Grand dossier

L'informatique en nuage (cloud)

Suivez l’actualité de l’Arcep

Abonnez-vous à notre newsletter Le Post pour recevoir chaque mois de la régulation (beaucoup) et du numérique (partout) dans votre boîte mail.

C'est parti !

L’informatique en nuage, ou cloud, est au cœur de la transformation numérique de l’économie. Elle offre aux entreprises la possibilité d’externaliser la gestion de leurs ressources informatiques, qu’elles peuvent désormais consommer dans une logique de paiement à l’usage. 

Elle leur permet d’améliorer la flexibilité de leurs systèmes d’information, dont les capacités de traitement peuvent s’adapter aux variations de leur activité, et facilite l’accès à certaines innovations. L’adoption du cloud par les entreprises marque également un changement dans la manière d’utiliser les ressources informatiques et a ainsi favorisé l’émergence de nouvelles pratiques organisationnelles. 

En France, la loi visant à sécuriser et réguler l’espace numérique (SREN) de mai 2024 a introduit, par anticipation à l’entrée en vigueur du règlement sur les données (Data Act), certaines de ses mesures dans le droit national. Elle a ainsi confié à l’Arcep des missions pour la mise en œuvre de la régulation des services cloud

Par ailleurs, dans le cadre de l’adaptation du droit national au règlement sur les données, l’Arcep a été proposée par le gouvernement comme autorité compétente pour la mise en œuvre de ces nouvelles règles. À terme, l’Autorité pourra ainsi être amenée à instruire les éventuels manquements aux obligations du règlement et, le cas échéant, à les sanctionner.

« Favoriser une plus grande liberté de choix de services cloud » est l’un des 9 objectifs stratégiques de la régulation de l’Arcep pour les années à venir publié dans la feuille de route « Ambition 2030 » en janvier 2025. Les travaux de l’Arcep en la matière s’inscrivent dans la continuité de l’engagement de l’Autorité en faveur de l’ouverture des écosystèmes du numérique, et contribueront à asseoir son rôle de régulateur technico-économique du numérique, dans un cadre pro-innovation.

Les prises de parole de Laure de La Raudière, présidente de l’Arcep :

- « Nous sommes dans un moment politique, économique et industriel clé en matière de cloud » : Intervention lors de la Cloudweek Paris 2025

- « Nous plaidons pour la création de conditions claires et stables de régulation économique des services cloud et de l’IA, afin de favoriser l’investissement et le développement des acteurs émergents. » : discours d'ouverture de la 19e édition des Assises du Très haut débit et des infrastructures du numérique le 3 juillet 2025

- « Cloud, numérique, protection des mineurs : des défis considérables attendent l'Union européenne » : Tribune cosignée par Laure de La Raudière, présidente de l'Arcep, Benoît Coeuré, président de l'Autorité de la concurrence, Sarah Lacoche, directrice générale de la DGCCRF, Martin Ajdari, président de l'ARCOM et Marie-Laure Denis, présidente de la CNIL signent une tribune conjointe publiée dans Les Echos

Qu’est-ce que le cloud ?

Le cloud désigne un ensemble de techniques qui permettent de bénéficier de ressources informatiques très variées (comme des réseaux, des bases de données, des serveurs ou des logiciels) sans avoir à gérer directement le matériel (hardware), ce qui facilite grandement le passage à l’échelle. Les services cloud permettent aussi aux fournisseurs de mutualiser les ressources, c’est-à-dire que des ressources informatiques peuvent être utilisées simultanément par plusieurs clients, ce qui permet des gains d’efficacité. Dans le Data Act, la notion de « service de traitement de données », qui inclut les services cloud, désigne « un service numérique qui est fourni à un client et qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d'efforts de gestion ou d'interaction avec le fournisseur de services ».

On distingue généralement trois grandes catégories de services cloud : 

  • les services d’infrastructure « en tant que service » (Infrastructure-as-a-Service ou IaaS) ;
  • les services de plateforme « en tant que service » (Platform-as-a-Service ou PaaS) ; 
  • les logiciels « en tant que service » (Software-as-a-Service ou SaaS). 

Les services IaaS permettent d’accéder à des ressources informatiques essentielles, comme des machines virtuelles ou des réseaux virtuels. À partir de ces ressources, les clients peuvent ainsi structurer leurs propres services et leurs applications. 

À l’inverse, les services SaaS offrent la possibilité de recourir directement à des logiciels entièrement gérés et hébergés par le fournisseur de services cloud : l’application est directement disponible et prête à l’usage. 

Enfin, les services PaaS rassemblent les services intermédiaires qui permettent aux clients de développer et de déployer des applications en déléguant au fournisseur la gestion des ressources d’infrastructure sous-jacentes, et dans certains cas la gestion des mises à jour et des dépendances logicielles des applications. Il peut s’agir de bases de données hébergées, de plateformes d’application ou encore d’environnements prêts à l’usage pour le développement de modèles d’apprentissage automatique (machine learning) ou d’intelligence artificielle. 

On distingue aussi les services dits « auxiliaires », qui ne correspondent ni au IaaS, au PaaS ou au SaaS. Ils concourent à la gestion et au fonctionnement d’une architecture cloud, et permettent par exemple de gérer les accès des utilisateurs au sein d’une même organisation (« identity and access management » ou IAM), de planifier les coûts des services, ou de proposer des données et des indicateurs utiles au pilotage de l’architecture (on peut parler d’observabilité des services et des applications). 

Les services cloud peuvent également être catégorisés en fonction des besoins informatiques auxquels ils répondent. Ainsi, on peut par exemple parler de stockage « en tant que service » (Storage-as-a-Service), base de données « en tant que service » (Database-as-a-Service), conteneur « en tant que service » (Container-as-a-Service), IA « en tant que service » (AI-as-a-Service), etc.

La régulation de l’informatique en nuage : des obligations pour favoriser le libre choix des clients

Bien que le cloud offre de nombreuses opportunités aux entreprises, il est susceptible d’emporter un risque de verrouillage ou de dépendance des clients à certains services ou fournisseurs. 

Face à ce risque, la France et l’Union européenne ont adopté des réglementations, qui visent à garantir la capacité des clients à choisir librement leurs services, à changer de fournisseur, et à avoir recours simultanément à plusieurs fournisseurs (multi-cloud).

Le règlement sur la libre circulation des données : la promotion de mécanismes d’auto-régulation à l’échelle européenne

Le règlement (UE) 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (règlement sur la libre circulation des données) a été l’une des premières initiatives pour réguler les services cloud.

Son article 6 du règlement prévoit en effet que « la Commission encourage et facilite l’élaboration de codes de conduite par autorégulation […], afin de contribuer à une économie des données compétitive, fondée sur les principes de transparence et d’interopérabilité et tenant dûment compte des normes ouvertes ». Ce règlement a mené à l’élaboration des codes de conduite SWIPO (Switching Cloud Providers and Porting Data) par les parties prenantes de l’écosystème du cloud

La stratégie européenne de 2020 constate que le marché du cloud est concentré et des risques de verrouillage

La stratégie européenne pour les données de 2020 a par la suite eu pour objectif de faciliter la circulation de la donnée, y compris dans le domaine du cloud

Les problèmes identifiés étaient notamment :

  • la faible part de marché des fournisseurs de services cloud européens et les risques de dépendance de l’Union européenne aux fournisseurs non-européens ;
  • la forte concentration du marché ;
  • le verrouillage des utilisateurs, notamment en raison d’une faible interopérabilité des services et d’une portabilité limitée des données.

De nouvelles obligations pour les fournisseurs de services cloud avec l’adoption du règlement sur les données

La faible prise en compte par le secteur des possibilités d’autorégulation permises par le règlement sur la libre circulation des données a mené à l’adoption d’un cadre contraignant pour les fournisseurs de services cloud au travers du règlement sur les données, publié le 22 décembre 2023 et applicable depuis le 12 septembre 2025. 

Le règlement sur les données vise à favoriser le libre choix des clients via :

  • L’encadrement des frais de changement de fournisseur et des frais de transfert de données pour le multi-cloud ;
  • Des obligations de portabilité, qui assurent la capacité des clients à récupérer leurs données et à « migrer » vers un autre fournisseur de cloud ou vers une infrastructure sur site ou simplement à mettre fin à leur contrat avant l’échéance prévue contractuellement ;
  • Des obligations d’interopérabilité, soit la capacité de services cloud du même type, y compris lorsqu’ils sont proposés par différents fournisseurs, à échanger et utiliser des données selon les besoins des clients ;
  • Des obligations de mise à disposition d’interfaces pour permettre aux clients et aux fournisseurs alternatifs de mettre en œuvre l’interopérabilité, ou aux clients de récupérer leurs données dans le cadre d’une migration.

En France, la loi SREN a introduit par anticipation des obligations du règlement sur les données dans le droit national. Promulguée le 21 mai 2024, elle confie à l’Arcep de nouvelles missions pour la mise en œuvre de ces obligations. 

Les grandes dates de la régulation du cloud

- 2 juillet 2026 : l’Arcep adopte des lignes directrices sur les frais de changement de fournisseur et de transfert de données dans le cadre du multi-cloud / Communiqué de presse

- 30 novembre 2025 : dans le cadre de la loi SREN et suite à la proposition de l’Arcep, le Gouvernement publie un arrêté fixant le montant maximal de tarification pour les frais de transfert de données en cas de changement de fournisseur / L'arrêté 

- 19 novembre 2025 : dans le cadre du règlement sur les données, la Commission européenne publie des clauses contractuelles standard pour les contrats cloud / Les clauses contractuelles

- 9 octobre 2025 : l’Arcep publie sa réponse à la consultation de la Commission européenne sur la révision du règlement sur les marchés numériques (Digital Markets Act ou DMA), et appelle à désigner les hyperscalers comme contrôleurs d’accès / La contribution de l'Arcep (pdf - 318 Ko)

- 25 septembre 2025 : dans le cadre de la loi SREN, l’Arcep adopte une recommandation pour l’interopérabilité et la portabilité du cloud / La recommandation de l'Arcep (pdf - 430 Ko)

- 12 septembre 2025 : le règlement sur les données entre en application / Le règlement 

- 14 octobre 2024 : dans le cadre de la loi SREN, l’Arcep soumet à consultation publique ses premiers constats et ses pistes d’action sur le marché du cloud / La consultation publique

- 21 mai 2024 : la loi SREN est promulguée et attribue à l’Arcep des missions pour la régulation des services cloud, par anticipation des obligations du règlement sur les données / La loi

- 13 décembre 2023 : le règlement sur les données est adopté et publié / Le règlement européen

- 14 septembre 2022 : le règlement sur les marchés numériques est adopté, et prévoit que les services d’informatique en nuage font partie des services de plateforme essentiels / Le règlement européen

- 19 février 2020 : la stratégie européenne des données est publiée. Elle décrit des risques liés au marché du cloud notamment : (i) la faible part de marché des fournisseurs européens et les risques de dépendance de l’Union européenne aux fournisseurs non-européens, (ii) la forte concentration du marché et (iii) le verrouillage des utilisateurs. Elle propose d’évaluer le cadre d’auto-régulation, et en fonction de son efficacité, envisage de nouvelles actions / La stratégie européenne des données

- 26 novembre 2019 : dans le cadre du règlement sur la libre circulation des données, les premiers codes de conduite SWIPO sont publiés par l’association éponyme, qui rassemble des fournisseurs et des utilisateurs.

- 14 novembre 2018 : le règlement sur la libre circulation des données introduit un cadre d’auto-régulation, sous la supervision de la Commission européenne, pour favoriser la transparence et renforcer la capacité des utilisateurs à changer de fournisseur / Le règlement européen