La France s'apprête à réguler le cloud plus strictement que l'UE
Le projet de loi visant à sécuriser et réguler l’internet en France a pour objectif de coller aux nouveaux règlements européens sur le numérique mais de renforcer les dispositions de régulation du cloud, pour favoriser les « clouders » français.
Le projet de loi visant à sécuriser et réguler l’internet en France a pour objectif de coller aux nouveaux règlements européens sur le numérique mais de renforcer les dispositions de régulation du cloud, pour favoriser les « clouders » français.
Le projet de loi doit être débattu en séance plénière à l’Assemblée nationale les 3 et 4 octobre, après avoir été présenté par le ministre du Numérique, Jean-Noël Barrot, le 10 mai, et adopté par le Sénat le 27 juin.
« Nous souhaitons réguler tout en soutenant les clouders français et leur permettre ainsi de se développer en Europe, et de favoriser la création de champions français du cloud », a déclaré à Euractiv Anne Le Hénanff, députée française du parti de centre droit Horizons et rapporteure du projet de loi.
« L’ambition que je porte comme rapporteure pour ce texte, et particulièrement sur ma partie, est vraiment de coller au maximum au Data Act européen. »
M. Barrot a déclaré à l’Assemblée nationale le 19 septembre que le projet de loi devrait suivre strictement les nouveaux règlements numériques de l’UE sur la modération des contenus illégaux et la concentration de marché : la réglementation sur les services numériques (Digital Services Act, DSA) et la réglementation sur le marché numérique (Digital Markets Act, DMA).
Cependant, les dispositions du projet de loi vont plus loin dans la régulation du marché du cloud, avant même que le Data Act européen soit officiellement adopté.
Crédits cloud
Les « crédits cloud » sont une pratique par laquelle un fournisseur de cloud offre ses services à ses nouveaux clients à un tarif préférentiel pendant une période déterminée.
Les législateurs français semblent enclins à réguler cette pratique, ce qui n’est pas prévu au niveau européen, à ce stade des négociations entre les deux colégislateurs : le Parlement européen et le Conseil de l’UE.
Certains considèrent cette pratique comme déloyale car les prix fixés par les trois grands fournisseurs américains de cloud, surnommés « hyperscalers » (Microsoft, Google et Amazon), sont jugés trop avantageux et la période fixée trop longue, faussant ainsi la concurrence avec les fournisseurs de cloud européens.
Débat franco-français
La version sénatoriale du texte prévoyait que les crédits cloud ne pourraient pas excéder un an et ne pourraient être « soumis à aucune forme d’exigence d’exclusivité ».
Lors de la commission spéciale en charge du texte à l’Assemblée nationale la semaine dernière, le député Philippe Latombe (MoDem, Renaissance) a déposé un amendement visant à encadrer davantage cette pratique, et suggéré de fixer de plafonner les prix des crédits cloud.
Il a proposé une période de six mois, durant laquelle l’Autorité française de la concurrence analyserait les pratiques des hyperscalers en matière de crédits cloud. Ensuite, en vertu des conclusions du rapport, le gouvernement aurait pu fixer un plafonnement des prix par décret.
L’amendement de M. Latombe n’a pas été adopté et la formulation du Sénat a été édulcorée. Le texte de la commission spéciale de l’Assemblée nationale maintient que les crédits cloud doivent être non exclusifs et ne pas dépasser une « durée limitée », sans la préciser.
Certains parlementaires français craignaient que la restriction des crédits cloud pour les hyperscalers n’entrave également le développement des fournisseurs de cloud nationaux.
« Les acteurs cloud français voient leurs chiffres d’affaires augmenter, mais leur part de marché diminue. En effet, la puissance de frappe financière et technologique, ajoutée à une forme d’affirmation monopolistique des grands opérateurs clouds américains se fait au détriment de nos acteurs nationaux », a déclaré Mme Le Hénanff à Euractiv.
Niveau de sécurité du cloud
Le Sénat a également prévu que toutes les données liées à la santé publique et à la « sécurité nationale, au maintien de l’ordre public et à la protection de la santé et de la vie des personnes » soient stockées par les administrations publiques dans des centres de données français spécifiques en conformité avec le plus haut niveau de sécurité français : la certification SecNumCloud.
Cette disposition a toutefois été supprimée lors du débat en commission.
Mme Le Hénanff a salué la proposition des sénateurs, mais a expliqué qu’elle se heurtait à trois obstacles :
« L’amendement des sénateurs de faire basculer les données des administrations françaises sur des clouds souverains est une bonne idée. Cependant, il se heurtait à trois écueils : d’abord ce n’était techniquement pas possible aujourd’hui, ensuite ce n’était pas souhaitable en pleine négociation du European Cybersecurity Certification Scheme for Cloud Services (EUCS), et enfin cela freinerait la dynamique de croissance des clouders français qui visent un marché européen. »
M. Latombe et un autre membre du Parlement, Christophe Blanchet (MoDem, Renaissance), se sont opposés à l’avis de la rapporteure et ont suggéré exactement le même amendement que celui proposé par le Sénat.
Mme Le Hénanff a déclaré qu’elle serait plus favorable à une gouvernance française des données basée sur une « une analyse des risques pour chaque donnée ministérielle » et que soit créée « une feuille de route claire qui s’appuie sur la doctrine « cloud au centre » afin de correctement protéger les données des administrations centrales ».
M. Latombe a toutefois déclaré à Euractiv que sa position était « assez éloignée de celle de la rapporteure sur ce sujet » et qu’il était déterminé à renouveler le dépôt de ses amendements et à convaincre ses collègues du bienfait de sa démarche, qu’il estime comme la seule véritablement cohérente avec la législation européenne du Data Act.
