Loi SREN : dynamiser la concurrence sur le marché du Cloud

Loi SREN : dynamiser la concurrence sur le marché du Cloud

Ce qu’il faut retenir

La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”) a été adoptée le 21 mai 2024. L’un des objectifs de la loi est de réduire la dépendance des utilisateurs aux fournisseurs de services Cloud (particulièrement les GAFAM) en prévoyant un certain nombre de mesures pour fluidifier le marché, mais également de renforcer la protection des données stratégiques et sensibles de l’administration dans le cadre de l’utilisation de ces services.


La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”), adoptée le 21 mai 2024, couvre des thématiques très diverses, telles que la protection des mineurs contre la pornographie et la régulation des contenus, la lutte contre la cybercriminalité, la possibilité de changer plus facilement de prestataire cloud ou l’adaptation de notre réglementation pour la mise en oeuvre du DSA et du DMA. (1)  

Compte tenu de la diversité des thématiques couvertes par la loi SREN, celles-ci seront abordées dans une série d’articles distincts.

* * * * * * *

Le marché du Cloud computing (“informatique en nuage”) est dominé par un petit nombre de géants du web, tels que Google, Amazon (AWS), Microsoft (Azure), Apple (iCloud), IBM ou Alibaba. Or, les contrats proposés par ces prestataires sont très souvent captifs, limitant la possibilité pour les utilisateurs de passer aisément d’un prestataire à un autre, ou rendant ces transferts particulièrement lourds techniquement (problème d’interopérabilité) et coûteux, même lorsque des procédures de sortie de contrat (réversibilité) ont été prévues en amont.

La loi SREN comprend un volet informatique en nuage, dont le but est de fluidifier le marché des services Cloud en réduisant la dépendance des entreprises utilisatrices aux fournisseurs de services et par conséquent, en favorisant le développement de l’industrie française et européenne du Cloud computing.

La loi définit la notion de service d’informatique en nuage comme “un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services.” (2) Cette définition couvre toute la gamme des services Cloud : SaaS, PaaS, IaaS.

Plusieurs mesures sont prévues pour dynamiser la concurrence sur le marché du Cloud. La loi prévoit par ailleurs un renforcement de la protection des données stratégiques et sensibles sur le Cloud.


1. Dynamiser la concurrence sur le marché du Cloud computing

La loi SREN prévoit plusieurs séries de dispositions pour réduire la dépendance des utilisateurs aux fournisseurs de services et permettre une plus grande fluidité du marché du Cloud computing mais également plus de transparence vis-à-vis des utilisateurs. Ces mesures portent notamment sur l’encadrement de la pratique des crédits Cloud ou “avoirs d’informatique”, l’encadrement des frais de transfert des données et des frais de changement de fournisseur, l’obligation de fournir des services Cloud interopérables et une obligation de transparence de la part des fournisseurs de services Cloud.

    - L’encadrement de la pratique des “crédits Cloud” ou “avoirs d’informatique” (3)
La pratique de l’octroi de crédits Cloud par le fournisseur en début de contrat, consistant à accorder au client un accès gratuit à certains services ou un avoir sur les prochaines factures, a été identifiée comme captive, dans la mesure où ces offres sont parfois accordées pour une durée longue et peuvent être équivalentes à des sommes élevées. En parallèle, les utilisateurs sont souvent obligés de contracter des services connexes pour utiliser la plateforme Cloud du fournisseur.

Désormais, l’octroi d’avoirs d’informatique en nuage aux personnes exerçant des activités de production, de distribution ou de services, reste autorisée, sous réserve que l’avoir d’informatique en nuage :
          - soit limité dans le temps (un an maximum), et
          - ne soit pas assorti d’une condition d’exclusivité de l’utilisateur vis-à-vis du fournisseur.

Les différents types d’avoirs d’informatique en nuage et leur durée de validité maximum doivent être précisés par décret. (4)

La conclusion d’un contrat en violation de ces dispositions est punie d’une amende administrative d’un montant maximum d’un million d’euros pour une personne morale. Ce montant est doublé en cas de réitération du manquement.

    - L’encadrement des frais de transfert des données et des frais de changement de fournisseur (5)
Un autre frein à la concurrence consiste en la facturation de frais de transfert des données d’un prestataire Cloud vers un - ou plusieurs - nouveau(x) prestataire(s), voire pour le transfert d’une plateforme Cloud vers une infrastructure sur site, et la facturation de frais de changement de fournisseur. La clé de calcul de ces frais de transfert repose souvent sur le volume des données à transférer. Ces frais peuvent donc atteindre des montants substantiels, sans rapport avec les coûts réels d’un tel transfert.

Les frais de transfert de données seront désormais encadrés et ne pourront pas être supérieurs aux coûts supportés par le fournisseur de services et directement liés à ce changement. Ces frais ne pourront excéder le montant maximal de tarification fixé par arrêté du ministre chargé du numérique.

L’ARCEP est par ailleurs chargée de publier des lignes directrices relatives aux coûts susceptibles d’être pris en compte dans la détermination des frais de changement de fournisseur de services.

Des informations sur les frais de transfert de données et de changement de fournisseur devront être communiquées par les fournisseurs avant la conclusion du contrat et en cas d’évolution de ces frais.

Il est précisé que ces obligations ne s’appliquent pas aux services Cloud conçus sur mesure pour répondre aux besoins d’un client particulier (Clouds privés par exemple), ni aux services fournis pour une durée limitée à des fins d’essai et d’évaluation.

    - L’obligation de fournir des services Cloud interopérables (6)
La fourniture de services non interopérables a également été identifiée comme un frein à la concurrence et à la fluidité du marché du Cloud.

En réponse à cette problématique, la loi SREN dispose que les fournisseurs de services Cloud doivent assurer la conformité de leurs services aux exigences essentielles suivantes :
          - l’interopérabilité et la portabilité des actifs numériques (logiciels, applications) et des données exportables (données d’entrée et de sortie, métadonnées générées directement ou indirectement par le client) dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d’autres prestataires pour le même type de service, et
          - pour la mise en oeuvre de ces exigences d’interopérabilité et de portabilité, la mise à disposition gratuite aux clients et aux fournisseurs tiers, d’API suffisamment détaillées pour permettre la communication avec le service.

A cette fin, l’ARCEP devra préciser les règles et modalités de mise en oeuvre de ces exigences et publier les spécification techniques d’interopérabilité et de portabilité.

L’ARCEP pourra en outre sanctionner les manquement des fournisseurs de services Cloud à ces obligations.

Ces obligations ne s’appliquent pas aux services Cloud conçus sur mesure pour répondre aux besoins d’un client particulier, ni aux services fournis pour une durée limitée à des fins d’essai et d’évaluation.

    - Une obligation de transparence (7)
La loi SREN impose plus de transparence aux fournisseurs de services Cloud. Ces derniers devront communiquer les informations suivantes sur leur site internet :
          - les juridictions compétentes concernant l’infrastructure déployée pour le traitement des données dans le cadre de leurs différents services ;
          - une description générale des mesures techniques, organisationnelles et contractuelles mises en oeuvre afin d’empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l’Union européenne ou le transfert de ces données par des Etats tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national ; et
          - l’empreinte environnementale de leurs services.

A noter que l’entrée en application de certaines de ces dispositions est soumise à la publication de textes complémentaires (décrets d’application, arrêtés, lignes directrices, etc.). L’ARCEP voit son périmètre d’intervention élargi avec le contrôle de la mise en oeuvre de ces nouvelles obligations.

Par ailleurs, les dispositions relatives à l’encadrement des frais de transfert des données et des frais de changement de fournisseur, à l’interopérabilité des services et à la transparence (hors information sur l’empreinte environnementale) ne s’appliqueront que pendant une durée limitée à 30 mois, soit jusqu’au 12 janvier 2027. (8)


2. Renforcer la protection des données stratégiques et sensibles sur le Cloud

Pour lutter contre les ingérences étrangères, la loi SREN prévoit des mesures visant à protéger les données stratégiques et sensibles des administrations de l’Etat, traitées ou stockées sur le Cloud. (9)

Ces données sont identifiées comme des “données d’une sensibilité particulière”, définies comme “les données qui relèvent de secrets protégés par la loi (…) et les données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.”

Il s’agit de divers documents, dont les avis du Conseil d’Etat et des juridictions administratives, les documents élaborés ou détenus par l’Autorité de la concurrence dans le cade de ses enquêtes, instructions ou décisions, les documents élaborés ou détenus par la Haute Autorité pour la transparence de la vie publique, ou les rapports d’audit des établissements de santé par exemple. Cette liste inclut également les documents dont la consultation ou la communication porterait atteinte au secret des délibérations du Gouvernement et des ministères, au secret de la défense nationale, à la conduite de la politique extérieure de la France, à la sûreté de l’Etat, etc. (10)

Les fournisseurs de services Cloud qui stockeraient ou traiteraient des données d’une sensibilité particulière de l’administration doivent fournir un service offrant un niveau de sécurité et de protection des données renforcé, garantissant notamment la protection de ces données contre tout accès par des autorités publiques d’Etats tiers, non autorisé par le droit européen ou d’un Etat membre.

Afin de permettre aux fournisseurs de services Coud de se mettre en conformité avec ces nouvelles exigences techniques, des délais sont prévus d’une part pour la définition des critères, d’autre part pour les projets en cours : un décret en Conseil d’Etat viendra préciser les critères de sécurité et de protection requis dans un délai de six mois à compter de l’entrée en vigueur de la loi ; les projets en cours à la date de l’entrée en vigueur de la loi peuvent être soumis à une dérogation d’une durée maximale de dix-huit mois à compter de la date à laquelle une offre de services conforme à ces exigences est disponible en France.

* * * * * * * * * * *


(1) Loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. Voir plus particulièrement les articles 26 à 39.
(2) Loi SREN art. 26, créant un nouvel article L.442-12 du code de commerce
(3) Loi SREN art. 26 et 27
(4) Nouvel article L.442-12 II du code de commerce
(5) Loi SREN art. 27
(6) Loi SREN art. 28 à 30
(7) Loi SREN art. 33 à 35
(8) Loi SREN art. 64
(9) Loi SREN art. 31 et 32
(10) art L.311-5 et L.311-6 du code des relations entre le public et l’administration

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2024