Les données constituent une base centrale des entreprises modernes. Elles naissent dans les services numériques, les logiciels, les documents, les processus, les systèmes de communication et les applications d’IA. Pour que les entreprises puissent utiliser ces données de manière pertinente, il faut des règles claires : qui peut utiliser quelles données ? Comment les données peuvent-elles être mises à disposition ? Comment sont-elles protégées ? Et comment un changement entre services numériques peut-il être organisé de manière équitable ?

C’est précisément là qu’intervient le Data Act de l’UE.

La désignation exacte est :

Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 relatif à des règles harmonisées pour un accès équitable aux données et une utilisation équitable des données, et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données).

Le règlement s’applique en principe depuis le 12 septembre 2025, certaines dispositions pouvant toutefois avoir des dates d’application différentes.

Qu’est-ce que le Data Act de l’UE ?

Le Data Act de l’UE est un règlement européen visant une gestion des données plus équitable, plus transparente et mieux encadrée. Il doit faciliter l’accès à certaines données, créer des conditions équitables pour l’utilisation des données et empêcher que les entreprises ne deviennent inutilement dépendantes de fournisseurs ou de systèmes individuels.

Il ne s’agit pas d’une divulgation incontrôlée des données. Le Data Act tient expressément compte des intérêts de protection, notamment la protection des données, les secrets d’affaires, les exigences de sécurité et les droits des tiers. Les données à caractère personnel restent protégées par le RGPD.

La Commission européenne décrit le Data Act comme un cadre pour l’accès aux données et leur utilisation, destiné à promouvoir la disponibilité des données, l’innovation et l’équité dans l’économie des données.

À quoi sert le Data Act de l’UE ?

Le Data Act de l’UE doit offrir davantage de clarté aux entreprises, aux utilisatrices et utilisateurs ainsi qu’aux autorités publiques dans leur التعامل avec les données. Les points particulièrement importants sont :

• un accès équitable à certaines données,
• des règles transparentes pour l’utilisation des données,
• de meilleures possibilités de changement entre services numériques,
• une protection contre des conditions contractuelles inappropriées,
• la promotion de la concurrence et de l’innovation,
• la protection des données non personnelles contre les accès illicites,
• une meilleure portabilité et interopérabilité des données.

C’est particulièrement pertinent pour les services cloud, logiciels et de traitement des données. Les fournisseurs ne doivent pas compliquer inutilement les changements de prestataire et les transferts de données. La Commission européenne précise expressément que les clients doivent pouvoir passer d’un service de traitement des données à un autre sans perdre leurs données ni des fonctions essentielles ; les données doivent au moins pouvoir être exportées dans un format courant et lisible par machine.

Pourquoi est-ce important pour l’IA ?

Les systèmes d’IA travaillent avec des données. Il s’agit par exemple de documents, d’entrées, de bases de connaissances, d’historiques de conversation, d’informations de projet, de configurations, de résultats d’analyse ou de sorties générées.

Pour les entreprises, il est donc essentiel que l’IA ne conduise pas à une perte de contrôle sur leurs propres données. Un bon système d’IA doit être compréhensible, pilotable et sûr. Les entreprises doivent pouvoir mieux exploiter leurs connaissances sans perdre la maîtrise de leurs propres informations.

Le principe de Vimmera est donc le suivant :

L’IA doit rendre les connaissances de l’entreprise utilisables, et non les lui retirer.

Comment Vimmera prend-il en compte le Data Act de l’UE ?

Vimmera développe et exploite des solutions d’IA pour les entreprises. Selon la solution client, différentes données peuvent être traitées, par exemple des documents, des informations de processus, des contenus de conversation, des bases de connaissances, des fichiers de projet, des informations utilisateur, des paramètres techniques ou des entrées et sorties de systèmes d’IA.

L’application concrète du Data Act de l’UE dépend toujours du système concerné, de la finalité d’utilisation, du contrat et des données en présence. Vimmera prend donc en compte les exigences du Data Act dans le cadre de la solution client respective, des possibilités techniques et de la licéité juridique.

Transparence sur les données et les systèmes

Vimmera attache de l’importance au fait que les clients puissent comprendre comment une solution d’IA est construite, quelles données sont utilisées et dans quel but le traitement est effectué.

Les systèmes d’IA ne sont pas considérés comme des boîtes noires incontrôlées, mais comme des outils clairement définis au sein d’un processus d’entreprise concret. Cela inclut des rôles, autorisations, sources de données, fonctions et limites du système clairement définis.

Traitement limité à une finalité

Chez Vimmera, les données ne sont pas utilisées arbitrairement. Le traitement s’effectue dans le cadre de la finalité convenue et de la solution client respective.

Un système est donc configuré pour une tâche concrète, par exemple la recherche interne de connaissances, des fonctions d’assistance, l’analyse de documents, la rédaction de comptes rendus, le support, la traduction ou l’aide aux processus.

L’utilisation des données clients à d’autres fins n’a pas lieu sans base appropriée.

Protection des connaissances de l’entreprise

Les connaissances de l’entreprise sont particulièrement dignes de protection. Cela inclut les documents internes, les processus, les contenus de conversation, les informations techniques, les dossiers de projet, les contrats, les bases de connaissances et le savoir-faire organisationnel.

Vimmera protège ces informations par des mesures techniques et organisationnelles telles que des restrictions d’accès, des concepts d’autorisations, des espaces de données séparés, le chiffrement, la journalisation et des accès système contrôlés.

Le principe est le suivant :

Accès uniquement là où il est nécessaire à la finalité concernée.

Remise, export et possibilités de changement

Les données clients appartiennent aux clients. Vimmera ne fera pas obstacle au fait que les clients puissent recevoir leurs propres données, les sauvegarder ou les transférer vers d’autres systèmes.

Conformément aux accords contractuels respectifs, aux possibilités techniques et à la licéité juridique, Vimmera met à la disposition de ses clients, sur demande, notamment en cas de fin de contrat ou de demande légitime de remise, les données reçues, mises à disposition ou téléchargées par le client concerné dans un format techniquement exploitable et approprié.

Cela peut notamment inclure :

• les documents et fichiers fournis par le client,
• les contenus de Vimmera Cortex,
• les données issues de dossiers de projet, d’outils ou d’agents,
• les données clients structurées et les bases de connaissances,
• les listes de comptes utilisateurs,
• les règles de rôles et d’accès,
• les paramètres et configurations pertinents,
• la documentation relative aux fonctionnalités logicielles fournie dans le cadre des accords contractuels.

L’objectif est une transparence et une équité maximales dans le traitement des données clients. Les clients doivent pouvoir comprendre quelles données ont été intégrées et quelles informations sont nécessaires pour un traitement interne ultérieur ou un changement ordonné.

Les exigences en matière de protection des données, les droits des tiers, les secrets d’affaires, les exigences de sécurité et les mesures de protection techniques sont pris en compte.

Ne sont pas inclus dans la remise les propres droits de protection, les composants internes du système et la propriété intellectuelle de Vimmera. Cela comprend notamment les prompts système, les logiques internes de stockage et de traitement, les embeddings, les configurations propriétaires, les méthodes internes, les choix d’architecture technique, le code source, les logiques d’exploitation ainsi que tout autre savoir-faire de Vimmera.

En bref :

Les données clients restent des données clients. Les données et le savoir-faire de Vimmera restent la propriété de Vimmera.

Des règles contractuelles claires

Vimmera travaille sur des bases contractuelles transparentes. Selon le projet, cela comprend des descriptions de prestations, des règles de protection des données, des accords de sous-traitance, des mesures techniques et organisationnelles, des règles de confidentialité ainsi que des dispositions relatives à l’accès, à l’export, à la suppression et à l’utilisation des données.

Il est ainsi clairement défini quelles données sont traitées, à quelle fin et quels droits et obligations existent.

Penser ensemble protection des données et Data Act

Le Data Act de l’UE ne remplace pas le RGPD. Dès lors que des données à caractère personnel sont traitées, les exigences du RGPD continuent de s’appliquer sans restriction.

Vimmera considère donc les exigences du Data Act conjointement avec la protection des données, la sécurité informatique, la confidentialité, les concepts de rôles et de droits ainsi qu’avec d’autres exigences relatives à une IA responsable.

Notre compréhension

Le Data Act de l’UE correspond à notre compréhension d’une IA responsable.

L’IA ne doit pas rendre les entreprises dépendantes, mais plus capables d’agir. Les entreprises doivent pouvoir mieux exploiter leurs connaissances sans perdre le contrôle de leurs données.

C’est pourquoi Vimmera développe des solutions d’IA avec des finalités claires, des structures sûres et des règles compréhensibles.

Notre objectif n’est pas d’utiliser les données de la manière la plus extensive possible. Notre objectif est de rendre les données utiles, sûres et contrôlées là où elles créent une véritable valeur ajoutée.