À partir du 12 septembre 2025, une nouvelle ère s’ouvre pour les utilisateurs de logiciels SaaS, et notamment de CRM professionnels. Le Data Act européen (Règlement UE 2023/2854) entre pleinement en application. Ce texte, adopté par le Parlement et le Conseil de l’Union européenne, vise à redonner le contrôle des données à ceux qui les génèrent : les entreprises et leurs utilisateurs.
Concrètement, le Data Act impose de nouvelles règles aux éditeurs de logiciels : les clients pourront résilier leur contrat SaaS à tout moment, récupérer l’ensemble de leurs données, et changer de fournisseur sans blocage technique ni frais abusifs.
Autrement dit : les contrats à engagement bloquant de deux ou trois ans appartiennent au passé.
Pour les entreprises qui utilisent un CRM, un ERP ou une solution SaaS de gestion commerciale, c’est un tournant majeur. Vous n’êtes plus dépendant d’un éditeur qui verrouille vos données ou limite votre liberté de choix. Vous retrouvez la maîtrise de vos outils et de votre stratégie digitale.
Dans cet article, nous allons d’abord expliquer ce que prévoit le Data Act, qui est concerné et pourquoi il transforme le marché du SaaS. Nous verrons ensuite ce que cela change concrètement pour vous, en tant qu’entreprise utilisatrice ou acheteuse d’un CRM ou d’un service SaaS, et comment en tirer parti dès maintenant.
Le European Data Act vise à donner plus de pouvoir et de liberté aux utilisateurs de produits et de services connectés, qu’il s’agisse de particuliers ou d’entreprises. Aujourd’hui, les données générées par les objets connectés sont souvent contrôlées exclusivement par le fabricant ou l’éditeur de service. Le Data Act veut renverser cette logique : les données produites par un appareil ou un service appartiennent à l’utilisateur, pas au constructeur ou au fournisseur.
Depuis le 12 septembre 2025, donc :
Le Data Act ne vise pas un secteur unique (comme la santé ou l’énergie), mais tous les acteurs économiques impliqués dans la création, la collecte, le traitement ou le partage de données.
On parle d’un règlement intersectoriel, c’est-à-dire qu’il s’applique à l’ensemble des domaines de l’économie numérique.
→ Montres, voitures, appareils ménagers, machines industrielles, capteurs…
Cela signifie que tout produit physique qui collecte ou génère des données numériques est concerné.
Les fabricants doivent :
Par exemple, une voiture connectée devra permettre à son propriétaire d’accéder aux données de conduite ou d’entretien, pas seulement au constructeur.
→ Applications, plateformes, Cloud
Cela signifie que les éditeurs de logiciels, de plateformes SaaS, ou de services cloud qui collectent, hébergent ou analysent les données issues de ces objets connectés sont aussi directement concernés.
Ils doivent :
Par exemple, un éditeur de CRM SaaS qui héberge les données clients d’une entreprise, une plateforme d’analyse IoT qui collecte les données de capteurs industriels ou encore un fournisseur cloud qui stocke les données générées par des objets connectés.
Ces acteurs devront être techniquement capables de fournir toutes les données à la demande du client et de garantir leur réversibilité.
→ Industriels, transporteurs, vous
Cela signifie que les entreprises qui utilisent ces objets connectés dans leur fonctionnement sont également concernées, en tant que bénéficiaires de droits nouveaux.
Elles ont désormais le droit de :
Par exemple, un transporteur qui utilise des véhicules connectés pourra récupérer les données de géolocalisation et de consommation pour optimiser ses tournées, ou un industriel pourra extraire les données d’utilisation d’une machine connectée, même si le fabricant voulait les garder pour lui.
→ Dans un cadre B2B ou B2C via des services ou produits connectés
Il est important de comprendre que le Data Act ne se limite pas à l’Internet des objets (IoT).
Il s’applique à toute activité économique dans laquelle des données numériques sont collectées, analysées, stockées ou échangées entre acteurs, qu’il s’agisse d’une relation entre entreprises (B2B) ou entre une entreprise et un consommateur (B2C).
Autrement dit, un éditeur SaaS, un site e-commerce, une plateforme marketing, ou même une PME qui collecte et analyse des données clients sont tous concernés par le Data Act.
For example:
Nous avons les acteurs concernés par le Data Act et ce que cela implique pour chacun d’eux. Passons maintenant aux changements concrets, présentés mesure par mesure.
Pour savoir précisement ce que cela change pour vous en tant qu’entreprise, vous pouvez aussi consulter ce feed LinkedIn dédié au Data Act.
Ce qui dit le texte : les entreprises et consommateurs qui produisent des données (par exemple via des objets connectés, des applications ou des services SaaS) bénéficient désormais de règles claires sur qui peut utiliser ces données, comment et à quelles conditions.
L’idée est d’éviter les zones grises contractuelles et les abus, tout en garantissant que les entreprises qui collectent ou hébergent ces données continuent à investir dans leur qualité et leur sécurité.
Le Data Act crée un cadre de confiance.
Avant, chaque contrat devait définir de zéro qui avait le droit de faire quoi avec les données. Désormais, les droits et devoirs de chaque partie sont harmonisés à l’échelle européenne. En d’autres termes, le producteur de donnée sait ce qu’il peut partager ou non, l’utilisateur sait ce qu’il peut exploiter, et les règles de confidentialité sont les mêmes partout dans l’Union européenne.
Dans la pratique, cela facilite le partage et la circulation des données entre fournisseurs, partenaires et clients, tout en garantissant la sécurité juridique des contrats. Les éditeurs pourront aussi s’appuyer sur des clauses contractuelles types rédigées par la Commission européenne, pour simplifier leurs CGU, par exemple.
Ce que dit le texte : Le Data Act veut protéger les entreprises contre les clauses abusives imposées par des acteurs beaucoup plus puissants (grands fournisseurs de cloud, éditeurs dominants, plateformes incontournables, etc.).
La Data Act veut équilibrer la relation contractuelle. Lorsque vous signerez un contrat avec votre fournisseur SaaS, vous aurez un cadre de négociation plus juste et davantage de transparence. Les éditeurs ne pourront plus imposer unilatéralement des conditions de sortie, d’export ou d’usage des données défavorables.
Ce que dit le texte : Les autorités publiques (collectivités, organismes de santé, autorités de sécurité civile, etc.) pourront accéder à certaines données détenues par le secteur privé, dans des situations d’intérêt général ou d’urgence publique (catastrophes naturelles, crises sanitaires, etc.).
Cela renforce la coopération public-privé et la réactivité en cas de crise. Mais le texte précise bien que cet accès doit rester proportionné et respecter la confidentialité commerciale et la protection des données personnelles.
Il s’agit de la fameuse mesure contre le “vendor lock-in” (verrouillage contractuel des clients).
Ce que dit le texte : Le Data Act crée un cadre pour permettre aux clients de changer plus facilement de fournisseur de services de traitement de données (SaaS, cloud, PaaS, etc.).
Jusqu’ici, changer de CRM ou de fournisseur cloud pouvait être un casse-tête : contrats abusifs sur plusieurs années, formats de données incompatibles, coûts élevés, absence d’API, export impossible… Désormais les fournisseurs SaaS devront :
Par exemple, si vous souhaitez changer de fournisseur de CRM SaaS, vous pouvez désormais résilier à tout moment, avec un préavis de 30 jours. Votre éditeur est dans l’obligation de faciliter la portabilité et documenter les processus d’export/migration.
Vous devenez enfin le seul maître de votre donnée. Nous partageons cette philosophie : chez Sidely, nos clients ont toujours été propriétaires de leurs données et ont toujours pu les exporter à n’importe quel moment.
Le Data Act réexamine certains aspects du droit sui generis sur les bases de données (directive 96/9/CE). L’objectif est de clarifier dans quels cas un producteur de base peut interdire ou non la réutilisation de données, notamment quand celles-ci sont issues de l’Internet des objets (IoT).
Ce que dit le texte : Certaines entreprises s’appuyaient sur le “droit sur les bases de données” pour bloquer l’accès ou la réutilisation des données qu’elles hébergeaient, même si ces données provenaient d’un utilisateur ou d’un appareil connecté appartenant à un client. Le Data Act vient corriger ce déséquilibre.
Cela veut donc dire que si vous utilisez un appareil connecté, une application SaaS ou une plateforme qui collecte des données, vous devez pouvoir récupérer et exploiter ces données. Les éditeurs ne peuvent plus se retrancher derrière le droit des bases de données pour vous en refuser l’accès.
Jusqu’à présent, beaucoup d’entreprises signaient des contrats SaaS avec engagement de longue durée, souvent 24 ou 36 mois, sans réelle possibilité de sortie anticipée. En cas d’insatisfaction ou de changement de stratégie, il était fréquent de rester « coincé » : l’éditeur détenait vos données, les formats étaient fermés, et les frais de migration prohibitifs.
Le Data Act met fin à cette situation : « Le client peut à tout moment mettre fin à son contrat de service de traitement de données, moyennant un préavis raisonnable, sans frais disproportionnés ni obstacle technique. » (Article 23 du Règlement UE 2023/2854)
À partir de septembre 2025, tout client d’un SaaS pourra mettre fin à son contrat à tout moment, en respectant simplement un préavis raisonnable.
Dans la pratique, la plupart des prestataires aligneront ce délai sur 30 jours.
Cela signifie :
Si vous utilisez actuellement un CRM terrain avec un engagement de 36 mois. Vous souhaitez passer à un outil plus mobile ou plus adapté à votre force de vente : vous pourrez résilier avec un simple préavis d’un mois, demander la restitution de vos données et migrer vers un nouveau fournisseur.
Par chance, chez Sidely, nous pouvons migrer rapidement vos données !
Le Data Act réaffirme un principe fondamental : les données générées par l’usage d’un service vous appartiennent. L’éditeur SaaS n’est plus propriétaire des informations que vous saisissez.
Vous obtenez donc :
Les formats fermés ou non documentés ne seront plus tolérés.
Un CRM devra par exemple vous permettre d’extraire l’ensemble de vos clients, opportunités, visites, historiques, rapports, et configurations, sous un format lisible (CSV, JSON, XML…) et exploitable par un autre système.
Le Data Act instaure un droit clair : vous êtes libre de changer de fournisseur de service SaaS, à tout moment, sans blocage technique ni frais abusifs.
Les éditeurs devront garantir :
Cette portabilité s’applique aussi bien entre fournisseurs concurrents qu’entre environnements cloud différents.
Vous pourrez ainsi migrer d’une plateforme américaine vers un fournisseur européen sans obstacle technique majeur, ce qui renforce aussi votre souveraineté numérique.
Le texte vise clairement à supprimer le verrouillage des clients (« vendor lock-in ») et à favoriser la concurrence loyale entre éditeurs SaaS.
Le règlement prévoit que le prestataire doit maintenir l’accès au service jusqu’à la fin de la période de préavis ou jusqu’à ce que la migration des données soit terminée.
Cette disposition protège les entreprises contre les interruptions brutales de service. Vous restez opérationnel pendant que vos données sont transférées.
Dans un CRM, cela signifie : vos commerciaux peuvent continuer à travailler, saisir leurs rapports de visite et accéder à leurs historiques pendant que la bascule technique s’effectue en arrière-plan.
Jusqu’à présent, certains fournisseurs facturaient des “frais de récupération de données” ou de “désactivation de compte” pouvant atteindre plusieurs centaines d’euros.
Le Data Act encadre strictement ces pratiques :
Vous ne paierez donc plus pour récupérer ce qui vous appartient déjà.
Chez Sidely, l’export de vos données est déjà libre et gratuit.
Un fournisseur de CRM hybride combine généralement :
Un exemple typique est un CRM installé sur vos serveurs internes, mais qui synchronise les données commerciales sur une application mobile hébergée par l’éditeur.
Dans ce cas-là, le Data Act s’applique uniquement sur la partie Cloud / SaaS du service. Cela signifie que que votre fournisseur doit permettre l**’exportation complète** des données stockées dans la partie cloud, garantir la portabilité vers un autre prestataire, supprimer les frais de sortie abusifs et maintenir l’accès au service pendant la période migration. Si nous reprenons notre exemple, votre base clients est hébergée en local, mais vos rapports, cartes de visite, et données mobiles sont synchronisés sur le cloud du fournisseur. Vous pouvez demander à exporter toutes les données de la partie hébergée (rapports, cartes de visite, données mobiles), dans un format ouvert et les transférer vers un autre fournisseur cloud.
Néanmoins, vous ne pourrez pas le faire sur la base clients. En effet, le Data Act ne s’applique pas directement à ce qui est hébergé exclusivement dans votre infrastructure interne, puisque vous contrôlez déjà ces données. Mais, le fournisseur doit quand même garantir que les données peuvent être exportées dans un format ouvert, ne pas imposer de verrouillage technique (format propriétaire rendant l’export impossible), et informer clairement le client sur la distinction entre ce qui relève du local et du cloud.
Donc, si vous vous rendez compte que votre base de données propriétaire est sans option d’export sur votre application locale, vous êtes dans votre droit de demander à votre éditeur une solution technique de migration, sinon il serait en contradiction avec l’esprit du Data Act.
Le Data Act interdit désormais le “lock-in” contractuel pour les services de traitement de données dans le cloud. Les fournisseurs ne peuvent plus restreindre l’accès à vos données hébergées, ni empêcher leur transfert vers un autre prestataire, ni facturer indûment ces opérations.
En revanche, pour les solutions hybrides, l’application est plus nuancée. Si votre contrat porte sur une licence logicielle installée localement (on-premise), la réglementation ne s’applique pas directement à la licence, car elle ne relève pas du traitement de données au sens du texte. Toutefois, dès qu’une partie du service repose sur le cloud (synchronisation, sauvegarde, support distant…) alors le Data Act s’applique. Autrement dit, un fournisseur ne peut ni restreindre votre accès à vos propres données, ni conditionner leur transfert à des frais abusifs, dès lors qu’elles sont hébergées à distance. Même si votre solution est partiellement locale, ces obligations s’appliquent à la partie cloud. Toutefois, pour la partie purement locale (installée sur vos serveurs), il peut exister un engagement de maintenance ou de licence, mais le fournisseur ne peut plus l’utiliser pour verrouiller la donnée elle-même.
Mais qu’en est-il des logiciels uniquement on-premise ? Si vous utilisez une solution installée exclusivement sur vos serveurs, le Data Act ne s’applique pas. La licence logicielle locale ne relève pas du champ des “services de traitement de données”. Vous ne bénéficiez donc pas, dans ce cas, des nouveaux droits sur la portabilité, la résiliation ou l’interdiction des frais.
En tant qu’entreprise cliente d’une solution hybride, vous devez :
Commencez par examiner vos contrats SaaS ou CRM existants :
Si ces éléments sont flous, c’est le moment de préparer la transition.
Vous pouvez d’ores et déjà négocier un avenant anticipant les règles du Data Act. De nombreux fournisseurs accepteront d’ajuster leurs conditions pour conserver votre confiance.
Le Data Act rend la migration plus facile, mais elle doit être anticipée :
Chez Sidely, par exemple, l’équipe d’intégration accompagne les clients dans l’export et l’import de leurs données pour assurer une migration fluide et sans perte.
Désormais, le choix d’un CRM ne se fera plus seulement sur les fonctionnalités ou le prix, mais aussi sur la transparence des conditions contractuelles, la facilité d’export et d’interopérabilité, et la conformité au Data Act.
Avant de signer, posez ces questions :
Un éditeur clair et transparent sur ces points est un partenaire de confiance.
Le Data Act est aussi une opportunité stratégique.
Bref, le Data Act remet la donnée au service de votre performance, et non l’inverse.
Les éditeurs devront désormais :
Pour vous, utilisateur d’un CRM, cela signifie plus de clarté et moins de risques. Les conditions générales ne pourront plus dissimuler de contraintes abusives ou de clauses de renouvellement automatique sans consentement explicite.
Le Data Act marque une rupture profonde dans le monde du SaaS : les entreprises ne sont plus liées par des contrats à long terme ni prisonnières de leurs données.
À partir de septembre 2025, vous pourrez résilier librement, exporter vos informations et changer de CRM ou de fournisseur SaaS sans craindre de perdre votre historique ni de subir des coûts déraisonnables.
Cette évolution est bien plus qu’un changement juridique : c’est une transformation culturelle.
La donnée redevient un actif stratégique que vous contrôlez.
Le marché du SaaS, lui, devient plus transparent, plus compétitif et plus centré sur la valeur réelle pour le client.
Anticipez dès maintenant. Vérifiez vos contrats, évaluez vos fournisseurs et choisissez des partenaires qui respectent déjà ces principes.
Si vous cherchez un CRM mobile conçu pour les équipes itinérantes et déjà conforme à l’esprit du Data Act, testez Sidely !
