La mise en œuvre du Data Act a des conséquences contractuelles pour les organisations qui entrent dans son champ d’application. Cela signifie que les organisations devraient revoir leurs contrats afin qu’ils soient alignés sur les nouvelles règles relatives au partage de données ou aux services d’informatique en nuage.
Afin de faciliter la mise en œuvre du Data Act, celui-ci prévoit que la Commission européenne élabore des modalités contractuelles types pour le partage de données B2B (« Model Contractual Terms », « MCT ») et des clauses contractuelles types pour les contrats de services d’informatique en nuage (« Standard Contractual Clauses », « SCC »), y compris des règles relatives au changement de prestataire (« cloud switching »), afin d’aider les petites et moyennes organisations à se conformer au Data Act.
Mais que sont ces modalités contractuelles types et clauses contractuelles types, et est-il recommandé pour les organisations de les utiliser afin de mettre en œuvre le Data Act ?
Nous répondons à cette question dans cet article.
Qu’est-ce que le Data Act ?
Le Data Act, également appelé Règlement sur les données (Règlement (UE) 2023/2854 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données), vise à créer une économie des données plus équitable en imposant des obligations de partage des données générées par l’utilisation de produits connectés et de services connexes entre entreprises et, dans certains cas, avec le secteur public.
Pour atteindre cet objectif, le Data Act introduit notamment :
- des droits d’accès aux données pour les utilisateurs de produits connectés ;
- des obligations de partage de données entre entreprises (B2B) dans des conditions équitable, raisonnable et non discriminatoire (« Fair, Reasonable and Non-Discriminatory », « FRAND ») ;
- des règles relatives au cloud switching ;
- des contrôles des clauses contractuelles abusives dans les contrats B2B.
Les modalités contractuelles types et les clauses contractuelles types sont-elles pertinentes pour votre organisation ?
Avant d’examiner quelles MCT et SCC existent, il est important de d’abord déterminer comment le Data Act s’applique à votre organisation. Étant donné qu’il existe différents ensembles de MCT et de SCC, vous devez connaître le rôle de votre organisation au regard du Data Act afin de savoir quelles clauses appliquer.
Si vous ne savez pas comment le Data Act s’applique à votre organisation, il est utile d’examiner cette question en premier lieu. Cela vous permettra d’éviter d’appliquer les mauvaises clauses.
Par exemple, pour savoir si les règles relatives au cloud switching s’appliquent, vous devez d’abord déterminer si vous fournissez un service de traitement des données au sens du Data Act (indépendamment du fait que vous fournissiez du PaaS, de l’IaaS ou du SaaS). Si vous ne fournissez pas un tel service, vous n’avez pas à appliquer les SCC.
Mais quand fournit-on un service de traitement des données ? Pour qu’un service soit considéré comme tel, quatre caractéristiques clés doivent être présentes :
- Le service permet l’accès à des ressources informatiques, y compris les réseaux, les serveurs, le stockage, les applications et les services ;
- Le service permet un accès réseau à la demande : un client peut configurer unilatéralement ces ressources informatiques disponibles via le réseau et au moyen de mécanismes standard, par exemple via des téléphones mobiles, des ordinateurs portables ou des postes de travail ;
- Le service peut être fourni et libéré rapidement avec un effort de gestion minimal ou une interaction limitée du prestataire de services, ce qui signifie qu’une fourniture unilatérale sans intervention significative du prestataire peut être réalisée et déployée rapidement, permettant aux organisations d’utiliser les ressources presque immédiatement ;
- Le service est flexible et peut être rapidement configuré ; autrement dit, les solutions peuvent facilement évoluer pour répondre à des besoins changeants et les utilisateurs peuvent augmenter ou réduire la demande en fonction de leurs besoins.
Que sont les clauses contractuelles types ?
L’article 41 du Data Act prévoit ce qui suit :
« Avant le 12 septembre 2025, la Commission élabore et recommande des clauses contractuelles types non contraignantes concernant l’accès aux données et l’utilisation des données, y compris des clauses relatives à une compensation raisonnable et à la protection des secrets d’affaires, ainsi que des clauses contractuelles standard non contraignantes pour les contrats d’informatique en nuage, afin d’aider les parties à rédiger et à négocier des contrats garantissant des droits et obligations contractuels équitables, raisonnables et non discriminatoires. »
L’article 41 du Data Act impose donc à la Commission européenne deux obligations :
- élaborer des Modalités Contractuelles Types (MCTs) pour l’accès aux données et leur utilisation, y compris des dispositions relatives à une compensation raisonnable et à la protection des secrets d’affaires ;
- élaborer des Clauses Contractuelles Types (SCCs)pour les contrats d’informatique en nuage afin d’aider les parties à rédiger et à négocier des contrats comportant des droits et obligations contractuels équitables, raisonnables et non discriminatoires.
La Commission européenne doit non seulement élaborer ces MCT et SCC, mais également les recommander. La Commission devait le faire avant le 12 septembre 2025.
La Commission a publié une version de projet des deux documents le 19 novembre 2025. Nous les expliquons plus en détail ci-après.
Quelles modalités contractuelles types existent ?
La Commission a développé trois ensembles de MCT. Chaque ensemble est destiné à couvrir une relation dans laquelle le partage de données est obligatoire en vertu du Data Act. Il s’agit des ensembles suivants :
Relation entre le détenteur des données et l’utilisateur
Cette série couvre les droits et obligations des deux parties concernant l’accès, l’utilisation et le partage des données générées par l’utilisateur lors de l’utilisation d’un produit connecté ou d’un service connexe.
Relation entre l’utilisateur et le destinataire des données
Cette série couvre les conditions auxquelles le destinataire choisi par l’utilisateur doit se conformer lorsqu’il reçoit ou utilise les données.
Relation entre le détenteur des données et le destinataire des données
Cette série couvre les conditions du partage des données par le détenteur avec le destinataire choisi ainsi que la compensation éventuelle que le détenteur des données reçoit pour le partage des données.
En outre, la Commission a établi un ensemble supplémentaire de MCT pour le partage volontaire de données destiné à être utilisée entre le fournisseur de données et le destinataire des données. Cet ensemble supplémentaire peut être utilisé indépendamment des entités entre lesquelles les données sont partagées.
Quelles clauses contractuelles types existent ?
La Commission a développé trois ensembles de SCC qui traduisent les obligations relatives au cloud switching prévues par le Data Act en clauses contractuelles que les organisations peuvent inclure dans leurs contrats de traitement des données.
Il s’agit des ensembles suivants :
SCC Switching & Exit
Ces clauses contractuelles types concernent le droit de changement de prestataire, les délais et les obligations d’assistance.
SCC Termination
Ces clauses contractuelles types concernent les conditions de résiliation et les effets de la résiliation sur les données.
SCC Security & Business Continuity
Ces clauses contractuelles types concernent la sécurité et la continuité des données pendant la migration ainsi que la notification des incidents significatifs.
En outre, la Commission a établi trois ensembles supplémentaires de SCC qui renforcent les principes FRAND afin d’éviter que des déséquilibres contractuels ne compromettent les droits et obligations établis au chapitre IV du Data Act. Il s’agit des séries suivantes :
SCC Non-Dispersion
Ces clauses garantissent la transparence contractuelle en évitant la dispersion des droits et obligations qui seraient difficiles à identifier et à évaluer pour les clients.
SCC Non-Amendment
Ces clauses évitent les modifications unilatérales injustifiées qui permettraient à un fournisseur de cloud de contourner ou d’affaiblir les droits de changement de prestataire après la conclusion du contrat.
SCC Liability
Ces clauses contribuent à une répartition plus équilibrée de la responsabilité entre les parties, y compris une limitation de la responsabilité injustifiée des fournisseurs de cloud.
L’utilisation des modalités contractuelles types ou des clauses contractuelles types est-elle obligatoire ?
Non, l’utilisation des modèles de MCT ou de SCC n’est pas obligatoire.
Les organisations peuvent donc choisir volontairement d’utiliser et d’adapter les MCT ou les SCC. Contrairement aux clauses contractuelles types prévues par le RGPD, les modalités ou clauses contractuelles types prévues par le Data Act peuvent être modifiées. Elles servent donc de modèles pour les organisations.
Il est également possible de ne pas utiliser ces modèles et d’adapter les contrats existants aux exigences prévues aux chapitres II, III et IV du Data Act.
Puis-je modifier les modalités contractuelles types ?
Vous pouvez utiliser les MCT comme contrat, mais les parties peuvent également déroger à ces clauses si elles ne sont pas applicables (par exemple en matière de protection des secrets d’affaires).
Il est toutefois important de ne pas utiliser les MCT « aveuglément ». La Commission européenne encourage les parties à réfléchir attentivement à différents éléments lors de la conclusion des MCT, tels que la relation (utilisateur ou tiers), le besoin commercial et l’intérêt commercial lié aux données.
À qui s’adressent les modalités contractuelles types ou les clauses contractuelles types ?
En principe, les modalités contractuelles types et les clauses contractuelles types peuvent être utilisés par toutes les organisations.
Toutefois, l’objectif principal du développement des MCT et des SCC est de soutenir les PME dans la mise en œuvre des dispositions du Data Act. Les MCT et les SCC sont conçus pour réduire le déséquilibre entre les organisations plus petites et les organisations plus grandes.
Peut-on utiliser les MCT et les SCC pour mettre facilement en œuvre le Data Act ?
Oui, à condition que vous ayez examiné comment le Data Act s’applique à votre organisation. Dans le cas contraire, vous risquez d’utiliser les MCT et les SCC de manière inappropriée, ce qui pourrait conduire à les utiliser alors qu’elles ne sont pas applicables ou à utiliser le mauvais ensemble.
What are the model contractual terms and standard contractual clauses?
Article 41 of the Data Act provides the following:
“Before 12 September 2025, the Commission shall develop and recommend non-binding model contractual terms on access to and use of data, including terms on reasonable compensation and the protection of trade secrets, as well as non-binding standard contractual clauses for cloud computing agreements in order to assist parties in drafting and negotiating agreements with fair, reasonable and non-discriminatory contractual rights and obligations.”
Article 41 of the Data Act therefore obliges the European Commission to do two things:
- Draft model contractual terms (MCTs) for data access and use, including provisions on reasonable compensation and the protection of trade secrets.
- Draft standard contractual clauses (SCCs) for cloud computing agreements to help draft and negotiate agreements with fair, reasonable and non-discriminatory contractual rights and obligations.
The European Commission must not only draft these model contractual terms and standard contractual clauses but must also recommend them. The Commission had to do this before 12 September 2025.
The Commission published a draft version of both documents on 19 November 2025. We explain them further below.
What model contractual terms exist?
The Commission has developed three sets of MCTs. Each set is intended to be used in a situation where data sharing is mandatory under the Data Act. These sets are the following:
- Set between the data holder and the user
This set covers the rights and obligations of both parties with regard to access, use, and sharing of data generated by the user through the use of a connected product or related service.
- Set between the user and the data recipient
This set covers the conditions that the recipient chosen by the user must comply with when receiving or using the data.
- Set between the data holder and the data recipient
This set covers the conditions for data sharing by the holder with the chosen recipient and the possible compensation that the data holder receives for sharing the data.
In addition, the Commission has developed an extra set of MCTs for voluntary data sharing for use between the data sharer and the data recipient. This additional set can be used regardless of which entities share the data.
What standard contractual clauses exist?
The Commission has developed three sets of SCCs that translate the cloud switching obligations from the Data Act into contractual clauses that organisations can include in their data processing contracts. These sets are the following:
- SCC Switching & Exit
These standard contractual clauses concern the right to switch, deadlines, and assistance obligations.
- SCC Termination
These standard contractual clauses concern termination conditions and the effects of termination on data.
- SCC Security & Business Continuity
These standard contractual clauses concern the security and continuity of data during migration and the notification of significant incidents.
In addition, the Commission drafted three extra sets of SCCs that strengthen the FRAND principles in order to prevent contractual imbalances from undermining the rights and obligations established under Chapter IV of the Data Act. These sets are the following:
- SCC Non-Dispersion
These ensure contractual transparency by preventing the dispersion of rights and obligations that are difficult for customers to identify and assess.
- SCC Non-Amendment
These avoid unjustified unilateral changes that would allow a cloud provider to circumvent or weaken switching rights after the conclusion of the contract.
- SCC Liability
These help ensure a more balanced allocation of liability between parties, including limiting the unfounded liability of cloud providers.
Plan par étapes pour déterminer si les MCT et les SCC sont utiles pour votre organisation
- Déterminer si et comment le Data Act s’applique à votre organisation
- Déterminer quelles obligations du Data Act vous sont applicables
- Déterminer si vous fournissez un service de traitement des données
- Examiner quel ensemble de MCT ou de SCC s’applique à votre situation
- Examiner si l’application des MCT et des SCC constitue le meilleur choix dans votre situation
- Si vous décidez d’appliquer les MCT et les SCC, déterminer si et comment elles s’intègrent dans vos contrats actuels (par exemple par une modification ou par l’ajout d’une annexe)
- Si elles ne s’intègrent pas dans vos contrats actuels, rédiger de nouveaux contrats
- Déterminer comment rendre les nouveaux contrats ou les contrats modifiés juridiquement contraignants
