Le Data Act européen est entré en application en mars 2026. Cela fait deux mois, et la majorité des PME que nous accompagnons posent la même question :
« Concrètement, qu’est-ce qui change pour moi ? » Voici une lecture claire, sans jargon, pour comprendre ce que vous devez (ou non) faire.
Trois textes, trois logiques différentes
Il faut commencer par poser les mots, parce qu’on les confond souvent.
Le RGPD (2018) protège les données personnelles. Il dit ce que vous avez le droit de collecter, et comment.
Le Cloud Act (loi américaine, 2018) autorise les autorités américaines à demander à toute entreprise sous juridiction US l’accès à des données qu’elle héberge, même si ces données sont stockées en Europe.
Le Data Act (européen, en vigueur depuis mars 2026) règle la circulation et l’accès aux données générées par les objets connectés et les services cloud. Il impose notamment la portabilité des données et restreint les transferts vers des prestataires soumis à des lois extraterritoriales (comme le Cloud Act).
Le Data Act hébergement 2026 introduit donc deux notions clés pour une PME :
la portabilité (vous devez pouvoir récupérer vos données et changer de prestataire) et la souveraineté effective (pour les données sensibles, votre prestataire ne doit pas être soumis à une loi étrangère qui peut neutraliser vos protections).
Quelles données sont concernées pour une PME ?
Toutes les PME ne sont pas exposées de la même façon. Trois catégories à examiner.
Données clients identifiantes (noms, contacts, factures, conversations).
Encadrées par le RGPD depuis longtemps. Avec le Data Act, l’exigence de portabilité se renforce : votre prestataire doit pouvoir vous restituer ces données sur simple demande, dans un format réutilisable.
Données opérationnelles sensibles (R&D, propriété intellectuelle, données stratégiques, données de santé pour certaines activités). Ce sont elles qui doivent rester sur un hébergement immunisé contre les lois extraterritoriales.
Concrètement : un hébergement français ou européen, opéré par une entité de droit européen.
Données issues d’objets connectés (capteurs, machines, IoT). Le Data Act vous donne explicitement le droit d’y accéder et de les partager. Si vous équipez vos clients de matériel connecté, lisez attentivement vos contrats.
Ce qu’il faut vérifier auprès de votre hébergeur
Trois questions simples à poser.
- Où sont stockées physiquement mes données ? La réponse doit être
précise (pays, voire ville). Si on vous répond « en Europe », demandez le
pays. - Quelle est la nationalité de l’entité juridique qui m’héberge ? Un data center en France opéré par une filiale US reste exposé au Cloud Act.
Une entité de droit français, hébergeant en France, ne l’est pas. - Quelle est la procédure de réversibilité ? Comment je récupère mes données si je change de prestataire ? En combien de temps ? Dans quel format ?
Si votre hébergeur ne sait pas répondre à ces trois questions en moins de cinq minutes, c’est un signal.
Le coup d’oeil Agilonaute
Chez Agilonaute, vos données sont hébergées en France, dans des data centers OVHcloud opérés par une entité de droit français. En tant que partenaire VIP, nous vous donnons accès à l’infrastructure SecNumCloud d’OVHcloud — c’est la qualification ANSSI la plus élevée en matière de souveraineté. La réversibilité est
intégrée dans tous nos contrats : vos données vous appartiennent, vous les récupérez quand vous voulez.
Conclusion
Le Data Act n’est pas un texte hostile aux PME. Au contraire, il leur donne enfin les outils pour exiger de leurs prestataires ce qui aurait dû être la norme depuis longtemps : transparence, portabilité, immunité face aux lois étrangères. Le rôle d’un infogéreur sérieux, c’est de vous rendre tout ça lisible et applicable.
Vous avez un doute sur la localisation ou la souveraineté de vos données ?
Faisons le point ensemble — c’est gratuit et ça prend 30 minutes.
Commentaires récents