Anticipant certaines règles du règlement européen sur les données (Data Act), la loi SREN intègre des dispositions concernant les fournisseurs de cloud et les entreprises de services cloud afin de limiter les pratiques anticoncurrentielles dans le secteur de l’informatique en nuage.
Après un long et laborieux parcours législatif, le projet de loi visant à sécuriser l’espace numérique a été adopté le mercredi 10 avril par l’Assemblée nationale. Le texte doit, sinon solutionner, protéger les internautes en luttant activement contre le cyberharcèlement, les arnaques sur Internet et la diffusion des propos haineux. Il comprend également une orientation plutôt tournée vers les entreprises, notamment autour du sujet du cloud et de la limitation des pratiques anticoncurrentielles.
Des frais de transfert maîtrisés
En effet, dans l’optique de réduire la dépendance des organisations aux hyperscalers tels qu'Amazon, Microsoft et Google, qui détiennent à eux seuls près de 70% des parts de marché, plusieurs mesures sont prévues par le texte pour encadrer les services cloud français, extra-européens et européens (après désignation par arrêté). Au menu, des mesures finalement assez proches de ce que prévoit le Data Act européen, entré en vigueur en janvier 2024 et qui sera applicable à partir de septembre 2025.
La loi SREN prévoit ainsi un encadrement des frais de transfert de données et de migration vers une autre infrastructure cloud, un plafonnement à un an des crédits cloud (avoirs commerciaux), ainsi qu’une obligation pour les services d'être interopérables. L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) est chargée de l’application de ces mesures. Concernant les frais de transfert, ils seront facturés selon une tarification fixée par arrêté de la SENUM après proposition de l’Arcep. Le non-respect de cette tarification pourra entraîner des amendes jusqu’à 3% du CA mondial, et jusqu’à 5% en cas de récidive. Les fournisseurs de cloud ne pourront plus facturer de frais de transfert de données supérieurs aux frais réels.
Dans certains cas, des mesures de sécurité complémentaires
Anticipant ces règles, les trois grands hyperscalers ont supprimé les frais de sortie dans le cadre du transfert de l’ensemble des données vers un autre opérateur. Les clients ayant adopté une infrastructure hybride ou multicloud sont pour l’heure encore exclus.
Les opérateurs de cloud devront garantir l’interopérabilité et la portabilité des données entre les différentes solutions concurrentes sur le marché. L'Arcep définira les règles à cet égard. Les avoirs commerciaux, utilisés par les entreprises pour fidéliser leurs clients et critiqués par certains comme moyen de captation de clientèle, seront limités à un an maximum.
Les fournisseurs de cloud devront également être transparents sur les mesures prises pour empêcher l’accès illégal aux données de leurs clients. Ils devront publier des informations relatives aux juridictions dont dépendent leurs infrastructures et décrire les mesures de protection mises en œuvre.
Enfin, les prestataires cloud de l’État traitant des données sensibles devront appliquer des mesures de sécurité complémentaires. Par exemple, l’archivage de données de santé devra être assuré dans des infrastructures labellisées « Hébergeurs de données de santé » (HDS).