Data Act : la fin des pratiques anticoncurrentielles dans le cloud ?

Comme nous en parlions dans notre récent podcast, il existe de nombreux obstacles empêchant les clients de changer de fournisseur de services cloud, on parle de « commutation cloud ». Quelques prestataires étasuniens (Azure et AWS) dominent le marché et dictent leurs conditions ce qui est incompatible avec les principes d’une concurrence libre et non faussée. L’adoption croissante du cloud par les PME, l’internet des objets et les projets de villes intelligentes poussent la croissance des services de cloud dont le marché est estimé à 4.4 milliards USD d’ici 2033.

Puisque les pratiques anticoncurrentielles de ces ‘hyperscalers’ empêchent une nouvelle économie plus ouverte de s’épanouir, l’Union européenne et la France passent à l’offensive.

Une autorégulation neutralisée par les hyperscalers du cloud

S’il est un élément essentiel des architectures informatiques, c’est bien le cloud. Depuis 2018, c’est une approche d’autorégulation du marché du cloud en Europe qui a été prônée avec l’adoption de codes de conduite (art.6). Ces derniers n’ont produit qu’un effet limité sur le changement de fournisseur de services en nuage : deux codes furent élaborés par le SWIPO Working Group, l’un pour les marchés IaaS et l’autre pour les SaaS, ainsi que des documents de définition de l’entité légale de gouvernance des codes de conduite.

Et pour cause : les principaux fournisseurs ont rendu difficile l’implication des utilisateurs, notamment via le CIGREF, dont les attentes en termes d’interopérabilité logicielle et de portabilité des licences logicielles furent écartées. 

De plus, l’indisponibilité générale de normes et d’interfaces ouvertes on conduit à envisager d’adopter un ensemble d’obligations réglementaires minimales pour les fournisseurs de services de traitement de données afin d’éliminer les obstacles contractuels, économiques et techniques au passage effectif d’un service de traitement de données à un autre (Data Act, réc.80).

La Commission européenne ayant constaté ce blocage a initié une consultation publique en 2021 dont les résultats sont éloquents :

• L’insécurité et les obstacles juridiques, les freins commerciaux et le manque d’infrastructures appropriées figuraient parmi les principaux facteurs entravant le partage de données entre entreprises et administrations publiques et
•  76 % des répondants perçoivent l’accès potentiel aux données par des autorités étrangères sur la base de la législation étrangère comme un risque pour leur organisation, 19 % indiquant qu’il s’agit d’un risque majeur.

Droit au portage des données, applications et actifs numériques, restrictions quant aux frais de changement de fournisseur et protection des données du cloud dans un contexte international

Dans sa proposition de règlement européen fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données, la Commission européenne impose aux fournisseurs de traitement de données une restriction au droit d’exercer leur activité économique au motif que les nouvelles règles s’attaquent au problème de l’effet de verrouillage sur le marché de l’informatique en nuage et améliorent le choix des services de traitement de données pour les entreprises utilisatrices et les particuliers (chapitre VI).

Le texte a ainsi pour but de créer des « conditions de concurrence équitables et innovantes pour les entreprises axées sur les données et l’autonomisation des citoyens ».

Les opérateurs historiques du cloud devront permettre portage des données, applications et autres actifs numériques vers un autre fournisseur de services de traitement de données. Un dispositif est prévu pour la suppression progressive des frais de changement de fournisseur : changement sans frais dans un délai de 3 ans puis à coûts réduits dans d’autres situations.

Cette restriction est assortie d’un mécanisme de suivi des frais de changement imposés aux fournisseurs de services de traitement des données. La Commission adoptera aussi des actes délégués pour préciser davantage les exigences essentielles en matière d’interopérabilité et publiera la référence des spécifications d’interopérabilité ouvertes et des normes européennes pour l’interopérabilité des services de traitement des données.

Le texte offre également plusieurs mesures de nature à garantir la protection des données du cloud dans un contexte international telles que :

• Empêcher le transfert à l’échelle internationale de données à caractère non personnel détenues dans l’Union ou l’accès des gouvernements tiers à celles-ci dans les cas où ce transfert ou cet accès serait contraire au droit de l’Union,
• Toute décision ou tout jugement d’une juridiction et toute décision d’une autorité administrative d’un pays tiers exigeant d’un fournisseur de services de traitement des données qu’il transfère ou donne accès à des données doit être fondé sur un traité d’entraide judiciaire.

Le mercredi 10 mai 2023, Jean-Noël Barrot, ministre déléguée à la Transition numérique et aux Télécommunications a justement présenté en Conseil des ministres un projet de loi interdisant les coûts liés à l’utilisation de la bande passante liés aux frais de transfert de données d’un fournisseur à l’autre et les frais relatifs aux opérations techniques nécessaires au transfert d’actifs numériques seront réglementés. Vouée à faciliter la sortie des contrats de services passés avec des entités non françaises/européennes, et anticipant le Digital Markets Act et le Digital Services Act mais surtout le Data Act, la France met en place une porte d’accès vers cloud souverain.

Reste à présent à trouver une offre de stockage avec des options intéressantes…

La semaine passée, j’ai eu le plaisir d’échanger avec Sébastien ALBERT sur le rôle de la fonction achats dans la recherche de souveraineté numérique dans le cloud. Nous avons parlé de l’interopérabilité et de la propriété des données dans le cloud, de ce que fait le prestataire de service de cloud de vos données si vous sortez du contrat et du rôle des achats dans la stratégie cloud de l’entreprise.