Régulation des « crédits cloud », interdiction des pratiques d’autopréférence, mesures pour faciliter le changement de fournisseur et renforcer les exigences en matière de localisation des données, etc. : la loi visant à sécuriser et réguler l'espace numérique comporte un important volet sur les contrats d’informatique en nuage. Présentation de ses principales dispositions par Me Viet et Me Hanriot.
1. La loi 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, dite loi SREN, poursuit de nombreux objectifs dont la lutte contre certaines pratiques commerciales sur le marché des services d’informatique en nuage (ou services cloud). En effet, selon le législateur, certaines pratiques sont susceptibles d’entraîner une dépendance des entreprises utilisatrices auprès de leurs prestataires, notamment des géants du numérique, ce qui est de nature à empêcher l’émergence de nouveaux acteurs.
Le nouveau cadre législatif mis en place par la loi SREN devrait permettre à l’ensemble des entreprises, et en particulier aux PME, de recourir, dans des conditions favorables, aux solutions cloud. Il s’agit pour le législateur d’un enjeu stratégique de souveraineté numérique au regard de la forte croissance attendue sur ce marché.
Régulation des pratiques commerciales des opérateurs de cloud
2. Afin de rétablir un équilibre entre les fournisseurs de cloud et leurs clients, la loi encadre certaines pratiques courantes sur le marché des services d'informatique en nuage, qui sont de nature à altérer la liberté de choix et le jeu de la concurrence.
Encadrement des avoirs commerciaux d’informatique en nuage
3. L’« avoir d’informatique en nuage » est défini par la loi SREN comme « un avantage octroyé par un fournisseur de services d'informatique en nuage à un client, utilisable sur ses différents services, sous la forme d'un montant de crédits offerts ou d'une quantité de services offerts ».
4. Réguler ces avoirs est essentiel pour limiter le risque de dépendance des entreprises utilisatrices. Celles-ci sont en effet fortement incitées à souscrire un contrat auprès des opérateurs de cloud qui leur proposent l’offre d’avoirs la plus généreuse. Par la suite, les clients qui ont bénéficié des avoirs peuvent d’une certaine manière devenir captifs de ces primo-fournisseurs. Cet état des lieux est à nuancer car certains fournisseurs de services cloud prévoient des clauses facilitant la portabilité et l’interopérabilité de leurs services. Selon le législateur, toutefois, certaines situations peuvent conduire à une concurrence entravée sur le marché et à des prix élevés pour les entreprises, ainsi qu’à des possibilités de négociation très résiduelles.
5. L’article 26 de la loi, qui crée un nouvel article L 442-12 dans le Code de commerce, régule cette pratique. Ce crédit ne pourra désormais être octroyé que pour une durée limitée et ne pourra être assorti d'aucune condition d'exclusivité. Un décret en Conseil d'Etat doit préciser pour les différents types d’avoirs une durée de validité maximale, laquelle ne peut excéder un an, y compris en cas de renouvellement de l’avoir. Sa publication est envisagée en novembre 2024.
6. Le montant des sanctions prévues par la loi en cas de manquement est dissuasif. En effet, l’amende administrative encourue pour une personne morale est d’un million d'euros, montant porté à deux millions d'euros en cas de réitération du manquement dans un délai de deux ans (C. com. art. L 442-12, III nouveau).
7. Ces dispositions entreront en vigueur après la publication du décret d’application prévu par la loi.
Ventes liées et pratiques d’autopréférence
8. Poursuivant le même objectif de limiter les risques d’entrave au libre jeu de la concurrence, l’article 26 de la loi interdit les ventes liées dès lors que celles-ci constituent une pratique commerciale déloyale, au sens de l'article L 121-1 du Code de la consommation (C. com. art. L 442-12, IV nouveau). On entend ici par ventes liées les pratiques visant à subordonner la vente d'un produit ou d'un service à la conclusion concomitante d'un contrat de fourniture de services d'informatique en nuage. L’intégration ou l’utilisation d’une suite de produits et de services est toutefois une pratique courante, notamment lorsqu’elle offre un meilleur niveau de sécurité ou de fiabilité aux utilisateurs. Dans le cadre d’offres techniques complexes, il est ainsi difficile de déterminer si ces pratiques constituent de manière avérée des pratiques prohibées.
9. L’article 26 permet aussi le signalement des pratiques d’autopréférence définies comme « le fait, pour un fournisseur de services d'informatique en nuage qui fournit également des logiciels, de fournir un logiciel à un client par le biais des services d'un fournisseur de services d'informatique en nuage tiers dans des conditions tarifaires et fonctionnelles qui diffèrent sensiblement de celles dans lesquelles le fournisseur fournit ce même logiciel par le biais de son propre service d'informatique en nuage, lorsque ces différences de tarifs et de fonctionnalités ne sont pas justifiées ».
10. L'Autorité de la concurrence pourra se saisir de tout signalement effectué vis-à-vis des pratiques d’autopréférence et les sanctionner ou adopter toute mesure nécessaire (C. com. art. L 442-12, V nouveau). Il est également prévu que le régulateur de la concurrence établisse dans un délai de dix-huit mois un premier bilan concernant ces pratiques et qu’il se positionne sur l’opportunité ou la nécessité de faire évoluer la législation (Loi 2024-449 art. 26, II).
11. La loi SREN semble distinguer les pratiques de vente liée, sanctionnées par le Code de la consommation, et d’autopréférence telles que définies par la loi SREN, en s’appuyant sur le caractère obligatoire ou non de l’achat groupé : l’autopréférence consisterait à offrir (sans justification technique) un tarif avantageux pour la souscription d’un deuxième produit ou service, mais sans y contraindre l’acheteur, contrairement à la vente liée. Cette ligne de partage mériterait probablement d’être éclaircie et questionnée.
12. Ces dispositions sont entrées en vigueur le 23 mai 2024.
Facilitation du changement d’opérateur de cloud
Des frais de transfert strictement encadrés et de nouvelles obligations d’information
13. La loi SREN a également pour vocation de permettre aux entreprises de changer plus facilement de fournisseur en encadrant strictement les frais de transfert. La facturation de frais excessifs peut représenter en effet une vraie barrière pour les clients désireux de recourir à d’autres opérateurs. Or, en la matière, les pratiques semblent très disparates, les frais de sortie pouvant varier de 1 à 3 selon les opérateurs, sans que cette variation ne repose sur des coûts objectifs (voir étude d’impact p. 118). En l’absence de régulation, ces frais de transfert de données d'un service à l'autre devraient par ailleurs augmenter puisque le volume de données stockées ne cesse de croître.
Le coût de migration pouvant représenter plusieurs millions d’euros, certaines entreprises sont dans les faits dans l’incapacité de changer de fournisseur. Ainsi, selon l’étude d’impact du projet de loi, les coûts de changement de fournisseur peuvent être chiffrés actuellement à 125 % des coûts d’abonnement annuels. 99 % des utilisateurs de services d’informatique en nuage ont par ailleurs déclaré avoir encouru des frais de transfert représentant en moyenne 6 % de leurs coûts d’utilisation de services d’informatique en nuage (étude d’impact p. 129).
14. Pour tenter d’y remédier, l’article 27 de la loi interdit à tout opérateur de cloud de facturer à ses cocontractants des frais de transfert de données dans le cadre d'un changement de fournisseur supérieurs aux coûts supportés par le fournisseur initial et directement liés à ce changement, et cela dans la limite d’un plafond qui sera fixé par arrêté sur proposition de l’Arcep.
15. Par ailleurs, de nouvelles obligations d’information sont imposées. Les opérateurs de cloud doivent désormais communiquer à leurs clients, avant la signature du contrat, l’ensemble des informations relatives aux frais de transfert de données et de changement de fournisseur, notamment la nature et le montant de ces frais. Les clients doivent également être informés de toute évolution de ces frais pendant la durée du contrat. Pour les contrats en cours, une information expresse des clients sur les frais de transfert est prévue.
16. Ces dispositions entreront en vigueur après la publication de l’arrêté fixant le montant maximal de tarification des frais.
L’article 64 de la loi SREN prévoit que ce dispositif s’appliquera jusqu'au 12 janvier 2027. En effet, à cette date, le règlement sur les données (Règl. UE 2023/2854 du Parlement européen et du Conseil du 13-12-2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données et modifiant le règlement UE 2017/2394 et la directive UE 2020/1828, dit « Data Act »), qui prévoit un dispositif équivalent, en ses articles 23 et 24, entrera en vigueur.
Des obligations en matière de portabilité et d’interopérabilité
17. L’encadrement des frais de transfert s’accompagne de nouvelles obligations de portabilité des actifs numériques et d'interopérabilité (Loi 2024-449 art. 28) à la charge des fournisseurs de services d'informatique en nuage. Celles-ci permettront de favoriser la migration des données vers les services du client comme vers ceux fournis par d'autres opérateurs de cloud.
L'interopérabilité, qui permet de garantir la reproduction ou le redéploiement des services à fonctionnalités égales d'un fournisseur à un autre, est un enjeu clé pour accroître la compétitivité sur le marché du cloud. En effet, selon le législateur, le manque d'interopérabilité incite les vendeurs de logiciels à développer leurs services sur des infrastructures qui
appartiennent aux opérateurs de cloud les plus utilisés afin de toucher le plus de clients possible.
18. Les exigences de portabilité et d’interopérabilité seront précisées par l’Arcep (Loi 2024-449 art. 29), qui devra éditer des spécifications techniques ouvertes et des standards harmonisés. La loi précise que l’autorité compétente pourra mandater des organismes de normalisation afin de définir des standards, mais les travaux parlementaires laissent entendre que l’Arcep s'appuiera en priorité sur les normes existantes.
19. Par ailleurs, les opérateurs devront publier et mettre à jour une offre de référence technique qui détaille la mise en œuvre des mesures de portabilité et d’interopérabilité (Loi 2024-449 art. 29). Cette nouvelle obligation vise à renforcer la transparence sur les pratiques des fournisseurs et donc le libre choix des clients. Elle est également de nature à favoriser l’utilisation simultanée de plusieurs services d’informatique en nuage (multi-cloud).
20. L’article 64 de la loi SREN prévoit que ce dispositif s’appliquera jusqu'au 12 janvier 2027. En effet, à cette date, le règlement sur les données (Règl. Data Act 2023/2854 du 13-12-2023), qui prévoit un dispositif équivalent, entrera en vigueur.
Pouvoirs de contrôle de l’Arcep
21. L’Arcep est l’autorité chargée de s'assurer du respect des obligations d'interopérabilité et de portabilité par les fournisseurs de services d'informatique en nuage. Cette désignation répond aux exigences de l’article 37 du Data Act, qui prévoit que « Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement ».
22. Pour mener à bien sa mission, l’autorité pourra user de son pouvoir de recueil des informations et des documents, ainsi que de son pouvoir d'enquête (Loi 2024-449 art. 30). La loi introduit également une procédure de saisine de l'Autorité de la concurrence par l'Arcep en cas d’abus de position dominante et de pratiques entravant le libre exercice de la concurrence dont elle pourrait avoir connaissance dans le secteur de l'informatique en nuage.
23. Si l'Arcep peut se saisir d'office en cas de manquement, elle peut également faire usage de son pouvoir de sanction à la demande du ministre chargé de l'économie, d'une organisation professionnelle, d'une association agréée d'utilisateurs ou de toute personne physique ou morale concernée.
24. Les sanctions pouvant être prononcées par l’Arcep sont dissuasives. En effet, quand bien même elles sont proportionnées à la gravité du manquement et aux avantages qui en sont tirés, leur montant peut aller jusqu’à 3 % du chiffre d'affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans.
25. Le renforcement des pouvoirs de l'Arcep, qui a vocation à devenir le « gendarme du cloud », doit cependant s’accompagner d’une hausse des moyens qui lui sont alloués et qui sont nécessaires à l'accomplissement de ses missions de régulateur. A cet égard, les débats parlementaires indiquent à plusieurs reprises que de nouveaux moyens conséquents lui seront alloués dans la loi de finances 2025. Reste à savoir si cet engagement sera suivi d’effets.
Renforcement des exigences en matière de localisation des données
26. Tout d'abord, il convient de noter que le nouveau cadre législatif discuté (artile 26 à 30) s'appliquera aux fournisseurs cloud établis en France, dans l'Union européenne et hors Union européenne (art. 35).
27. Ensuite, si la loi SREN cherche à renforcer l’industrie française et européenne du cloud, elle vise également à renforcer la souveraineté numérique et le niveau de protection face aux législations extraterritoriales. En effet, les risques sont particulièrement importants concernant les données dites sensibles (par exemple, données de santé, données nécessaires à l'accomplissement des missions essentielles de l'Etat, etc.).
L’article 31 de la loi prévoit ainsi que, si un système informatique concerné traite de données sensibles, l'administration de l'Etat, ses opérateurs et les groupements d’intérêt public devront veiller à ce que le service d'informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisés par le droit de l'Union européenne. Un décret en Conseil d’Etat, dont la publication est envisagée en novembre 2024, viendra préciser les modalités d’application de ces exigences, et notamment le point de savoir si le recours à un prestataire disposant d’une certification appelée « SecNumCloud », certification conférée au niveau national par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et présentée comme un rempart ultime aux législations extraterritoriales, sera obligatoire.
28. Enfin, bien qu’aujourd’hui la plupart des opérateurs de services de cloud offrent des garanties quant aux potentiels accès extraterritoriaux aux données, il conviendra de suivre avec attention la position du Gouvernement sur cette obligation et les éventuelles contraintes qu’elle pourrait faire peser sur les utilisateurs, notamment sur les sociétés du secteur de l’innovation et de la e-santé.
Affaire à suivre…
Article paru dans le BRDA du 1er septembre 2024
