pour veiller au respect du règlement, en coordination avec la CNIL pour les aspects relatifs aux données personnelles. Les sanctions pécuniaires pourraient atteindre 3 % du chiffre d’affaires mondial hors taxes du dernier exercice clos, porté à 5 % en cas de réitération. Pour les personnes morales ne disposant pas d’un chiffre d’affaires permettant de déterminer ce plafond, la sanction pourrait être plafonnée à 150 000 €, portée à 375 000 € en cas de nouvelle violation dans un délai de cinq ans.

L’autorité compétente devra en tout état de cause, pour fixer le montant de la sanction, tenir compte des différents critères énumérés par l’article 40§3 (notamment, la durée de l’infraction, les mesures prises pour atténuer ou réparer le préjudice subi, ou encore les avantages financiers obtenus ou les pertes évitées en raison de l’infraction).

Auteurs :

• Christophe Héry, avocat associé
•  Maélie Trigo, élève avocate