Site icon Freenews

Fournisseurs cloud : le Gouvernement, l’Arcep et le nouveau projet de loi adossé au Data Act

paiement-main-amazon

Le gouvernement serait en train d’élaborer un projet de loi visant à encadrer les fournisseurs de cloud, autour des thématiques suivantes : Interopérabilité, données sensibles ou bien contre les frais facturés à la sortie, tout ceci dans le cadre du projet visant à réguler l’espace numérique.

A cet égard, et dans la première mouture du texte, seulement l’article 7 posait le principe d’une limitation dans le temps dans le cadre de laquelle un fournisseur de service cloud avait la possibilité de d’émettre des avoirs au bénéfice de ses usagers, prohibant en outre la facturation des frais de transfert de données.

Une seule exclusion seulement à ce dernier principe : les frais de migration liés au changement de prestataire.

Cette notion d’avoir a fait l’objet d’une définition assez limpide par le Sénat lors du premier examen du texte, précisant notamment :

Le rôle du Data Act dans la mise en place du texte

Depuis, le texte a supporté quelques changements, notamment après son passage devant le Parlement, qui a pris en considération l’arrivée du Data Act et :

Interopérabilité, portabilité : à l’Arcep de jouer

Du coté de l’interopérabilité et de la portabilité, un certain nombre d’exigences sont visées et notamment leur respect, dès lors que le prestataire met à la disposition de son client, le même type de services que ceux que ce dernier propose ce qui supposait la mise à disposition d’API.

Si le Sénat n’a rien trouvé à redire, ce n’est pas la cas de l’Assemblée qui a repris le dispositif du Data Act sur le sujet, notamment au sujet de la notion de données exportables ; l’ARCEP de son côté apportant sa pierre à l’édifice avec quelques précisions sur l’ensemble des règles comme des modalités d’application de ces dispositions.

Quid de la notion de « cloud de confiance »?

L’ensemble du dispositif est pour le moment mis à l’écart car jugé comme prématuré et sans véritable structure pour l’heure, ce qui mettrait à la charge de l’ensemble des acteurs, des obligations qu’ils ne seraient pas en mesure de supporter correctement.

Pour l’heure, aucune offre commerciale n’est disponible pour l’hébergement de données sensibles au risque d’engager la responsabilité des prestataires, peu à même de garantir leur sécurité.

S’agissant enfin des données de santé, un article supplémentaire a été ajouté, relatif à leur protection, fixant quelques objectifs pour le 1er juillet 2024 notamment quand elles sont hébergées par des prestataires privés, ce qui contraindra ces derniers à montrer patte blanche mettant à disposition, un service qualifié SecNumCloud avec les mêmes contraintes que celles s’appliquant à l’État.

Enfin, au sujet de l’obligation de transparence des fournisseurs, la commission a décidé limiter cette dernière aux services qualifiés par l’ANSSI ou titulaire d’un certificat de cybersécurité européen.

Quitter la version mobile