L’Arcep vient de publier ses recommandations relatives à l’interopérabilité et la portabilité des services cloud. Entre la loi SREN de 2024 et le Data Act européen désormais en vigueur, l’autorité de régulation propose une marche à suivre, compilation de meilleures pratiques et de préparation pour un certain nombre d’obligations à venir.

L’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) publie régulièrement des recommandations à destination des entreprises. Objectif, fluidifier l’application des cadres juridiques. En application de la loi SREN (« Sécuriser et réguler l’espace numérique »), l’autorité a publié ce 2 octobre « une recommandation relative à l’interopérabilité et à la portabilité des services d’informatique en nuage (cloud) ».

Temps mort : entre loi SREN et Data Act

Ces recommandations (il y en a 11) sont sans doute bienvenues pour nombre d’entreprises, car l’évolution du cadre juridique n’est pas nécessairement simple. Rappelons ainsi que la loi SREN est une adaptation dans le droit français de plusieurs règlements européens : le DMA, le DSA et le Data Governance Act. Ce dernier se penche sur la manière dont les données doivent être partagées sur une base volontaire. Le DGA se focalise sur plusieurs points, dont la réutilisation des données du secteur public, les intermédiaires de données ou encore le développement de l’altruisme des données, soit la mise à disposition volontaire d’informations pour des objectifs d’intérêt général.

• Que va changer le Digital Markets Act en pratique ?
• Que change le Digital Services Act en pratique ?

Lors de l’élaboration de la loi SREN cependant, des éléments du Data Act (alors en construction) ont été intégrés pour ne pas perdre de temps. Si le DGA se concentre sur le « comment on accède aux données », le Data Act définit qui a le droit d’accéder à quelles données et dans quelles conditions. Les deux règlements sont complémentaires et définissent à eux deux le traitement de toutes les données en Europe.

Le Data Act européen étant entré pleinement en application le 12 septembre, ces éléments de la loi SREN sont redondants. Son article 64 prévoit donc que toutes les dispositions introduites pour le marché du cloud cessent de s’appliquer le 12 janvier 2027, afin d’éviter la redondance des cadres réglementaires.

• Maintenant que le Data Act est là, qu’est-ce qui change pour les données en Europe ?

Devant l’évolution juridique, l’Arcep avait lancé en décembre 2024 une consultation publique, invitant les entreprises concernées à faire leurs retours. 22 contributions ont été envoyées, dont AWS, Microsoft et presque tous les plus gros acteurs du cloud (signalons l’absence remarquée de Google). C’est sur cette base que l’Arcep a publié le 2 octobre ses recommandations.

L’Arcep ne réinvente pas la roue

Les recommandations formulées ne sont pas neuves. L’Autorité explique dans son document (PDF) que les entreprises ont reconnu dans l’ensemble qu’une plus grande transparence serait bénéfique dans le marché du cloud. Elles ont elles-mêmes recommandé de se servir de certains codes de conduite existants comme socle, particulièrement celui du SWIPO (Switching Cloud Providers and Porting Data) et le Cloud Switching Framework (PDF) du CISPE.

Les 11 recommandations publiées ont donc toutes trait à la publication d’informations pour des questions de transparence :

1. Données et actifs numériques pouvant être transférés dans le cadre d’une migration ou d’une utilisation multi-cloud
2. Procédures pour initier une migration depuis le service
3. Procédures pour initier une migration vers le service
4. Méthodes pour la migration, l’utilisation multi-cloud et la garantie de sécurité des données
5. Procédures de test pour les mécanismes impliqués dans les migrations, dont la sauvegarde, la restauration et la vérification de l’intégrité
6. Processus de garantie de l’intégrité des données, de la continuité de service et de prévention des pertes pendant la migration
7. Processus de résiliation d’un service existant
8. Outils de supervision pour la migration et coûts associés
9. Formats disponibles pour les données lors d’une migration ou d’une solution multi-cloud, ainsi que documentation sur ces formats
10. Documentation des API impliquées dans la portabilité et l’interopérabilité
11. Documentation des dépendances, dont les bibliothèques, les données connectées à d’autres services du même fournisseur et les outils ou services nécessaires à l’export des données

Comme le précise cependant l’Arcep, certains articles de la loi SREN (25, 26, 28 et 30) obligent déjà contractuellement les prestataires à fournir ces informations.

L’arrivée du Data Act

Comme nous l’indiquions mi-septembre, l’arrivée du Data Act change le paradigme de la donnée en Europe. Complétant aussi bien le DGA que le RGPD (qui devient prioritaire en cas de conflit), il normalise notamment les obligations contractuelles des entreprises du cloud, pour les empêcher notamment de surfacturer les clients.

Les recommandations de l’Arcep insistent donc sur plusieurs points, dont la mise à disposition gratuite d’API stables et documentées. Comme l’indique l’autorité, le Data Act n’est pas seulement là pour supprimer les frais de déplacement des données (egress fees). Il exige notamment que les fournisseurs cloud fournissent des API dédiées à ces déplacements, qu’il s’agisse d’une migration complète ou d’une séparation des activités sur plusieurs fournisseurs.

Suivant les retours faits par nombre d’entreprises sur sa consultation publique, l’Arcep recommande donc de se servir de la spécification OpenAPI, déjà considérée comme une bonne pratique. Elle a conscience toutefois que la recommandation ne s’applique que lorsque les API emploient le protocole HTTP.

Sur les API, l’Arcep recommande également d’assurer un suivi clair des modifications. Dans le cas où les fournisseurs prévoiraient d’introduire des changements cassant la rétrocompatibilité, l’autorité demande à ce que les clients soient prévenus au moins 12 mois à l’avance. Selon l’Arcep, les entreprises interrogées ont accueilli « favorablement », tout en précisant que dans certains cas, ce délai ne pourrait pas être tenu, notamment quand il s’agit de corriger une importante faille de sécurité. Pas de problème pour l’Arcep, qui recommande alors de prévenir « les clients le plus rapidement possible ».

Les bénéfices attendus

Le document de l’Arcep mélange donc des obligations légales et des recommandations. Recommandations qu’en théorie les entreprises ne sont pas obligées de suivre puisqu’elles ne sont pas juridiquement contraignantes. Cependant, elles prennent appui aussi bien sur les articles de la loi SREN qui cesseront de s’appliquer le 12 janvier 2027 et sur ceux du Data Act, qui lui s’applique pleinement depuis quelques semaines.

Selon l’Arcep, il y a bien sûr des avantages dans l’application de ces recommandations. Pour les fournisseurs, une commercialisation plus simple dans le reste de l’Europe, puisque les règles sont les mêmes partout via le DGA et le Data Act. Pour les clients, un référentiel commun et le même type d’information pour les aider dans leurs choix. Les solutions multi-cloud ayant notamment le vent en poupe, certains prestataires délaissés jusque-là par une partie des clients pourraient tirer leur épingle du jeu. Le message aux grandes entreprises du cloud est d’ailleurs clair : si un client est « prisonnier » d’un concurrent aujourd’hui, la fluidification entrainée par le Data Act pourrait le décider à diviser ses traitements et donc à payer plusieurs entreprises.

De manière générale, les contributions des entreprises sont positives et reconnaissent le bienfondé de la démarche de l’Arcep. Certains points coincent cependant. Chez Microsoft par exemple, on considère qu’exiger que les fournisseurs donnent des informations complètes sur les modalités de portabilité et d’interopérabilité pour chaque service « serait excessivement contraignant pour l’industrie ».

AWS est à peu près du même avis et ajoute « que certaines exigences figurant dans la liste proposée par l’ARCEP ne sont pas applicables en pratique, car elles dépendent de facteurs spécifiques aux clients ou d’aspects entièrement contrôlés par ces derniers que les fournisseurs ne peuvent pas préciser à l’avance ». Amazon estime également que les documentations de référence soient clairement alignées sur les formulations du Data Act, pour éviter tout flottement dans les termes.

Son de cloche équivalent chez les Français, dont OVHcloud. L’entreprise, si elle reconnait la pertinence de nombreuses recommandations, indique que certaines documentations sont plus simples à proposer que d’autres. Par exemple, documenter les données et actifs numériques pouvant être transférés est simple, mais pas les procédures pour initier une migration depuis et vers le service cloud.

Toutes les contributions peuvent être lues dans une archive dont le lien se trouve en bas de l’annonce de l’Arcep.