Comment le CISPE propose de décliner le Data Act

Quels délais légaux pour le changement de fournisseur cloud ? Dans l'Union européenne, le Data Act encadrera en partie cet aspect.

Le texte entrera en application le 12 septembre 2025. En anticipation, le CISPE - qui représente une trentaine de CSP et AWS - propose un cadre de mise en oeuvre.

Le document s'articule sur cinq axes. Nommément :

• Transparence (correspond aux articles 26, 27, 29 et 31)
• Obligations contractuelles (articles 23, 24 et 25)
• Lancement du processus (articles 25 et 27)
• Exigences techniques (articles 23, 25, 30 et 35)
• Résiliation du contrat (articles 23 et 25)

Le CISPE reprend la fenêtre temporelle que le Data Act donne aux clients et aux fournisseurs. Celle-ci implique :

• Un délai de préavis ne dépassant pas 2 mois pour lancer le processus de changement de fournisseur
• Passé ce délai, une période transitoire de maximum 30 jours calendaires au terme de laquelle le processus doit pouvoir être effectivement enclenché
• Au terme de cette période transitoire, une période d'au moins 30 jours calendaires pour mener à bien la récupération des données

Jusqu'à 7 mois pour faire la bascule

Le framework du CISPE permet aux parties de s'accorder sur une période transitoire d'une autre durée. Quant au préavis maximal, il est contingent à la réalisation, par le client, de ses obligations.

En cas de rétractation, le client notifiera le fournisseur au moins 14 jours avant l'exécution du processus. S'il le fait plus tard, il accepte les conditions que le fournisseur lui aura éventuellement posées.

Si, à l'issue de la période transitoire, le client n'a pas réalisé les actions nécessaires, le fournisseur qui aurait respecté ses obligations pourra appliquer une période alternative de 7 mois maximum.

En cas d'infaisabilité dans les délais pour raisons techniques, le fournisseur devra la justifier dûment et la notifier au client sous 14 jours ouvrés à compter de la présentation de la demande de changement de fournisseur. Tout en communiquant une autre période transitoire ne dépassant pas 7 mois.

Dès lors que les services sources n'impliquent pas que de l'infrastructure, le fournisseur est tenu d'assurer la compatibilité avec des spécifications communes ou des normes harmonisées d'interopérabilité pendant au moins 12 mois après leur publication dans le répertoire central de l'UE.

Info précontractuelle : la possibilité d'un NDA

Sur le volet "transparence", le framework du CISPE impose une information précontractuelle compréhensible par un "utilisateur moyen". Il n'est pas nécessaire qu'elle soit spécifique au client. Le fournisseur peut par ailleurs la soumettre à un accord de non-divulgation. Il est invité à anticiper tant que possible les facteurs pouvant affecter la durée et la complexité du changement.

L'information précontractuelle stipulera l'absence de frais au-delà des coûts supportés par le fournisseur pour le transfert des données, l'accès à des API et la conversion des données en un format "acceptable".

Les contrats cloud incluront un droit de portabilité même pour qui utilisait exclusivement une offre gratuite. Le CSP ne devrait néanmoins par avoir à développer de nouvelles technologies ou de nouveaux services pour faciliter le changement. Ni à divulguer tout actif numérique protégé par la propriété intellectuelle ou le secret commercial.

Contrôle d'intégrité, vérification d'interopérabilité... Des outils en option

Si les services concernés se limitent à de l'infrastructure, le fournisseur source devra prendre des "mesures raisonnables" pour faciliter l'équivalence fonctionnelle chez le fournisseur destinataire. En outre, si c'est techniquement faisable, il permettra au client de séparer les services d'infra des éventuels services qui lui sont fournis en parallèle.

Les outils optionnellement fournis au client pour contrôler l'intégrité des données transférées peuvent lui être facturés. Même chose pour ceux qui serviraient à tester la bonne réalisation du transfert. Ou à vérifier quelles fonctionnalités sont interopérables avec quels services chez le fournisseur de destination.

Illustration générée par IA