25
06 2024

  .  Par Arnaud QUILTON

Loi SREN du 21 mai 2024 : Quelles mesures en faveur des entreprises utilisatrices de services Cloud ?

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (la loi « SREN ») comporte une multitude de dispositions visant à la protection des internautes : filtre de cybersécurité anti-arnaque à destination du grand public ; encadrement des jeux impliquant des objets numériques monétisables (les « Jonum ») ; blocage des sites pornographiques accessibles aux mineurs ; lutte contre les deepfakes ou encore instauration d’une peine de « bannissement des réseaux sociaux » en cas de cyberharcèlement.

Parmi ces mesures très disparates, le Titre III de cette loi a pour ambition de réduire la dépendance des entreprises aux fournisseurs de services cloud.

En effet, pour éviter qu’elles se retrouvent dans une situation de dépendance technique et commerciale vis-à-vis des grands opérateurs du cloud, tels qu’AMAZON, MICROSOFT ou GOOGLE, la loi comprend plusieurs mesures qui ont – et auront – un impact contractuel significatif.

I- L’encadrement des pratiques commerciales déloyales entre entreprises « sur le marché de l'informatique en nuage »

Tout d’abord, le texte prend le soin de définir les « services d’informatique en nuage » qui sont assimilés à des services permettant « un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services ».

Sont ici visés tous les acteurs du cloud, aussi bien les éditeurs de logiciels que leurs hébergeurs.

Dans ce cadre, plusieurs pratiques sont désormais encadrées par la loi SREN et notamment :

  • L’encadrement des frais liés au transfert de données et au changement de fournisseur (article 27)

L’hypothèse est malheureusement bien connue : lorsqu’une entreprise souhaite mettre un terme à son contrat et changer de prestataire cloud, elle se retrouve bien souvent confrontée à des coûts totalement imprévus facturés par le fournisseur de services originel au titre de i) l’extraction de ses données et ; ii) de leur transfert vers un nouveau prestataire.

La SREN souhaite mettre un terme à ces pratiques en interdisant, purement et simplement dans ce type de contrat, les frais de transfert de données et de changement de fournisseur qui seraient « supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement ».

Le texte va même jusqu’à encadrer le montant de ces coûts qui sera déterminé dans les semaines à venir par un arrêté (après consultation de l’ARCEP, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse).

Ceci signifie a minima que :

  • Le prestataire de services cloud devra déterminer à l’avance les frais liés aux transferts de données et de changement de fournisseur et les rendre opposables à ses clients, avant la signature du contrat ;
  • Les clients devront être tenus informés, en cours d’exécution du contrat, de toute évolution tarifaire du prestataire portant sur les frais de transfert des données et de changement de fournisseurs ;
  • En tout état de cause, ces frais devront vraisemblablement correspondre aux frais « réels » supportés par le prestataire de services cloud.
  • L’encadrement des « avoirs d’informatique en nuage » ou « credits cloud » (article 26)

Les avoirs d’informatique en nuage sont définis comme tout « avantage octroyé par un fournisseur de services d’informatique en nuage à un client utilisable sur ses différents services, sous la forme d’un montant de crédits offerts ou d’une quantité de services offerts ».

Concrètement, ces avoirs visent à rendre captif les clients – et bien souvent les startups – en leur proposant des services gratuits, sur une certaine durée tout en verrouillant les modalités de sortie sur le plan contractuel.

La SREN met un terme à ces pratiques :

  • En consacrant l’interdiction d’assortir les avoirs d’informatique en nuage à une quelconque condition d’exclusivité du bénéficiaire vis-à-vis du fournisseur de cet avoir ;
  • En limitant la durée de ces avoirs à une durée totale d’un an « y compris si l’octroi de cet avoir est renouvelé » ;
  • En instaurant des sanctions allant jusqu’à 1 million d’euros en cas de manquement du fournisseur à ces obligations.

Les modalités d’application de cet article 26 seront précisées ultérieurement par le Conseil d’Etat.

II- Le renforcement des mesures permettant l’interopérabilité et la portabilité « des services d’informatique en nuage » (articles 28 à 30)

La loi SREN vise non seulement à sécuriser le marché du cloud, mais aussi à le fluidifier.

De ce fait, il était logique que le texte s’attèle aux mesures favorisant l’interopérabilité et la portabilité des services cloud, celles-ci étant indispensables pour faciliter le changement de prestataire.

Les fournisseurs de services cloud sont donc désormais contraints d’assurer la conformité de leurs services aux exigences :

« 1° D’interopérabilité, dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d’autres fournisseurs de services d’informatique en nuage pour le même type de service ;

2° De portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers ceux fournis par d’autres fournisseurs de services d’informatique en nuage couvrant le même type de service ;


3° De mise à disposition gratuite aux clients et aux fournisseurs de services tiers désignés par ces utilisateurs à la fois d’interfaces de programmation d’applications nécessaires à la mise en œuvre de l’interopérabilité et de la portabilité mentionnées aux 1° et 2°
[…] et d’informations suffisamment détaillées sur le service d’informatique en nuage concerné pour permettre aux clients ou aux services de fournisseurs tiers de communiquer avec ce service ».

Les modalités d’application de cet article seront précisées par décret.

L’ARCEP est quant à elle en charge de la mise en œuvre de ces exigences et pourra auditer tout fournisseurs de services d’informatique en nuage afin de vérifier le respect du texte, y compris par le bien d’enquêtes.

III- La protection des données stratégiques et sensibles dans le cloud (articles 31 à 32)

La loi SREN vise à préserver la souveraineté numérique en encadrant strictement l’hébergement dans le cloud de données dites stratégiques ainsi que celles dotées d’une « sensibilité particulière ».

Sont qualifiées de « données d’une sensibilité particulière » notamment toutes les données, à caractère personnel ou non, en lien avec l’accomplissement des missions essentielles de l’Etat, telles que la sauvegarde de la sécurité nationale ou encore le maintien de l’ordre public.

Les administrations de l’Etat, ses opérateurs ainsi que les groupements d’intérêt public se doivent, lorsqu’elles sollicitent un prestataire privé pour le traitement de données d’une sensibilité particulière, de veiller à ce que service cloud respecte des critères de sécurité et de protection des données « contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre ».

Là encore, les modalités de mise œuvre de ces articles seront précisées par décret dans un délai de 6 mois à compter de la date de promulgation de la loi SREN.

Les entreprises du secteur privé en relation contractuelle avec les administrations de l’Etat seront susceptibles d’être impactées par ce texte.

IV- Le renforcement de la transparence sur le marché de l’informatique en nuage (articles 33 à 35)

Dernière grande mesure en faveur de la confiance et de la concurrence dans l’univers du cloud, la transparence n’en demeure pas moins très importante, spécifiquement au stade de l’avant-contrat.

En effet, le texte impose aux fournisseurs de services d’informatique en nuage d’insérer sur leurs sites internet différentes informations portant sur :

  • Les juridictions compétentes au regard des différents services qu’ils proposent ;
  • Une description des mesures techniques, organisationnelles et contractuelles mises en œuvre afin d’empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l’Union européenne ou le transfert de ces données par des Etats tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national. Ici, ce sera vraisemblablement la « politique de confidentialité » du site internet du fournisseur qui sera susceptible de venir parachever cette obligation ;
  • L’empreinte environnementale de leurs services, y compris en matière d’empreinte carbone et de consommation énergétique.

Le client de services cloud disposera ainsi d’informations très précises concernant la nature des services fournis par son prestataire de services cloud, y compris avant de s’engager contractuellement avec lui.

On le voit, la loi SREN comporte bon nombre de mesures destinées à rééquilibrer – du moins en partie – le rapport de force entre les utilisateurs et les prestataires de services cloud.

Même si un certain nombre de décrets d’application doivent encore être pris, les conséquences de ce texte sont prégnantes avec des répercussions immédiates dans la documentation contractuelle proposée par les fournisseurs de services cloud à leurs clients.