La loi SREN, pour davantage de confiance et de concurrence dans l'économie de la donnée

Présentation des dispositions de la loi de Sécurisation et régulation de l'espace numérique visant notamment à une meilleure régulation du marché cloud, avec de nouvelles règles de concurrence destinées à rééquilibrer le marché européen de l'informatique en nuage et à favoriser l'autonomie stratégique des européens.

La loi visant à sécuriser et réguler l'espace numérique (la "Loi SREN") a été adoptée le 21 mai dernier[1].

Elle porte adaptation du droit national au droit de l’Union Européenne, pour un marché unique numérique.

Outre les dispositions concernant la protection des mineurs en ligne (titre I), la protection des citoyens dans l'environnement numérique (Titre II), ou encore sur le développement de l’économie des jeux à objets numériques monétisables ("JONUM") (Titre IV), la Loi SREN intéresse particulièrement le marché de l’informatique en nuage ("cloud") introduisant des dispositions visant à renforcer la confiance et la concurrence dans l’économie de la donnée (Titre III), objet du présent papier.
 

1. Lutte contre les pratiques commerciales déloyales des acteurs sur le marché cloud

Le Code de commerce[2] est modifié afin d'encadrer les pratiques commerciales existantes sur le marché cloud.

Parmi les pratiques rendant les clients captifs, l'"avoir informatique en nuage" (ou "crédit cloud") - consistant en une allocation de services accessibles gratuitement dans un délai défini – est encadré. Un fournisseur de "service d'informatique en nuage" ne peut octroyer un "avoir informatique en nuage", aux personnes exerçant des activités de production, de distribution ou de services, que pour une durée limitée de test et sans condition d'exclusivité associée au bénéfice du fournisseur de l'avoir, sous peine de sanctions[3]. L'objectif est d'inciter les clients à recourir à des offres d'essai gratuit et de leur permettre de sortir sans pénalités financières excessives.

A cet égard, dans le sens de l’approche européenne dite “approche par les coûts”, le texte vise à court-circuiter les pratiques existantes des fournisseurs de services dominants sur le marché du cloud en prévoyant que les frais liés au changement de fournisseur cloud ne pourront pas être supérieurs aux coûts réels que ce dernier supporte en lien avec le transfert, sauf développements spécifiques hors catalogue de service[4].
Ces dispositions seront en vigueur jusqu’au 12 janvier 2027, c’est-à-dire jusqu'à l’entrée en application du Data Act.

De même, la pratique dite d'"autopréférence" pourra être sanctionnée, celle-ci consistant pour un fournisseur de services d’informatique en nuage qui fournit également des logiciels, à pratiques des conditions tarifaires et fonctionnelles différentes non justifiées, selon que le client souscrit à son service d’informatique en nuage ou non.

2. Interopérabilité des services cloud

Afin d'éviter les barrières techniques pour les acteurs émergents et de pallier au manque d'interopérabilité, de nouvelles obligations visent à réduire les phénomènes d'enfermement et d'exclusivité des clients en faveur des acteurs dominants du marché.

Désormais, le fournisseur cloud doit, dans l’intervalle de l’entrée en application du Data Act, assurer la conformité de ses services aux exigences essentielles (i) d’interopérabilité dans des conditions sécurisées avec les services du client ou avec ceux fournis par d'autres fournisseurs cloud pour le même type de service, (ii) de portabilité des actifs numériques et des données exportables vers les services du client ou vers ceux fournis par d'autres fournisseurs couvrant le même type de service, (iii) de mise à disposition gratuite, aux clients et aux fournisseurs de services tiers désignés par ces clients, d’interfaces de programmation d’applications (API) nécessaires pour assurer les exigences d'interopérabilité et de portabilité. Ces exigences essentielles seront précisées par décret.

3. Protection des données stratégiques et sensibles sur le marché cloud

Afin de protéger les données dites "sensibles" et critiques pour la sécurité nationale et dans le respect de la doctrine “Cloud au centre”[5], les administrations de l’État, ses opérateurs, ses groupements d’intérêt public, qui ont recours à un service cloud pour l'hébergement de données dites “d'une sensibilité particulière”, devront respecter des critères de sécurité et de protection contre l'accès à ces données par des autorités publiques d’États tiers.

Ces critères de sécurité et de protection seront définis par décret du Conseil d’Etat, devant être pris dans un délai de six mois à compter de la promulgation de la loi SREN, lequel définira également les conditions dans lesquelles d'éventuelles dérogations pourront être accordées sous la responsabilité du premier ministre, pendant une durée maximum de dix-huit mois à compter de la date à laquelle une offre de services de cloud est disponible en France.

Les données d’une sensibilité particulière - à caractère personnel ou non – couvrent (i) “Les données qui relèvent de secrets protégés par la loi, notamment au titre du code des relations entre le public et l’administration”[6] ; et (ii) “Les données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes”.

Le régime relatif à l'hébergement de données de santé est simplifié, le fournisseur de service d'archivage électronique sera soumis à certification comme tout autre hébergeur de données de santé[7].

Par ailleurs, l’hébergeur aura pour obligation de stocker “ces données sur le territoire d’un État membre de l’UE ou partie à l’accord sur l’Espace Economique Européen” et de stipuler contractuellement “les mesures prises face aux risques de transfert de ces données ou d’accès non autorisé à celles‑ci par des États tiers à l’Union européenne ou à l’Espace économique européen”. Un décret pris en Conseil d’Etat viendra préciser ces obligations, et fixer la date d’entrée en vigueur de ces dispositions, laquelle ne peut être postérieure au 1er juillet 2025.
Le Health Data Hub ("HDH")[8] est expressément visé comme concerné par dans le champ de ces dispositions et devra, à cet égard, recourir à une solution d'hébergement répondant à ces critères de sécurité, définis dans le référentiel SecNumCloud l'ANSSI[9] d'après la secrétaire d'Etat chargée du numérique.

4. Transparence sur le marché cloud

L’information des utilisateurs, quant à l’utilisation de leurs données, est renforcée. Les fournisseurs de services cloud doivent assurer la transparence sur leurs site internet, par la communication, aux utilisateurs de nouvelles informations (i) relatives aux juridictions compétentes eu égard à l’infrastructure déployée pour le traitement des données dans le cadre de leurs différents services, et (ii) relatives aux mesures techniques, organisationnelles et contractuelles mises en œuvre afin d’empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l’UE ou le transfert de ces données par des États tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national.

Ces dispositions s'appliquent jusqu'au 12 janvier 2027, date d'entrée en application du Data Act.

En outre, les fournisseurs de services d’informatique en nuage doivent publier des informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie. Le contenu, les modalités d’application et les délais de mise en œuvre de cette obligation ainsi que les seuils d’activité restent à préciser par décret.

5. Adaptation de la loi Informatique et libertés ("LIL")

Le périmètre du "suivi du comportement des personnes"[10], est étendu afin de rendre applicable la Loi Informatique et libertés française aux opérateurs et services hors UE, impactant des personnes sur le territoire français[11].

Doivent désormais se soumettre à la LIL, les acteurs hors UE mettant en œuvre des "traitements de données à caractère personnel de personnes se trouvant sur le territoire français par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union Européenne lorsque ces traitements sont liés au suivi comportemental de ces personnes au sein de l'UE, notamment par la collecte de leurs données à caractère personnel en vue de leur rapprochement avec des données liées à leur activité en ligne".

Autant de nouvelles dispositions visant à une meilleure régulation du marché cloud, avec de nouvelles règles de concurrence destinées à rééquilibrer le marché européen de l'informatique en nuage et à favoriser l'autonomie stratégique des européens…