Loi SREN : le sort en est jeté pour les fournisseurs cloud

Sur le marché du cloud, est-ce pertinent de jauger les pratiques d’autopréférence à l’aune d’un critère de prix ? Il en aura été question dans le cadre des débats qui ont abouti à la loi SREN, promulguée ce 21 mai 2024.

Le texte définit, en son article 26, la notion d’autopréférence. En l’occurrence, le fait, pour un CSP fournissant également des logiciels, de proposer ces derniers dans des conditions « sensiblement différentes » chez la concurrence. On y trouve bien l’aspect tarifaire, en complément à l’aspect fonctionnel.

La question des crédits cloud à préciser par décret…

Ce même article 26 donne à l’Autorité de la concurrence la possibilité de sanctionner la pratique d’autopréférence, sur le fondement du Code du commerce. Il fixe aussi les amendes dont serait passible quiconque octroierait des avoirs cloud au-delà d’une certaine durée et/ou les assortirait d’une condition d’exclusivité.

Par « avoir cloud », il faut entendre « montant de crédits offerts ou quantité de services offerts ». Leur durée de validité ne pourra excéder un an, renouvellements compris. Elle variera selon le type d’avoir. Cela fera l’objet d’un décret.

La question de plafonner le montant des avoirs cloud s’est posée. Mais le Gouvernement a jugé la démarche trop compliquée du fait de la multiplicité des situations.

… comme la doctrine « cloud au centre »

L’article 31 de la loi SREN reprend les principes de la doctrine « cloud au centre ». Il établit des exigences pour la fourniture de services cloud aux administrations de l’État et à ses opérateurs (liste annexée au projet de loi de finances).

Sont également concernés les groupements d’intérêt public qui comprendraient ces administration ou ces opérateurs. Le texte initial ne les englobait… et ouvrait ainsi la porte à une exemption pour le Health Data Hub, entre autres.

Ces exigences valent essentiellement en cas de traitement de données dites sensibles. C’est-à-dire « relevant de secrets protégés par la loi » ou « nécessaires à l’accomplissement des missions essentielles de l’État ».

Les structures concernées doivent s’assurer que le fournisseur met en œuvre des « critères de sécurité et de protection » contre tout accès aux données par des autorités publiques d’États tiers, si ces accès vont contre le droit de l’UE ou d’un État membre.

Pour en savoir plus sur ces « critères de sécurité et de protection », il faudra attendre un décret. Il est censé paraître sous 6 mois. Il précisera par ailleurs les conditions dans lesquelles des projets déjà en cours avant la promulgation de la SREN pourront demander une dérogation.
On sait que cette dérogation ne pourra durer plus de 18 mois à partir de la disponibilité, en France, d’une offre alternative « acceptable ». Un terme dont la définition doit être précisée par ce même décret.

Les données commerciales inscrites dans la loi SREN

Les principaux fournisseurs cloud ont devancé la loi SREN – et les échéances que leur a imposées l’UE – pour ce qui est des frais de sortie.

Le texte interdit aux fournisseurs de facturer plus que ce qu’il leur en coûte réellement. Aussi bien pour les changements de fournisseur que pour l’extraction de données vers d’autres infrastructures. Obligations qui ne s’appliquent pas aux versions d’essai, ni aux services cloud conçus majoritairement sur mesure.

Ces mêmes services n’ont pas non plus à respecter les exigences d’interopérabilité et de portabilité qu’énoncent respectivement les articles 28 et 29. Il revient à l’Arcep d’édicter des spécifications.

L’article 32 consacre le principe de la localisation dans l’UE pour les données de santé. Tandis que l’article 33 vient englober les données commerciales («à caractère non personnel »). Il exige, entre autres, que les CSP publient une description générale des mesures prises pour empêcher les accès non autorisés à ces données.

Illustration © jpgon – Adobe Stock