Le gouvernement serait en train d’élaborer un projet de loi visant à encadrer les fournisseurs de cloud, autour des thématiques suivantes : Interopérabilité, données sensibles ou bien contre les frais facturés à la sortie, tout ceci dans le cadre du projet visant à réguler l’espace numérique.
A cet égard, et dans la première mouture du texte, seulement l’article 7 posait le principe d’une limitation dans le temps dans le cadre de laquelle un fournisseur de service cloud avait la possibilité de d’émettre des avoirs au bénéfice de ses usagers, prohibant en outre la facturation des frais de transfert de données.
Une seule exclusion seulement à ce dernier principe : les frais de migration liés au changement de prestataire.
Cette notion d’avoir a fait l’objet d’une définition assez limpide par le Sénat lors du premier examen du texte, précisant notamment :
- son caractère temporaire ou bien encore sa distinction avec d’autres formes de remises ou prestations de service offerts.
- les modalités de plafonnement des frais de migration les adossant sur les coût réellement supportés par le prestataire du service.
Le rôle du Data Act dans la mise en place du texte
Depuis, le texte a supporté quelques changements, notamment après son passage devant le Parlement, qui a pris en considération l’arrivée du Data Act et :
- supprimé purement et simplement la notion de caractère temporaire des avoirs comme d’autres termes qui n’avaient dès lors plus d’objet afin de coller un peu plus à la réalité du marché ;
- révisé la notion des frais de transfert et de migration avec l’intervention désormais de l’ARCEP à ce sujet;
- revu le principe du plafonnement aux coûts des services supportés par le prestataire en dehors des services taillés sur mesure.
Interopérabilité, portabilité : à l’Arcep de jouer
Du coté de l’interopérabilité et de la portabilité, un certain nombre d’exigences sont visées et notamment leur respect, dès lors que le prestataire met à la disposition de son client, le même type de services que ceux que ce dernier propose ce qui supposait la mise à disposition d’API.
Si le Sénat n’a rien trouvé à redire, ce n’est pas la cas de l’Assemblée qui a repris le dispositif du Data Act sur le sujet, notamment au sujet de la notion de données exportables ; l’ARCEP de son côté apportant sa pierre à l’édifice avec quelques précisions sur l’ensemble des règles comme des modalités d’application de ces dispositions.
Quid de la notion de « cloud de confiance »?
L’ensemble du dispositif est pour le moment mis à l’écart car jugé comme prématuré et sans véritable structure pour l’heure, ce qui mettrait à la charge de l’ensemble des acteurs, des obligations qu’ils ne seraient pas en mesure de supporter correctement.
Pour l’heure, aucune offre commerciale n’est disponible pour l’hébergement de données sensibles au risque d’engager la responsabilité des prestataires, peu à même de garantir leur sécurité.
S’agissant enfin des données de santé, un article supplémentaire a été ajouté, relatif à leur protection, fixant quelques objectifs pour le 1er juillet 2024 notamment quand elles sont hébergées par des prestataires privés, ce qui contraindra ces derniers à montrer patte blanche mettant à disposition, un service qualifié SecNumCloud avec les mêmes contraintes que celles s’appliquant à l’État.
Enfin, au sujet de l’obligation de transparence des fournisseurs, la commission a décidé limiter cette dernière aux services qualifiés par l’ANSSI ou titulaire d’un certificat de cybersécurité européen.