Services cloud : point sur la réglementation applicable

Services cloud : point sur la réglementation applicable
⏱ Lecture 7 min

Par Haas Avocats

Les services cloud sont au cœur de nombreuses attentions depuis quelques mois, notamment en raison de leur importance dans la chaine de valeur de l’intelligence artificielle générative et plus généralement dans l’économie des plateformes.

Diverses réglementations européennes traitent indirectement de ces services. Plus récemment la loi SREN est venue préciser les contours de certaines notions liées au cloud et imposer des conditions commerciales équilibrées en anticipation de la réglementation européenne.

C’est l’occasion de faire le point sur la réglementation applicable.

« Service d’informatique en nuage » : définition et enjeux

La loi SREN est venue créer au sein du code de commerce et fournit la définition suivante du service d’informatique en nuage :

« un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services ».

Dans son avis n° 23-A-08 du 29 juin 2023, l’Autorité de la concurrence avait dessiné le paysage des services d’informatiques en nuage, distinguant trois grandes catégories de services :

  1. Les services IaaS (« Infrastructure as a Service » ou service d’infrastructure) correspondant au service « dans lequel le fournisseur met à disposition de l’utilisateur les infrastructures informatiques, notamment des serveurs ou du stockage» ;
  2. Les services PaaS (« Platform as a Service » ou service de plateforme) fournissant « un environnement permettant aux clients de bénéficier de logiciels et d’outils pour développer leurs applications sans avoir à créer ni entretenir l’infrastructure ou la plateforme associée au processus» ;
  3. Les services SaaS (« Software as a Service » ou services de logiciel) permettant « à l’utilisateur d’accéder directement à des applications, gérées intégralement par le fournisseur, depuis tout appareil connecté».

L’Autorité de la concurrence précise également que les principaux acteurs de la chaine de valeur du cloud sont :

  • Les exploitants de centres de données ;
  • Les fournisseurs présents dans le secteur numérique avant leur entrée dans le secteur du cloud, au rang desquels figurent les géants numériques comme Amazon, Alphabet et Microsoft (dits hyperscalers) ou encore des entreprises issues du secteur des logiciels et systèmes d’information d’entreprises ou des opérateurs de communications électroniques ;
  • Les fournisseurs présents uniquement dans le secteur du cloud (dits pure player), tels que OVH Cloud ou Scaleway ;
  • Les fournisseurs proposant des offres certifiées « cloud de confiance » ;
  • Les entreprises de service numérique intégrant ou accompagnant les clients auprès des fournisseurs de services cloud.

Un des principaux enjeux associés tient, plus que dans la souscription à ces services cloud, dans leur tarification ou encore dans la migration des systèmes informatiques vers le cloud.

Concernant plus spécifiquement la tarification, l’Autorité a relevé que la tarification à l’usage (« pay as you go »), soit par unité consommée, était la plus répandue. Si les fournisseurs publient leurs tarifs sur leur site internet, une certaine opacité demeure avec une difficulté pour les utilisateurs à anticiper leurs budgets ou même leurs besoins.

L’Autorité de la concurrence dégage deux types de pratiques économiques :

  • D’une part, les crédits cloud, lesquels visent à permettent aux clients d’avoir une réduction de dépenses pour certains services cloud éligibles. L’autorité précise que leurs montants peuvent varier « de quelques dizaines à un millier d’euros, pour une durée ne dépassant en général pas trois mois».
  • D’autre part, un modèle de tarification fondé sur la facturation des transferts de données (vers un autre fournisseur ou vers les infrastructures sur site de l’entreprise)[1].

Ces différentes caractéristiques du secteur permettent de mieux comprendre les réglementations européennes et françaises, lesquelles s’appliquent en fonction de la typologie de l’acteur, de la nature de la pratique tarifaire ou encore de la migration des données.

Les principales problématiques de concurrence dégagées par l’Autorité de la concurrence

Comme beaucoup de secteurs liés à l’économie numérique, le cloud est marqué par une forte présence des géants du numérique (hyperscalers) qui disposent, par rapport aux concurrents européens ou français, d’une avance technologique certaine et de ressources financières conséquentes.

L’Autorité, qui appelle à une surveillance du marché, a dégagé les risques concurrentiels suivants :

  • Un risque de déséquilibre des relations entre les clients utilisateurs et les hyperscalers rendant difficile la négociation des contrats ;
  • Une absence de transparence des coûts liés au cloud pour les raisons précitées ;
  • Un risque lié aux propositions de « crédit cloud » qui paraissent difficilement rentables pour les fournisseurs ;
  • Un risque de verrouillage du marché par les grands fournisseurs en lien avec les coûts techniques et financiers liés à la migration qui pourrait être renforcé par la présence de clauses ou pratiques de nature à limiter la capacité à changer de fournisseur ou à recourir simultanément à plusieurs fournisseurs.

Ces principaux risques concurrentiels éclairent sur les positions de régulation prises tant au sein de la réglementation européenne que française.

Le point sur la réglementation européenne et française

Diverses réglementations, européennes ou françaises, sont susceptibles de s’appliquer au secteur du cloud, soit en fonction de la qualité du fournisseur, soit en fonction de la nature de la prestation technique et/ou de la relation contractuelle.

Au niveau européen, on peut citer les deux règlements suivants : le Digital Market Act (DMA) et le Data Act (DA).

Au niveau français, la loi SREN est venue intégrer, au sein du code de commerce, des dispositions spécifiques au cloud afin notamment de rétablir le rapport de force entre les fournisseurs et les utilisateurs.

Entrons dans le détail de chacune de ces réglementations.

DMA

Le DMA vise à lutter contre les pratiques anti-concurrentielles mises en œuvre par les géants du numérique et permettre l’émergence d’une alternative européenne. Il s’applique aux services de plateformes essentiels proposés par les entreprises entrant dans la définition des « contrôleurs d’accès » (gatekeepers).

Majoritairement constitués de géants du numérique, les hyperscalers pourraient être désignés comme contrôleurs d’accès en application du DMA et partant, se voir appliquer certaines obligations qui pourraient venir limiter les effets restrictifs de concurrence de certaines de leurs pratiques.

Sont visées par l’Autorité de la concurrence les obligations suivantes :

  • L’interdiction, sauf consentement exprès de l’utilisateur, de combiner les données à caractère personnel provenant d’un service de plateforme essentiel avec les données provenant d’un autre service ;
  • L’interdiction d’exiger des entreprises utilisatrices du service ou des utilisateurs finaux qu’ils s’abonnent au service, comme condition pour utiliser l’un des services essentiels du contrôleur d’accès ;
  • L’interdiction d’utiliser les données générées par les entreprises utilisatrices ;
  • L’obligation d’assurer la portabilité effective et gratuite des données de l’utilisateur ou produites par l’activité de l’entreprise sur le service ;
  • L’obligation de fournir aux entreprises utilisant le service un accès gratuit, continu et en temps réel aux données fournies ou produites dans le cadre de l’utilisation du service.

DA 

Le DA vise à permettre une répartition équitable de la valeur des données (de toute nature) générées par l’internet des objets, en établissement un ensemble de règles claires pour l’accès et l’utilisation des données et notamment pour le passage d’un service à un autre.

Les obligations suivantes pourraient trouver à s’appliquer concernant le cloud :

  • L’obligation de permettre aux clients de changer de fournisseur et la possibilité de recourir simultanément à plusieurs fournisseurs ;
  • L’obligation de transparence, au sein de clauses contractuelles encadrant le changement de fournisseur, concernant les droits du client et les obligations du fournisseur ;
  • La suppression progressive, après une période transitoire[2], des frais de changement de fournisseur ;
  • L’obligation de permettre la portabilité des données et l’interopérabilité.

La loi SREN[3] n° 2024-449 du 21 mai 2024

La loi SREN vient encadrer certaines pratiques des fournisseurs cloud en créant un nouvel article L442-12 au sein du code de commerce. Sont concernées les pratiques suivantes liées :

  • A l’octroi de crédits cloud ;
  • Aux frais de sortie ;
  • A l’interopérabilité ;
  • A l’auto-préférence.

Le crédit cloud (« avoir d’informatique en nuage ») est défini comme :

« un avantage octroyé par un fournisseur de service d’informatique en nuage à un client, utilisable sur ses différents services, sous la forme d’un montant de crédits offerts ou d’une quantité de services offerts ».

Le nouvel article définit également la notion d’auto-préférence :

« le fait pour un fournisseur de service d’informatique en nuage qui fournit également des logiciels, de fournir un logiciel à un client par le biais des services d’un fournisseur de service d’informatique en nuage tiers dans les conditions tarifaires et fonctionnelles qui diffèrent sensiblement de celles dans lesquelles le fournisseur fournit ce même logiciel par le biais de son propre service d’informatique en nuage, lorsque ces différences de tarifs et de fonctionnalités ne sont pas justifiées ».

Sont désormais interdites les pratiques suivantes :

  • L’octroi par un fournisseur de services cloud d’un avoir informatique en nuage (crédit cloud) pour une durée illimitée et assorti d’une condition d’exclusivité de quelque nature que ce soit[4].

Le non-respect de cette interdiction est puni d’une amende administrative d’un montant maximal de 200.000 euros pour une personne physique et 1 million d’euros pour une personne morale.

  • La subordination de la vente d’un produit ou d’un service à la conclusion concomitante d’un contrat de services cloud (pratique de vente liée sanctionnée au titre des pratiques commerciales déloyales).

La loi interdit également la facturation de frais de transfert ou de changement de fournisseur, qui ne seraient pas justifiés par les coûts exposés par le transfert ou le changement[5] ;

Enfin, la loi SREN impose également diverses obligations aux fournisseurs de services cloud :

  • Une obligation d’information claire et compréhensible sur les frais de transfert et de changement de fournisseur, laquelle doit être remplie avant la signature du contrat ;
  • Une interopérabilité du service cloud avec les services du client et les services équivalents proposés par d’autres fournisseurs cloud.

Ces nouvelles dispositions devraient, en complément de la réglementation européenne, dynamiser le secteur et permettre de faire jouer une concurrence réelle par la qualité du service et les prix.

Les nouvelles obligations imposées aux fournisseurs de services cloud par la loi SREN nécessitent une mise à jour de leurs conditions contractuelles.

N’hésitez pas à faire appel à un cabinet spécialisé afin qu’il vous accompagne dans la démarche de conformité aux nouvelles dispositions ou qu’il vous assiste dans la négociation de vos contrats cloud ou la défense de vos droits.

**** 

Si vous souhaitez bénéficier d’un accompagnement personnalisé : spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, le Cabinet HAAS Avocats accompagne de nombreux acteurs dans le cadre de leurs problématiques relatives au droit des plateformes et au droit de la concurrence. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

[1] Modèle principalement utilisé par les hyperscalers.

[2] A compter du 12 janvier 2027. Néanmoins et dès le 11 janvier 2024, les fournisseurs ne peuvent imposer que des frais de changement réduits ne pouvant dépasser les couts supportés par le changement et directement liés au processus de changement.

[3] Loi visant à sécuriser et à réguler l’espace numérique.

[4] Un décret viendra préciser les différents types de crédit cloud et leur associer une durée de validité maximale, laquelle ne peut excéder un an « y compris si l’octroi du crédit est renouvelé.

[5] Interdiction qui anticipe les dispositions présentes au sein du Data Act.

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin