C’est un accouchement dans la douleur. Après des mois de passes d’armes entre parlementaires et des critiques acerbes de la Commission européenne, le projet de loi visant à sécuriser et réguler l’espace numérique (SREN) a été définitivement adopté le 10 avril 2024 par l’Assemblée nationale. Si le texte a fait la une des médias généralistes pour le renforcement du contrôle de l’âge en ligne pour l’accès aux sites pornos, il ne se limite pas à ce volet grand public.

Proche de l’esprit originel du projet, la loi comprend un ensemble de mesures visant à lutter contre l’oligopole des fournisseurs de cloud américains.

Selon le cabinet d’études Markess by Exægises, les trois hyperscalers – Amazon Web Services (AWS), Microsoft Azure et Google Cloud – ont accaparé 70 % du marché français en 2022. Dont 45 % pour le seul AWS. Les nouvelles dispositions concernent aussi bien les acteurs du IaaS (infrastructures), du PaaS (plateformes) que du logiciel en mode cloud (SaaS).

Anticiper le futur Data Act

La loi SREN reprend certains aspects du règlement européen sur les données (Data Act), entré en vigueur en janvier dernier mais applicable à partir de septembre 2025. « Le règlement sera donc appliqué par anticipation en France », se réjouit Numeum, le syndicat professionnel des acteurs du numérique qui dit avoir œuvré dans ce sens auprès de Bruxelles.

Pour rendre le marché du cloud plus concurrentiel, la loi SREN prévoit tout d’abord d’encadrer les frais de transfert de données. Des frais facturés jusqu’alors par les géants de cloud lorsqu’un client souhaite basculer ses données sur un cloud concurrent.

Pour éviter qu’une entreprise reste pieds et mains liés avec son fournisseur actuel, ces frais de transfert ne pourront être supérieurs aux coûts réels de migration.

Supprimer les frais de sortie qui brident les promesses du multicloud

Anticipant le Data Act, les trois hyperscalers américains ont annoncé, les uns après les autres, leur intention de supprimer ces frais de sortie qui bridaient les promesses du multicloud. La loi comprend aussi un plafonnement à un an des crédits cloud. Les géants du cloud proposent notamment des avoirs commerciaux aux startups afin de les inciter à tester leurs services. Un choix généralement sans retour.

Les providers seront aussi tenus de faciliter techniquement le changement de fournisseur. Et ce en assurant la portabilité des données clients et en rendant leurs services interopérables avec les solutions concurrentes du marché.

En termes de cybersécurité et de conformité, les fournisseurs devront indiquer les juridictions qui s’appliquent sur leurs infrastructures. Et décrire les mesures de protection mises en œuvre pour empêcher tout accès non autorisé aux données de leurs clients.

EUCS : Bruxelles fait souffler un vent contraire

La loi prévoit des mesures de sécurité supplémentaire pour les prestataires cloud de l’Etat qui traitent des données sensibles. «Il s’agit de mesures visant à protéger ces données d’accès par des Etats tiers et qui seraient contraires au droit européen », note Numeum. Dans le cas de stockage de données santé, l’offre cloud devra notamment être certifiée « Hébergeur de données de santé » (HDS).

Si la liste des entités concernées sera précisés par décret, cette disposition vise, selon La Banque des Territoires, le Health Data Hub critiqué pour avoir choisi d’héberger ses données dans le cloud de Microsoft Azure. Enfin, sur le plan environnemental, les fournisseurs devront informer leurs clients sur l’empreinte carbone de leurs services. L’Arcep sera l’autorité de contrôle chargée de faire appliquer la nouvelle réglementation.

Le site Contexte rappelle que cette loi SREN est sous le coup du censure partielle du Conseil constitutionnel, qui a été saisi par le groupe LFI, mais aussi d’une procédure de sanction européenne. Un vent contraire souffle, de fait, à Bruxelles. Dans sa dernière version, le projet de Schéma de certification des services cloud de l’Union européenne (EUCS) ne prévoit plus un niveau élevé d’immunité contre les législations extraterritoriales en imposant aux fournisseurs d’être établis en Europe.

Visuel généré par IA, Microsoft Designer