Le Data Act entrera en application à compter du 12 septembre 2025. Ce nouveau règlement européen vise à harmoniser l’accès et l’utilisation des données dans l’Union européenne. Pour les éditeurs SaaS, il ne s’agit pas d’une simple mise à jour réglementaire : c’est une transformation profonde de la manière dont les données clients doivent être gérées, sécurisées et restituées.

Quelques points clés sont à intégrer dès maintenant dans vos contrats et dans vos process.

Le Data Act, un nouveau cadre au-delà du RGPD

Contrairement au RGPD, qui se concentre sur les données personnelles, le Data Act concerne toutes les données générées par vos clients via le SaaS : logs, métadonnées, usages fonctionnels, données de performance. Il s’agit d’étendre les droits d’accès, de portabilité et de transparence à l’ensemble de ces informations, qu’elles soient personnelles ou non.

En pratique, cela implique pour les éditeurs SaaS de revoir leur documentation contractuelle et leurs outils internes pour s’assurer que les droits des clients soient respectés, quel que soit le type de donnée concerné.

Un droit d’accès élargi aux données clients

Le premier principe du Data Act est clair : les clients doivent pouvoir accéder facilement aux données générées par leur usage.

Vos contrats devront donc préciser :

  • quelles données sont concernées (brutes, agrégées, exportables),
  • le format dans lequel elles seront mises à disposition (lisible, structuré, interopérable),
  • la procédure d’accès (sur demande, via un portail client, API, etc.),
  • les délais dans lesquels la restitution est garantie.

Cette obligation prolonge celle déjà existante pour les données personnelles dans le RGPD, mais l’étend à toutes les données. Cela demande d’adapter vos process internes et vos outils techniques.

Une portabilité renforcée et la fin du verrouillage fournisseur

Le Data Act impose aux éditeurs SaaS de faciliter le changement de fournisseur.


Concrètement, vos CGV devront prévoir :

  • les modalités de transfert des données (formats ouverts, standards, interopérabilité),
  • les délais de restitution (avec un maximum de 30 jours prévu par le règlement),
  • les coûts éventuels (par principe, la restitution est gratuite, sauf exceptions clairement encadrées),
  • un accompagnement raisonnable du client pendant la migration.

Le but est d’éviter tout effet de lock-in (verrouillage contractuel et technique) qui rendrait la sortie d’un client impossible ou coûteuse. Cette exigence va demander à de nombreux éditeurs d’adapter leurs contrats et leurs architectures techniques.

Interopérabilité et support

Le règlement insiste également sur la nécessité de garantir un niveau raisonnable de support et d’interopérabilité.
Cela suppose d’ouvrir des interfaces permettant l’exportation des données et de documenter clairement les API.

Vos clients doivent pouvoir migrer vers un autre SaaS sans dépendre de développements sur-mesure, ni être bloqués par des standards propriétaires.

Clauses abusives interdites

Le Data Act introduit une règle simple : les contrats B2B ne peuvent plus contenir de clauses déséquilibrées concernant l’accès et l’usage des données.

Sont considérées comme abusives, par exemple :

  • des clauses donnant à l’éditeur un accès illimité aux données clients,
  • des clauses qui interdisent la résiliation dans un délai raisonnable,
  • des conditions qui excluent toute responsabilité en cas de faute grave.

Là encore, cela nécessite de relire vos CGV pour vérifier que vos clauses sont transparentes et conformes aux standards de marché.

Quelles sanctions en cas de manquement ?

Chaque État membre désignera une autorité compétente pour appliquer le Data Act. Les sanctions devront être “effectives, proportionnées et dissuasives” – une terminologie déjà connue du RGPD.
Si une violation concerne aussi des données personnelles, des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pourront s’appliquer.

Comment anticiper concrètement ?

Pour un éditeur SaaS, se préparer au Data Act suppose plusieurs actions :

  • Cartographier vos données : identifiez clairement quelles données sont générées par vos clients et comment elles sont stockées.
  • Mettre à jour vos contrats : vos CGV, SLA et annexes DPA doivent inclure les nouvelles obligations d’accès, de restitution et de portabilité.
  • Revoir vos processus techniques : prévoyez des formats d’export standardisés, des interfaces documentées et des délais réalistes pour la restitution.
  • Former vos équipes commerciales : elles doivent être capables d’expliquer aux prospects comment leur droit d’accès et de restitution est garanti.
  • Préparer vos négociations : certains grands comptes exigeront des garanties supplémentaires ; disposer de modèles contractuels conformes vous fera gagner du temps.

Conclusion

Le Data Act est une réforme structurante pour le marché du SaaS en Europe. Il impose de repenser l’accès aux données, leur portabilité et l’équilibre contractuel entre éditeurs et clients.

Je peux vous aider à intégrer ces nouvelles obligations dans vos CGV, à adapter vos SLA et à sécuriser vos process pour passer sereinement le cap du Data Act.

Nos autres ressources


Blog image
Accepter le test d'un SaaS sans contrat : quels sont les risques pour l'éditeur?

Tester un SaaS sans contrat expose à de gros risques juridiques. Découvrez comment sécuriser vos POC et phases d’essai tout en contractualisant vite.

Lire Plus
Blog image
CGV SaaS et self-service

Utiliser des CGV inadaptées au modèle SaaS (self-service ou signé) est risqué. Découvrez comment choisir le bon format de CGV pour votre SaaS.

Lire Plus

Avançons ensemble pour accélérer votre activité

Prendre rendez-vous
Contactez-moi

J'accompagne les éditeurs de logiciels et de SaaS depuis plus de 10 ans, pour structurer leur activité, protéger leur propriété intellectuelle et améliorer leurs contrats.

Pages
AccueilServicesMatthieu PacaudTarifsRessourcesGuide contrats SaaSGuide dépôt de marqueContact
Services
Gestion de vos contratsPropriété intellectuelleCommerce électroniqueDétachement
Legal
Mentions légalesPolitique de confidentialité
Bannière de consentement

Ourama - Création de site internet pour avocats