Encadrement des fournisseurs cloud : ce qui s'est joué à l'Assemblée nationale
Les députés ont adopté la loi SREN (Sécuriser et Réguler l'Espace Numérique)... en remodelant les dispositions visant à encadrer les fournisseurs cloud. Qu'en ressort-il ?
Le terme « sensiblement » permet-il de saisir des différences plus marginales que « substantiellement » ? Les députés en ont discuté la semaine dernière, dans le cadre de l'examen du projet de loi SREN ( Sécuriser et Réguler l'Espace Numérique) - qu'ils viennent d'adopter.
La première séance publique avait eu lieu le 4 octobre. Le lendemain, nous avions fait un point d'étape. Anglé non pas sur les dispositions abordées jusque-là (protection des mineurs en ligne), mais sur celles visant à encadrer les fournisseurs cloud. Il s'agissait donc du texte adopté en commission spéciale. Les articles 7 et 7 bis concernaient les pratiques commerciales. L'interopérabilité des services était couverte par les articles 8, 9, 10, 10 bis A, 10 bis B et 10 bis.
On en est finalement arrivé à ces questions le 11 octobre. Les discussions se sont poursuivies le surlendemain. Nous nous concentrerons ici sur la première de ces séances.
Lire aussi : Comment le CISPE propose de décliner le Data Act
Sur l'article 7 (crédits cloud, vente liée)
Interopérabilité « verticale » : aux dépens de La Poste ?
Philippe Latombe (MoDem, Vendée) et Christophe Blanchet (MoDem, Calvados) avaient déposé un amendement (no 110) destiné, d'une part, à définir le « logiciel d'entreprise » pour y inclure les ERP et les CRM, mais en exclure les suites bureautiques. Et d'autre part, à interdire la vente liée de ces logiciels et de services cloud.
Anne Le Hénannf (Horizons, Morbihan), rapporteure de la commission spéciale, a fait remarquer que cet amendement ne faisait pas de distinction de nationalité. Cela risquerait de pénaliser les acteurs nationaux et européens, de taille plus modeste, a-t-elle précisé, appelant à préférer un autre amendement (no 1121 rectifié), tenant compte de ces effets de bord et définissant la notion d'autopréférence.
Jean-Noël Barrot, ministre délégué chargé du numérique, a lui aussi donné un avis défavorable. « Cela fragiliserait les acteurs qui ont décidé d'offrir des solutions combinant infrastructure et logiciel », a-t-il affirmé. Et de citer une entreprise : La Poste. Tout en invitant, comme Anne Le Hénannf, à préférer l'amendement no 1121 rectifié. Celui-ci donne à l'Autorité de la concurrence le pouvoir de dénoncer les pratiques de vente liée des acteurs dominants. « Seule l'Autorité de la concurrence peut déceler s'il s'agit d'un acte de domination ou si, comme dans le cas de La Poste, c'est un acte de conquête de nouvelles parts de marché », aura ajouté le ministre.
Philippe Latombe aura quant à lui tenté un compromis : garder, au moins, la définition du logiciel d'entreprise. L'absence d'une telle définition poserait un vrai souci, estime-t-il. « On le voit chez EDF, chez ERDF, à la SNCF : quand vous optez pour un CRM, c'est la combinaison de Salesforce et d'AWS qui est proposée par toutes les [ESN] », a notamment argumenté le député.
Autopréférence : pas de valeur sans notion d'ordre public ?
Ledit amendement no 1121 rectifié définit l'autopréférence comme suit (cliquer sur le texte pour l'agrandir ; ouverture dans un nouvel onglet). Il inscrit par ailleurs dans la loi la compétence de l'Autorité de la concurrence pour encadrer et sanctionner cette pratique.
Pour Jean-François Coulomme (LFI, Savoie), c'est une « fausse bonne idée » de lutter contre ces pratiques en prenant comme critère le prix comparé des fonctionnalités. « Quelles autorités seront suffisamment compétentes pour juger que des logiciels [...] peuvent être valorisés à tel prix, et déterminer si celui-ci [...] est disproportionné ou déloyal ? », clame-t-il. Et de dénoncer un amendement « moins-disant et moins favorable aux jeunes pousses ».
Philippe Latombe a également trouvé à redire, mais dans un autre registre : il manque la dimension d'ordre public. Aussi le texte ne s'appliquera-t-il qu'aux contrats conclus après la promulgation de la loi... et uniquement si le fait générateur est découvert après cette même promulgation. Or, dans le cadre d'un renouvellement de contrat, c'est le contrat initial qui prime.
Le député MoDem de Vendée est à l'origine d'autres amendements sur cet article. Il est parvenu à faire adopter celui (no 1135) qui visait à remplacer « substantiellement » par « sensiblement » pour le motif sus-évoqué. De son avis, cela permettra, entre autres, de couvrir les situations où des modifications graduelles par mises à jour successives aboutissent à un changement important. Pas d'adoption, en revanche, pour le no 1330, qui introduisait précisément la notion d'ordre public, par la mention « cette pratique est prohibée. Il ne peut pas y être dérogé. ». La rapporteure l'a jugé trop imprécis, le seul critère d'exclusion étant d'ordre technique.
Crédits cloud : plafonnement de la durée, pas du montant
Autre amendement non adopté : le no 765, que défendait Sébastien Delogu (LFI, Bouches-du-Rhône). Il s'agissait, dans les grandes lignes, de plafonner le montant des avoirs cloud. Le Gouvernement considère que cette démarche est trop compliquée du fait de la multiplicité des situations. La commission spéciale a raisonné de même et en est restée à un encadrement dans le temps.
Les dispositions relatives à cet amendement ont elles-mêmes fait l'objet d'un amendement (no 628), non adopté. Soumya Bourouaha (PCF, Seine-Saint-Denis) le défendait. Il s'agissait de préciser que la durée d'octroi des crédits ne pouvait dépasser un an, y compris la période de renouvellement. Le texte de la commission spéciale préconise un décret en Conseil d'État afin de définir, pour chaque type d'avoir, une durée de validité maximum qui ne peut excéder un an. Il n'est donc pas précisé que cela comprend la période de renouvellement, explique la députée communiste. Ce à quoi Anne Le Hénannf lui a rétorqué que le décret « permettra de fixer le détail des modalités de renouvellement des avoirs de façon souple ».
Marietta Karamanli (PS, Sarthe) défendait l'amendement no 1004, lui aussi non adopté. L'idée était d'imposer que figurent, dans les contrats, la nature et le montant des frais en cas de changement de fournisseur. Sa formulation (« Pour les contrats conclus à compter de la promulgation de la loi [...] ») met en lumière l'absence de mesures d'ordre public dans les articles 7 et 7 bis, a fait remarquer Philippe Latombe.
La sanction maximale reste à 1 million d'euros
Quant à relever le montant des sanctions en cas de manquement aux règles, c'est non pour Anne Le Hénannf comme pour le Gouvernement. Sophia Chikirou (LFI, Paris) avait défendu plusieurs amendements dans ce sens (nos 591, 592 et 593).
Le projet de loi prévoit une amende de 200 000 €, portée à 400 000 € en cas de réitération. La sanction peut atteindre 1 M€ pour une personne morale. Il s'agissait ici de les porter à 200 M€, 400 M€ et 1 Md€.
« Nous avons confiance en notre texte : il est construit de telle sorte que les opérateurs ne souhaiteront pas se livrer à des pratiques illégales », assure Anne Le Hénannf. Pour Jean-Noël Barrot, le Gouvernement n'a « pas de leçons à recevoir en la matière » : des sanctions très lourdes ont déjà été prévues dans le cadre du DSA, du DMA et du Data Act.
Si on retenait les montants proposés et dès lors que les sanctions s'appliquent à chaque récidive, infliger des amendes exorbitantes exposerait à un risque d'inconstitutionnalité, ajoute Philippe Latombe. Et de poser à Jean-Noël Barrot une question restée sans réponse pour le coup : comment règle-t-on la fiscalité des avoirs ? Même lorsqu'ils osnt légaux, ils n'entrent quasiment jamais dans les comptes des hyperscalers. Dès lors, comment peut-on les intégrer au CA ou au résultat imposable de ces sociétés ?
Sur l'article 7 bis (frais de sortie)
Frais de transfert : les choix de l'UE primeront
Essai non transformé pour MM. Latombe et Blanchet avec l'amendement no 112. Celui-ci avait pour objectif de combler ce que les deux élus qualifiaient de faille dans la rédaction de l'article 7 bis.
Ce dernier a été introduit par la commission spéciale pour réécrire des dispositions que le Sénat avait incluses à l'article 7. Il comprend les dispositions suivantes :
L'amendement no 112 visait à assurer la fin effective de la facturation des frais de transfert de données. Le levier : éliminer les mots « supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement / transfert ». Pour Philippe Latombe, il en allait d'un signal envoyé au marché : punir cette pratique ne suffit pas, il faut que les frais soient directement remboursés aux entreprises.
Anne Le Hénannf a émis un avis défavorable. Motif : la France doit prendre des mesures le plus conformes possible à ce qui se décide au niveau européen. Et en l'occurrence, une décision a déjà été prise à ce niveau : imposer aux fournisseurs de supprimer les frais de transfert dans un délai de trois ans.
Sur l'article 8 (interopérabilité et portabilité)
Sur cet article, les députés auront débattu d'un seul amendement (no 594, non adopté), que défendait J.-F. Coulomme. Son principe : garantir l'interopérabilité des services cloud avec les systèmes d'exploitation commerciaux ou libres sous licence publique générale. « Un enjeu important pour certaines jeunes pousses de notre pays », selon le député LFI.
Philippe Latombe a partagé cet avis, mais a suggéré de retravailler l'amendement. Qui, tel quel, aurait posé un problème de responsabilité des éditeurs. L'exigence d'interopérabilité s'entend effectivement « dans des conditions sécurisées »...
Jean-Noël Barrot a renchéri, sous un autre angle : l'exigence d'interopérabilité n'implique pas, pour les fournisseurs, de garantir eux-mêmes la compatibilité de leur offre cloud avec n'importe quel système open source. L'interopérabilité repose, au contraire, sur l'établissement de standards auxquels les fournisseurs doivent se plier.
Sur l'article 9 (spécification et mise en oeuvre de l'interopérabilité)
Sur cet article, S. Bourouaha a défendu deux amendements, non adopté pour l'un (no 633), retiré pour l'autre (no 622). Le premier prévoyait une consultation préalable de la Cnil avant toute décision de l'Arcep concernant les activités d'intermédiation de données. Consultation qui aurait permis d'examiner si les services en cause contiennent des données à caractère personnel.
Les deux autorités ont l'habitude de travailler ensemble, a-t-on rétorqué, en substance, à la députée.
L'autre amendement visait à supprimer les deux alinéas suivants :
Il s'agissait donc, en résumé, de supprimer le régime d'exemption aux règles techniques d'interopérabilité et de portabilité. Pour les porteurs de l'amendement, la rédaction ouvrait la porte à des stratégies de contournement. La faute à des notions trop floues comme « sur mesure », « besoins spécifiques » et « services qui ne sont pas offerts à grande échelle ».
Le retrait de l'amendement fut effectif après une intervention de Vincent Thiébaut (Horizons, Bas-Rhin). L'intéressé le jugeait « extrêmement dangereux ». Évoquant les environnements de dev et de préprod, il s'était exclamé : « Cela signifie que ces espaces spécifiques vont disparaître, entraînant des surcoûts et des obligations additionnelles ».
Sur l'article 10 (contrôles et sanctions)
L'article a été mis au voix après le rejet de deux amendements. Dont un que défendait Aurélien Lopez-Liguori (RN, Hérault). Il s'agissait d'alourdir les sanctions pécuniaires encourues en cas de manquements aux obligations des articles 7 bis, 8 et 9. La commission avait proposé jusqu'à 3 % du CA mondial HT du dernier exercice clos. Et 5 % en cas de réitération sous cinq ans. Le député souhaitait que ces taux passent respectivement à 5 % et 10 %.
Sur l'article 10 bis A (protection des données stratégiques et sensibles)
La circulaire « cloud au centre » inscrite dans la loi
Le Sénat avait introduit cet article. Avec lui, une forme de devoir de regard s'imposait aux autorités publiques en cas de recours à une offre cloud commerciale pour l'hébergement de données stratégiques et/ou sensibles. Autant sur l'implantation juridique du fournisseur que sur son capital et sur les mesures prises pour empêcher des accès d'États tiers.
La commission spéciale avait supprimé cet article. En particulier au vu des négociations en cours de l'EUCS. Après avoir échangé avec certains groupes parlementaires, notamment LR, la rapporteure a changé son fusil d'épaule. Pas pour réintroduire l'article tel quel, cependant - essentiellement parce qu'il ne reprend qu'une partie des exigences de la qualification SecNumCloud. Mais pour inscrire la circulaire « cloud au centre » dans le cadre législatif (amendement no 1138).
Dérogations, juge européen et 49-3
Cet amendement établit en référence la liste d'administrations et d'opérateurs annexée au projet de loi de finances. Plusieurs sous-amendements, non adoptés, visaient à faire tomber cette référence... pour différents motifs. Le no 1141, origine LFI, parce que le PLF a fait l'objet d'un 49-3. Le no 1142, de P. Latombe, parce que ce dernier trouvait la liste « particulièrement restrictive ». Elle exclut, par exemple, le Health Data Hub, en tant que groupement d'intérêt public. Et la Cnam en tant qu'organisme paritaire.
Autre échec pour M. Latombe avec le sous-amendement no 1143. Le député cherchait à limiter à un an la dérogation dont peuvent bénéficier les projets déjà engagés. Un délai « largement suffisant pour permettre la réversibilité des systèmes », affirmait-il. Et d'ajouter penser « au ministère du Travail, qui utilise la plateforme Teams de façon inconsidérée ». D'autres sous-amendements (PS, LFI, RN) étaient du même ordre. Mme Le Hénanff a estimé qu'il n'était pas pertinent de fixer une durée, tant les capacités techniques des projets à évoluer varient.
Ils ont également été plusieurs à déposer des sous-amendements visant à réintroduire le garde-fou du juge européen. Celui-ci validerait les décisions par lesquelles un juge étranger autoriserait un État à récupérer des données.
Le dispositif ne fonctionnerait pas, a assuré la rapporteure.
Cette dernière s'est aussi montrée défavorable à l'amendement no 1152 de M. Coulomme, qui cherchait à élargir le champ d'application aux entreprises privées en plus des autorités publiques. Son point de vue : chaque chose en son temps. Ajouter à présent la protection des données privées créerait de la confusion, mais nous finirons par prévoir un dispositif.
La doctrine « cloud au centre », obstacle aux négociations européennes ?
Sur l'amendement no 1138, Jean-Noël Barrot a constaté la « volonté quasi unanime » du Parlement. Jusqu'alors, le Gouvernement s'était opposé à l'adoption de l'article 10 bis A. Et donc à l'inscription de la doctrine « cloud au centre » dans la loi. En toile de fond, les discussions pour adopter, au niveau européen, le principe d'immunité aux législations extraterritoriales.
« Beaucoup de pays d'Europe ne sont pas encore convaincus de l'importance de protéger leurs données sensibles en les logeant dans [des] clouds qualifiés », a fait valoir le ministre délégué. Inscrire le principe dans la loi compliquerait la négociation du gouvernement français. À l'en croire, les pays en question pourraient diront : « Regardez, les Français ont déjà adopté une loi pour leur administration ; ils le feront bientôt pour leurs entreprises ! »...
Illustration © jpgon - Adobe Stock
Sur le même thème
Voir tous les articles Cloud