La loi visant à sécuriser et à réguler l’espace numérique, dite loi SREN, promulguée le 21 mai 2024 a pour ambition de garantir un espace numérique plus sûr pour les internautes, notamment les mineurs, et plus équitable pour les entreprises. Focus sur les dispositions destinées à réduire la dépendance des entreprises vis-à-vis des fournisseurs de services informatiques dans le cloud par Claudia Weber, avocat fondateur ITLAW Avocats et Jean-Christophe Ienné, avocat directeur des pôles Propriété Intellectuelle & Industrielle, Média & Audiovisuel et Internet ITLAW Avocats.
Dans son avis sur le fonctionnement concurrentiel de l’informatique en nuage (« cloud ») rendu le 29 juin 2023, l’Autorité de la concurrence a identifié des risques concurrentiels liés à certaines pratiques de certains fournisseurs de services cloud, susceptibles d’affecter la liberté de choix des entreprises clientes en les rendant captives.
Parmi les risques identifiés par l’Autorité de la concurrence, certains relèvent de pratiques commerciales, contractuelles et tarifaires et d’autres de freins techniques ou technologiques.
La loi SREN apporte une réponse aux constats de l’Autorité de la concurrence et introduit dans le droit positif des dispositions destinées à établir un équilibre entre fournisseurs et clients et à garantir les conditions de la fluidité de ce marché.
Certaines de ces dispositions prennent place aux côtés des dispositions du code de commerce sur les pratiques commerciales déloyales entre entreprises, comme celles relatives à l’obtention d’un avantage sans contrepartie ou à la soumission à des obligations créant un déséquilibre significatif.
Qui sont les fournisseurs de services concernés ?
Les fournisseurs concernés par ces nouvelles dispositions sont les fournisseurs de « services d’informatique en nuage », défini comme « un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services ».
Cette définition renvoie aussi bien aux fournisseurs d’hébergement, comme les hyperscalers, qu’aux éditeurs de progiciels en mode SaaS.
Quelles sont les pratiques encadrées ?
L’octroi de Credits cloud
Le constat : certains fournisseurs offrent à leurs clients au début de leurs relations commerciales des accès gratuits à leurs services sous diverses formes comme un volume de services gratuits ou un crédit à valoir sur une facture ultérieure. En raison des montants proposés parfois élevés, de la durée de ces offres qui dépasse le simple essai gratuit et des investissements annexes que le client doit engager pour réaliser sa migration, ces offres présentent le risque de verrouillage des clients.
La réponse : la loi SREN dispose que les fournisseurs ne peuvent offrir des avoirs d’informatique en nuage (credits cloud) que pour une durée limitée qui ne peut pas excéder au total une année et sans les conditionner par une exclusivité quelle qu’en soit la nature.
L’avoir d’informatique en nuage est défini comme : « un avantage octroyé par un fournisseur de services d’informatique en nuage à un client […] utilisable sur ses différents services, sous la forme d’un montant de crédits offerts ou d’une quantité de services offerts ».
Les frais de sortie
Le constat : certains fournisseurs de services cloud facturent à leurs clients le transfert de leurs données vers un fournisseur concurrent ou vers une infrastructure sur site souvent proportionnellement au volume de données transférées, sans lien avec les coûts directement supportés par eux, ce qui peut constituer pour les utilisateurs de cloud un frein au changement de fournisseur ou au recours à plusieurs fournisseurs à la fois dans un environnement multicloud.
La réponse : la loi SREN :
- interdit à tout fournisseur de facturer dans le cadre des contrats qu’il conclut avec un client des frais de changement de fournisseur supérieurs aux coûts supportés et directement liés à ce changement, cela dans la limite d’un plafond qui sera fixé par arrêté sur proposition de l’ARCEP.
- Impose aux fournisseurs de communiquer aux clients et aux potentiels clients de façon claire et compréhensible, notamment avant la signature du contrat, des informations sur les frais de transfert de données et de changement de fournisseur, y compris sur la nature et le montant de ces frais ainsi que toute évolution relative à ces informations pendant toute la durée du contrat.
L’interopérabilité :
Le constat : le secteur est marqué par des freins techniques relatifs à l’interopérabilité qui ont pour objet ou pour effet de figer le marché en rendant plus difficile le changement de fournisseur ou l’hybridation des systèmes d’information.
La réponse : la loi LREN prévoit donc une obligation pour les fournisseurs d’assurer la conformité de leurs services aux exigences essentielles suivantes :
- interopérabilité, dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d'autres fournisseurs pour le même type de service ;
- portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers ceux fournis par d'autres fournisseurs couvrant le même type de service ;
- mise à disposition gratuite aux clients et aux fournisseurs de services tiers désignés par ces utilisateurs à la fois d'interfaces de programmation d'applications nécessaires à la mise en œuvre de l'interopérabilité et de la portabilité et d'informations suffisamment détaillées sur le service d'informatique en nuage concerné pour permettre aux clients ou aux services de fournisseurs tiers de communiquer avec ce service.
L’ARCEP est chargée d’édicter des spécifications d’interopérabilité et de portabilité.
L’auto-préférence :
Le constat : certains fournisseurs qui éditent également des progiciels pratiquent parfois des tarifs différenciés portant sur leurs progiciels selon qu’ils les fournissent directement à leurs clients ou via un fournisseur tiers, ce qui peut avoir pour objet ou pour effet de dissuader le client de recourir à ce fournisseur tiers.
La réponse : cette pratique, dite d’ « autopréférence » pourra être sanctionnée par l’Autorité de la concurrence.
Une exigence de transparence renforcée
La loi SREN complète ses dispositions relatives aux pratiques déloyales entre entreprises sur le marché du cloud par des obligations de transparence imposées aux fournisseurs.
Ceux-ci devront publier :
- les informations relatives aux juridictions compétentes eu égard à l'infrastructure déployée pour le traitement des données dans le cadre de leurs différents services ;
- une description générale des mesures techniques, organisationnelles et contractuelles mises en œuvre afin d'empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l'Union européenne ou le transfert de ces données par des États tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national ;
- des informations sur l'empreinte environnementale de leurs services, notamment en matière d'empreinte carbone, de consommation d'eau et de consommation d'énergie.
Sur le dernier point, un décret viendra préciser le contenu, les modalités d'application et les délais de mise en œuvre de ces obligations.
Ces nouvelles dispositions, dont certaines nécessiteront des textes complémentaires pour être effectives, sont des outils qui doivent permettre aux utilisateurs de mieux maitriser leurs choix technologiques en éliminant des freins à la fluidité du marché.
Elles pourront servir de point d’appui lors de leurs négociations avec les fournisseurs.
Au-delà, ces dispositions marquent la prise en compte par les pouvoir publics du caractère déséquilibré de la relation client-fournisseur sur le marché du cloud et de la nécessité d’y apporter des correctifs.
Elles sont susceptibles de favoriser une prise de conscience plus générale et de déboucher sur une application plus volontariste à ce secteur des dispositions du code de commerce sur les pratiques restrictives de concurrence.
Ce qu’il faut retenir :
- La loi SREN pose des limites à l’octroi de credit cloud en termes de durée et d’exclusivité, afin de ménager aux utilisateurs une marge de liberté ;
- La loi SREN encadre et plafonne les frais de transferts de données lorsqu’un utilisateur change de fournisseurs ;
- La loi SREN ouvre la concurrence en imposant une interopérabilité et une portabilité effective ;
- Ces nouveaux outils juridiques sont de nature à rééquilibrer la relation fournisseur-client et devraient faciliter pour les clients l’élimination des contrats des fournisseurs de certaines clauses déséquilibrées.
Pensez-y lors de vos négociations contractuelles !
Claudia Weber, avocat fondateur ITLAW Avocats et Jean-Christophe Ienné, avocat directeur des pôles Propriété Intellectuelle & Industrielle, Média & Audiovisuel et Internet ITLAW Avocats