L’Arcep, prochaine autorité de régulation du règlement sur les données (Data Act) ?
Le projet de loi DDADUE fait de l’Arcep l’autorité compétente pour la régulation du règlement sur les données en France. Après avoir été désignée compétente pour réguler les prestataires de services d’intermédiation de données régis par le règlement sur la gouvernance des données, l’obtention de cette nouvelle compétence par l’Arcep renforcerait considérablement son rôle dans la régulation des règles européennes sur les données.
Attendu depuis de nombreux mois, le projet de loi « portant diverses dispositions d’adaptation au droit du l’Union européenne en matière économique, financière, environnementale, énergétique, d’information, de transport, de santé, d’agriculture et de pêche » (ci-après, le projet de « loi DDADUE ») a enfin été publié après sa présentation au Conseil des ministres du 12 novembre 2025. Sa publication s’accompagne d’une étude d’impact, de l’avis du Conseil d’État et du compte rendu du Conseil des ministres. Dans l’attente de l’adoption définitive du projet de loi DDADUE, son contenu peut encore évoluer après son passage au Parlement.
L’objectif du projet de loi DDADUE est d’adapter le droit français à plusieurs législations européennes instaurées dans des domaines les plus divers et dépourvus de lien entre eux. Notre commentaire se concentrera sur le règlement (UE) n° 2023/2854 sur les données ou Data Act (Règl. [UE] n° 2023/2854 du 13 déc. 2023 « concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données », JOUE 22 déc.) qui est l’une des législations adoptées à la suite de la stratégie européenne pour les données du 19 février 2020 (Comm. UE, Une stratégie européenne pour les données, COM(2020) 66 final, 19 févr. 2020), au même titre que le règlement (UE) n° 2022/868 sur la gouvernance des données ou Data Governance Act (Règl. [UE] n° 2022/868 du 30 mai 2022 « portant sur la gouvernance européenne des données », JOUE 3 juin) et le règlement (UE) n° 2025/327 sur l’espace européen des données de santé ou European Health Data Space (Règl. [UE] n° 2025/327 du 11 févr. 2025 « relatif à l’espace européen des données de santé », JOUE 5 mars).
Le règlement sur les données poursuit l’ambition de promouvoir l’exploitation des données dans l’Union européenne et répartir plus équitablement leur valeur entre les différents acteurs européens, qu’il s’agisse des entreprises, des administrations ou encore des consommateurs. Il instaure à cette fin de nouveaux droits d’accès et de partage des données dont il définit les conditions et les modalités. Ses dispositions portent principalement sur les données des objets connectés, l’interdiction des clauses contractuelles abusives et unilatéralement imposées, les données pour un besoin exceptionnel et le changement de fournisseur de services de traitement de données (pour une présentation approfondie de ce texte, v. G. Desgens-Pasanau, Nouveau règlement européen sur les données [Data Act]. Quelles conséquences pour les professionnels ? Morceaux choisis et premiers éléments d’analyse, CCE 2024. Étude 7 ; R. Perray, Data Act : une loi pour mieux distribuer la manne des données, JDI 2024, n° 2 ; A. Petel, Adoption du règlement sur les données [Data Act] : l’Union promeut l’exploitation des données des entreprises, JCP 2024. 355). L’adoption définitive du projet de loi DDADUE est particulièrement attendue, car elle conditionne la mise en œuvre du règlement sur les données en France, lequel est pourtant applicable depuis le 12 septembre 2025.
Les dispositions du projet de loi DDADUE relatives au règlement sur les données peuvent être classées en deux catégories (v. les art. 25 s. du projet de loi DDADUE) . D’un côté, ce projet de loi modifie le droit français sur des aspects mineurs. Il affirme ainsi l’applicabilité du règlement sur les données aux collectivités d’outre-mer de Saint-Barthélemy et Saint-Pierre-et-Miquelon et aligne la loi n° 2024-449 du 21 mai 2024 « visant à sécuriser et à réguler l’espace numérique » (ci-après « loi SREN ») avec les exigences du règlement sur les données. De l’autre, et c’est son apport principal, le projet de loi DDADUE désigne l’Arcep comme l’autorité chargée, en France, de la régulation du règlement sur les données.
Nous limitons notre analyse à la désignation de l’Arcep en tant qu’autorité de régulation du règlement sur les données par le projet de loi DDADUE dont il définit les compétences et les pouvoirs.
Les compétences attribuées à l’Arcep
L’article 37 du règlement sur les données impose à chaque État membre de désigner une ou plusieurs autorité(s) compétente(s) chargée(s) de sa régulation et dont la mission est double : contrôler la mise en œuvre de ce règlement sur le territoire national et assurer la coordination avec les autres autorités désignées dans les États membres.
La désignation de l’Arcep en tant qu’autorité compétente validerait cette obligation et lui octroierait une compétence générale pour réguler le règlement sur les données et, plus spécifiquement, pour traiter les réclamations portant sur l’accès et le partage des données des objets connectés, ainsi que les réclamations portant sur la mise à disposition des données pour des besoins exceptionnels. L’Arcep obtiendrait, en outre, la compétence pour certifier les organes de règlement des litiges que le règlement sur les données met en place pour solutionner les éventuels conflits dans la mise à disposition des données entre leurs détenteurs et leurs utilisateurs (un décret préciserait les conditions et modalités de cette certification). Cependant, la régulation du chapitre 7 du règlement sur les données relatif à l’« Accès international illicite aux données à caractère non personnel et au transfert international illicite de ces données par les autorités publiques » échapperait à l’Arcep et reviendrait à une autorité dont le nom n’est pas connu à ce jour.
Dans le cas où l’État membre décide de désigner plusieurs autorités – ce qui semble être le cas de la France –, le règlement sur les données lui impose de désigner un « coordinateur de données ». Si le projet de loi DDADUE ne désigne pas formellement l’Arcep comme coordinateur de données pour une raison que nous ignorons, tout porte à croire qu’elle jouera ce rôle en France.
Dans cette hypothèse, ses missions seraient multiples. Elle serait, tout d’abord, le point de contact unique dans l’État membre pour toutes les questions liées à l’application du règlement sur les données. Elle veillerait, ensuite, à la publication en ligne de toutes les demandes de mise à disposition de données pour un besoin exceptionnel présentée par un organisme du secteur public au titre du chapitre V du règlement sur les données et encouragerait l’adoption d’accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données (entreprises publiques ou privées, etc.). Elle informerait, enfin, tous les ans la Commission européenne des refus notifiés pour l’accès et le partage des données des objets connectés.
Le champ de compétence de l’Arcep dans la régulation du règlement sur les données serait toutefois limité doublement. Premièrement, les autorités chargées de protéger les données à caractère personnel continuent d’exercer leurs missions et leurs pouvoirs à l’égard du traitement des données à caractère personnel. Au niveau français, la Commission nationale de l’informatique et des libertés (CNIL) reste compétente pour surveiller l’application du règlement sur les données dès qu’il concerne le traitement de données à caractère personnel (accès ou partage de données à caractère personnel générées par des objets connectés tels qu’une montre ou un véhicule). Au niveau européen, le Contrôleur européen de la protection des données reste compétent pour surveiller l’application du règlement sur les données par la Commission européenne, la Banque centrale européenne ou des organes de l’Union, mais seulement dans la mesure où un traitement de données à caractère personnel est réalisé. Secondement, les autorités sectorielles restent compétentes pour répondre aux questions spécifiques sur l’accès à certaines catégories de données et leur utilisation en lien avec l’application du règlement sur les données. Il en va, par exemple, des autorités de régulation mises en place par le règlement sur l’espace européen des données de santé (les « Autorités de santé numérique » et les « Organismes responsables de l’accès aux données de santé ») qui conservent leur compétence pour contrôler les règles de l’utilisation primaire et secondaire des données de santé dans l’hypothèse où elles devront interagir avec le règlement sur les données (objets connectés dans le secteur médical, mise à disposition de données de santé pour répondre à un besoin exceptionnel, etc. ; v. sur ce texte, J. Peigné, L’espace européen des données de santé : structures et fonctions, RDSS 2025. 483 ; A. Petel, L’Union européenne se dote d’un espace européen des données de santé, JCP 2025. 838 ; A. Voillemet, L’ouverture des données du secteur de la santé au profit du marché intérieur, RTD eur. 2025. 355) .
Les pouvoirs conférés à l’Arcep
Le projet de loi DDADUE attribue plusieurs pouvoirs à l’Arcep afin de lui permettre d’exercer ses missions.
En premier lieu, l’Arcep bénéficierait d’un droit élargit de saisine puisqu’elle pourrait « se saisir d’office ou être saisie par toute personne physique ou morale concernée, notamment par le ministre chargé du numérique, par une organisation professionnelle ou par une association agréée d’utilisateurs, des manquements aux exigences du même règlement » (Projet de loi DDADUE, art. 25).
En deuxième lieu, elle détiendrait un pouvoir de contrôle des acteurs soumis aux dispositions du règlement sur les données. Elle serait en mesure de collecter auprès des personnes physiques ou morales « les informations ou les documents nécessaires pour s’assurer du respect par ces personnes des obligations définies » par le règlement sur les données (ibid.). De même, elle pourrait enquêter sur ces mêmes personnes (droits de visite et de saisie de documents, ce pouvoir est régi par les art. L. 32-4, II à IV et L. 32-5 CPEC) .
En dernier lieu, l’Arcep serait habilitée à sanctionner tout manquement aux obligations prévues par le règlement sur les données (Ce pouvoir est régi par l’art. L. 36-11 CPEC). Sa formation restreinte pourrait ainsi prononcer à l’encontre des personnes physiques ou morales concernées une sanction pécuniaire dont le montant tient compte d’un ensemble de critères (caractéristiques de l’infraction, mesure d’atténuation ou de réparation éventuellement prise, infraction antérieure, etc. ; ces critères sont définis par l’art. 40 du règl. [UE] n° 2023/2854) sans pouvoir excéder, pour les personnes morales, 3 % du chiffre d’affaires mondial hors taxes du dernier exercice clos (ce taux peut être porté à 5 % en cas de nouvelle violation de la même obligation. À défaut d’activité permettant de déterminer ce plafond, la sanction ne peut excéder un montant de 150 000 €, porté à 375 000 € en cas de réitération du manquement dans un délai de 5 ans à compter de la date à laquelle la première décision de sanction est devenue définitive).
En définitive, si le projet de loi DDADUE venait à être définitivement adopté, l’Arcep étendrait substantiellement ses compétences et s’inscrirait comme l’une des principales autorités de régulation françaises dans le domaine des données, au même titre que la CNIL. La question se pose dorénavant des conditions et des modalités de l’interaction entre ces autorités.
Projet de loi DDADUE, 12 nov. 2025
par Antoine Petel, Docteur en droit
© Lefebvre Dalloz