III. ACCOMPAGNER LA LIBRE CIRCULATION DES DONNÉES TOUT EN ASSURANT LA PROTECTION DE CERTAINES D'ENTRE ELLES
La liberté de circulation des données étant loin d'être effective, la proposition de règlement s'attache à corriger certains obstacles juridiques et techniques identifiés en matière de changement de fournisseur de services de traitement des données et d'interopérabilité.
Elle organise en outre une protection des données à caractère non personnel afin d'empêcher certains transferts internationaux de données.
A. DONNER UNE PORTÉE EFFECTIVE À LA POSSIBILITÉ DE CHANGER DE FOURNISSEUR DE SERVICES DE TRAITEMENT DES DONNÉES
Le service de traitement des données « permet la gestion à la demande et un large accès à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées de nature centralisée, distribuée ou fortement distribuée » (art. 2 (12)). Il est constitué de trois couches.
Les trois couches du cloud IaaS (infrastructures as a Service) : ressources informatiques brutes proposées par le prestataire de services, utilisées pour virtualiser une infrastructure ou pour des projets exigeants en ressources (machine learning, big data, hébergement etc.) PaaS (Plateform as a Service) : plateforme accessible en ligne qui permet aux utilisateurs de créer des applications et des logiciels sans devoir en assurer la maintenance SaaS (Software as a Service) : logiciel fonctionnant sur une infrastructure cloud dont l'utilisateur paie la licence sans s'occuper ni du stockage des données ni de l'entretien du matériel physique. |
1. Un marché caractérisé par une très forte concentration
Le marché de l'informatique en nuage (cloud) est fortement concentré et les pratiques de verrouillage mises en place par ses très grands acteurs empêchent les utilisateurs de changer de fournisseurs et, par voie de conséquence, le développement de nouveaux fournisseurs de services de traitement des données sur le marché européen.
a) Un marché particulièrement concentré
Le marché des services de traitement de données est caractérisé par une très forte concentration. 90% du marché mondial est en effet détenu par trois fournisseurs américains (AWS, Microsoft Azure et Google Cloud), et un chinois (Alibaba), et 72% du marché européen par les trois mêmes fournisseurs américains (Microsoft Azure, AWS et Google Cloud).
Cette situation de domination se renforce continuellement. En effet, même si leur activité a connu une croissance significative au cours des dernières années, la part de marché des acteurs européens tend à régresser. L'industrie européenne du cloud a ainsi vu ses parts de marché diminuer de moitié en l'espace de 5 ans (27 % en 2017, 13 % en 2022).
b) Des pratiques avérées de verrouillage (lock in)
Les très grands acteurs du marché des services de traitement de données (hyperscalers) renforcent leur position dominante en multipliant des pratiques techniques, juridiques ou financières visant à verrouiller le marché et empêchent ainsi les utilisateurs de changer de fournisseur ou de recourir à plusieurs fournisseurs (multicloud).
Sur un plan technique, on relève en particulier le recours à des formats propriétaires et l'absence d'interopérabilité des données, qui empêchent les services de l'utilisateur de fonctionner dans un environnement cloud différent de celui du fournisseur d'origine, ou encore les fonctionnalités dégradées d'une application SaaS quand elle est utilisée dans un cloud (IaaS) non fourni par son fournisseur de SaaS.
Des moyens juridiques sont également utilisés comme l'absence de dispositifs permettant ou prévoyant la transition entre fournisseurs de services de cloud ou le recours au multicloud. C'est ainsi que les contrats de long terme ne comportent souvent pas de clause de sortie anticipée pour motif légitime, pas plus qu'ils ne prévoient la réversibilité, la portabilité, ou l'interopérabilité des données.
Sur un plan financier, il apparaît que le coût affiché des transferts de données est particulièrement élevé, ce qui dissuade le client de changer de fournisseur. Le montant des frais de sortie imposés (egrees fees) est ainsi généralement déconnecté du cout réel de transfert des données.
Par ailleurs, des avantages sont utilisés comme produits d'appels pour attirer puis retenir le client. Les grands opérateurs distribuent en effet très largement des credits cloud qui permettent une utilisation gratuite de leurs services pendant un à deux ans afin de les tester, attirant ainsi les utilisateurs à un stade précoce de leur développement. À l'issue de la période d'essai gratuit, les utilisateurs doivent basculer dans un mode payant pour conserver leur service cloud ou s'acquitter de frais de sortie élevés pour changer de fournisseur.
On constate également des abus de position de marché. Les hyperscalers convertissent ainsi leur position forte au sein d'une couche de leur service de traitement des données en une position dominante au sein d'autres couches, par exemple :
- en empêchant le client d'utiliser un logiciel majeur qu'il propose dans leur cloud dans un service proposé par un concurrent ;
- en augmentant les coûts de licence lorsque le logiciel est utilisé dans un autre environnement de traitement des données ;
- en appliquant des mesures de représailles, - par exemple des audits abusifs -, lorsqu'un client tente de changer de fournisseur, de renégocier son contrat ou même d'adopter une stratégie multicloud incluant pourtant son fournisseur initial ;
- en pratiquant la vente liée ;
- en proposant des groupements de logiciels incluant leurs services à des prix inférieurs à ceux de la concurrence.
Cette industrie étant relativement récente, la situation concurrentielle n'est pas encore pleinement appréhendée par les pouvoirs publics. Des enquêtes ont toutefois été ouvertes par des autorités de concurrence, notamment en France, au Royaume-Uni et aux Pays-Bas.
L'étude de marché publiée en septembre 2022 par l'Autorité de la concurrence néerlandaise a ainsi constaté que les principaux fournisseurs de services de traitement de données cherchent désormais à devenir des « guichets uniques » pour les utilisateurs, ce qui empêche d'autres acteurs de proposer des solutions alternatives.
En outre, la récente législation européenne sur les marchés numériques (DMA) et la proposition de règlement sur les données traduisent une volonté croissante des autorités et des pouvoirs publics de se saisir du sujet et d'agir en faveur d'un meilleur fonctionnement concurrentiel du marché des fournisseurs de services de traitement des données.
2. Une ambition forte : supprimer les obstacles au changement de fournisseur
Le chapitre VI de la proposition de règlement entend supprimer les obstacles commerciaux, techniques, contractuels et organisationnels aux changements de fournisseur de services de traitements de données qui permettent aux hyperscalers de verrouiller le marché de l'informatique en nuage.
a) Des obligations imposées au fournisseur initial pour permettre le changement
Le fournisseur initial de services de traitement des données serait désormais soumis à un ensemble d'obligations (art. 23) :
- permettre au client de résilier le contrat couvrant le service après un préavis dont la durée ne peut excéder 30 jours calendaires ;
- ne pas l'empêcher de conclure de nouveaux accords avec un autre fournisseur de services de même nature ;
- mettre en oeuvre le portage des données, applications et autres actifs numériques vers un autre fournisseur de services de traitement de données, à la demande du client ;
- maintenir l'équivalence fonctionnelle du service dans l'environnement informatique des différents fournisseurs de services de traitement de données couvrant le même service.
La proposition de règlement détaille en outre certains aspects du cadre juridique, y compris contractuel, et technique (art. 26) du changement de fournisseur.
b) Un changement préparé
Afin de les rendre pleinement opposables, la proposition de règlement prévoit que les droits du client et les obligations du fournisseur de services de traitement de données doivent être clairement énoncés dans un contrat écrit, comportant des clauses permettant au client de changer de fournisseur ou de transférer vers un système sur place les données, applications et actifs numériques qu'il a directement ou indirectement générés.
Afin de préparer un tel changement, le contrat doit en particulier comporter une spécification exhaustive de toutes les catégories de données et d'applications exportables, dont une liste a minima est établie (art. 24§1, b) et prévoir un délai d'extraction des données à la fin de la période transitoire (art. 24§1, c).
Durant cette période, le fournisseur initial doit apporter son aide dans le processus de migration et assurer la pleine continuité dans la fourniture des fonctions et services.
c) L'interdiction à terme de facturer des frais de changement
La proposition de règlement interdit dorénavant au fournisseur initial de facturer des frais au client pour le changement de fournisseur (art. 25). La suppression de ces frais ne s'appliquerait toutefois que progressivement et à horizon de trois ans. D'ici là, leur montant ne pourrait pas excéder les coûts directement liés au changement supportés par le fournisseur (art. 25).
3. Il faut appuyer les perspectives de développement d'offres concurrentielles
Les mesures proposées apparaissent de nature à permettre aux clients de pouvoir changer de fournisseur de services de traitement des données lorsqu'ils le souhaitent.
Les rapporteurs de la commission des affaires européennes estiment toutefois que certains compléments pourraient y être utilement apportés afin que le client soit pleinement informé en la matière. Surtout, le calendrier de mise en oeuvre du cadre proposé leur paraît devoir être fortement accéléré pour permettre d'atteindre l'objectif de rééquilibrage du marché de l'informatique en nuage.
a) Renforcer l'information du client
Pour que le droit de changer de fournisseur soit effectif, la proposition de règlement définit certaines des clauses qui doivent figurer dans les contrats définissant les relations entre le client et le fournisseur.
Les rapporteurs préconisent de prévoir également une information du client sur les modalités d'exercice de ce droit avant qu'il décide de recourir aux services d'un fournisseur de services de traitement des données, afin qu'il soit informé de ce droit ainsi que des conditions, coûts et modalités de changement de fournisseur.
Préalablement à l'acceptation de son offre, le fournisseur de services de traitement des données doit informer le client des conditions, coûts et modalités de changement de fournisseur. |
En raison de la complexité technique de la mise en oeuvre du transfert des données et applications et de la période transitoire en cas de changement de fournisseur de services de traitement des données, la proposition de règlement prévoit un accompagnement et une information du client. Les rapporteurs estiment que le contenu et l'objet de cette information devraient être précisés.
Lorsqu'un client demande à changer de fournisseur de services de traitement des données, le fournisseur initial doit lui donner une information précise sur les étapes techniques du processus de migration ainsi que sur les diligences qu'il mettra en oeuvre. |
Certaines pratiques très généralisées devraient par ailleurs être interdites. Ainsi en est-il en particulier des techniques d'appel qui consistent à proposer une phase d'utilisation gratuite des services à l'issue de laquelle le client ne peut demander à changer de fournisseur.
Le fournisseur de services de traitement des données ne doit pas pouvoir empêcher un client de changer de fournisseur au motif que celui-ci aurait bénéficié d'une phase d'utilisation gratuite de ses services. |
b) Prévoir une mise en oeuvre rapide de la suppression des frais de sortie
Les rapporteurs de la commission des affaires européennes considèrent excessive la durée du délai - trois ans - prévu par la proposition de règlement pendant lequel serait mise en oeuvre progressivement la suppression des frais facturés par le fournisseur initial au client qui décide de recourir à un autre fournisseur de services de traitement des données : une telle durée est de nature à retarder les demandes de changement de fournisseur.
En effet, elle pénaliserait le développement des nouveaux acteurs, en particulier européens et briderait la concurrence, confortant ainsi la position dominante des hyperscalers sur ce marché, au détriment des utilisateurs.
Le délai de trois ans pendant lequel les fournisseurs initiaux de services de traitement des données doivent progressivement supprimer les frais de sortie en cas de demande de changement de fournisseur empêchera les fournisseurs de services européens de développer leur présence sur le marché intérieur et pénalisera les utilisateurs. |