L‘Autorité de la concurrence rend public un avis relatif au projet de loi « visant à sécuriser et réguler l’espace numérique »
Publié le 26th May 2023
Saisie par le ministre délégué en charge de la transition numérique et des télécommunications (le « Ministre »), l’Autorité de la concurrence (« l’ Autorité ») s’est prononcée, dans un avis n°23-A-05 du 20 avril 2023 (« l’Avis »), sur trois articles du projet de loi visant à sécuriser et réguler l’espace numérique (le « Projet de loi »).
En particulier, l’Avis porte sur les articles concernant (i) l’encadrement des frais de transfert et des crédits d’informatique en nuage (« cloud »), (ii) les obligations d’interopérabilité des services informatiques en nuage et (iii) la régulation des services d’intermédiation, les autres articles du Projet de loi n’ayant pas été transmis à l’Autorité. Plus encore, l’Autorité précise que la régulation des services d’intermédiation n’emporte aucun enjeu concurrentiel et s’attarde donc davantage sur les deux premiers articles qui visent à encadrer les pratiques commerciales et lever des freins technologiques dans le secteur de l’informatique en nuage sur le marché français.
1) Le contexte
L’Avis définit le cloud comme une évolution technologique majeure qui permet « aux entreprises d’accéder en ligne à des capacités informatiques gérées par un fournisseur ». Ces services peuvent être déployés indifféremment via un cloud privé, public ou un cloud hybride, par deux types de fournisseurs, ceux qui proposent une diversité de services ou au contraire ceux qui sont spécialisés sur certaines catégories de cloud.
De manière générale, en France comme à l’étranger (notamment Japon, Etats-Unis, Royaume-Uni, Pays-Bas dont les autorités de concurrence ont toutes rendu un avis dans le secteur), le marché du cloud a tendance à la concentration autour de principaux acteurs de très grande taille, ayant construit des capacités d’hébergement à l’échelle mondiale (tels que Amazon, Microsoft, Google…) dits hyperscalers.
Comme le souligne l’Autorité, le contexte réglementaire du secteur du cloud est dense avec l’adoption de plusieurs règlements européens récents ou en cours d’adoption qui seront d’application directe. Parmi ceux-ci,
- le Digital Market Act (« DMA »), adopté le 14 septembre 2022 constitue une régulation asymétrique des fournisseurs de services de plateforme essentiels qui comprennent les services de cloud ; et
- la proposition de règlement sur les données (« Data Act ») adoptée par la Commission le 23 février 2022 a pour objectif d’assurer une meilleure répartition, entre les acteurs de l’économie de la donnée, de la valeur issue de l’utilisation des données ;
- le Data Governance Act (« DGA »), entré en vigueur le 23 juin 2022 pour une application à compter du 24 septembre 2023, vise à « renforcer la confiance dans le partage des données, à renforcer les mécanismes visant à accroître la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données ».
Compte-tenu de ce contexte réglementaire européen, l’Autorité suggère en premier lieu de « calquer » le régime français sur les textes européens.
2) L’articulation du Projet de loi avec les règlements européens
L’Autorité précise qu’il convient de « favoriser un encadrement au niveau européen afin de limiter d’éventuelles distorsions temporaires ainsi que des coûts d’adaptation irrécupérables ». Par exemple, la définition des hyperscalers proposée devra être conforme à celle du DMA. C’est également le cas des conditions d’interopérabilité et de portabilité d’un cloud à un autre qui seront précisées par décret, le DMA prévoyant une obligation pour les contrôleurs d’accès d’assurer la portabilité effective et gratuite des données fournies par l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné.
Le Projet de loi devra également se conformer au Data Act (dont la version définitive est encore incertaine), qui prévoit de compléter « notamment le champ d’action du DMA en imposant des exigences règlementaires minimales de nature contractuelle, commerciale et technique aux fournisseurs de cloud afin de permettre le passage d’un service à un autre ». Ainsi, pour éviter tout risque de contrariété de la loi française, l’Autorité recommande d’attendre l’adoption du Data Act pour prévoir des mesures visant à améliorer l’interopérabilité et la portabilité des données. Une chose est néanmoins sûre : c’est l’ARCEP qui sera compétente pour réguler les services d’intermédiation des données.
3) Les clarifications à apporter dans le Projet de loi
L’Autorité recommande d’apporter de nombreuses précisions permettant in fine de préciser le champ d’application du Projet de loi.
En effet, l’Autorité estime qu’il faudrait « prendre en compte la multiplicité des services et les couches utilisées par les acteurs du secteur, à savoir IaaS, PaaS et SaaS » dans la définition du « service informatique en nuage ». Même recommandation pour la notion d’ « avoir informatique en nuage », qui, telle que présentée dans le Projet de loi « devrait être clarifiée afin d’englober la réalité des programmes et des crédits offerts (…) et (…) d’éviter d’éventuelles stratégies de contournement de la loi qui se fonderaient sur des imprécisions de périmètre juridique ».
L’Autorité ajoute, au sujet des crédits cloud (offres d’essais permettant aux clients de consommer gratuitement les services d’un fournisseur pendant une certaine période) qu’ils « peuvent être appréhendés sous l’angle du droit de la concurrence ou des pratiques restrictives de concurrence ». Ainsi, si une régulation serait retenue, l’Autorité recommande de distinguer les crédits cloud offerts sous forme de test/d’essai gratuit et les crédits cloud proposés sous forme de programmes d’accompagnement des entreprises « qui ont une valeur et une durée substantiellement plus élevées ». Ces derniers, pourraient, « s’ils sont le fait d’entreprises en position dominante, avoir des effets potentiellement anticoncurrentiels, notamment sur les plus petits fournisseurs qui ne pourraient pas répliquer ces offres de manière rentable ». L’Autorité recommande donc de préciser les conditions de reconduction des avoirs et de fixer la durée de ces crédits, dans le cadre du décret prévu à cet effet, après consultation des parties prenantes (clients et fournisseurs).
Afin de refléter la position européenne, l’Autorité recommande également que le Projet de loi prévoit « a minima (…) l’application d’une période de transition dans la suppression progressive [des] frais » liés au transfert de données dans la mesure où ces frais « sont susceptibles d’avoir des effets anticoncurrentiels liés au risque de verrouillage de la clientèle ».
4) Les prochaines étapes dans le secteur
Dans le cadre d’une auto saisine pour avis sur les conditions du fonctionnement concurrentiel du secteur de l’informatique en nuage le 27 juillet 2022, l’Autorité a lancé, le 13 juillet 2022, une consultation publique dont les réponses et l’analyse donneront lieu à un analyse plus complète et approfondie du secteur par l’Autorité qui n’avait que 10 jours pour se prononcer sur la saisie du Ministre.