Les obligations du règlement sur les données s’articulent autour d’un principe général : les fournisseurs de services de traitement de données ont l’interdiction de mettre en place des obstacles pré-commerciaux, commerciaux, techniques, contractuels et organisationnels à la migration, à la résiliation, au multi-cloud, à la réalisation de l’équivalence fonctionnelle (voir les obligations techniques ci-dessous), et au découplage des services.
Les services concernés par le règlement sur les données
Le règlement sur les données définit un service de traitement de données comme « un service numérique qui est fourni à un client et qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services ».
Cette définition correspond à la définition des services d’informatique en nuage de la loi SREN.
Il ressort du règlement sur les données que la notion de services de traitement de données a vocation à couvrir l’ensemble des services cloud, à savoir les services IaaS, PaaS et SaaS ; mais aussi d’autres services qui pourraient être développés à l’avenir, comme les services à la périphérie (edge) (1).
Certaines obligations du règlement sur les données ne s’appliquent pas aux services qui ont été développés pour les besoins spécifiques d’un seul client, ou pour des services qui ne sont pas proposés commercialement à grande échelle, tandis que les services de traitement de données fournis en tant que versions de test (bêta) pour une durée limitée sont exemptes de toutes les obligations du règlement. Les clients doivent être informés antérieurement à la conclusion d’un éventuel contrat des éventuelles exemptions applicables.
(1) L’informatique en périphérie désigne un modèle qui vise à opérer les calculs et le stockage au plus proche des sources de données. Il peut par exemple s’agir des réseaux de diffusion de contenu (ou content delivery network, CDN) qui permettent de fournir une meilleure qualité de diffusion des contenus vidéo en rapprochant les serveurs des clients finaux.
Les obligations contractuelles des fournisseurs de services cloud
Le règlement sur les données prévoit que les contrats cloud doivent contenir des clauses qui permettent au client de changer de fournisseur, de rapatrier ses données et actifs vers une infrastructure sur site, ou de résilier le contrat sans changer de fournisseur. Le contrat doit détailler les données et actifs qui peuvent être migrés, et les frais de changement de fournisseurs pouvant être facturés.
Le contrat doit prévoir un processus de migration en trois périodes, dont la durée est encadrée :
1. Un délai de préavis, de 2 mois au plus, pour le lancement du processus de migration ;
2. Une période transitoire après la fin du délai de préavis, durant laquelle la continuité de service est assurée et le fournisseur assiste le client dans son processus de migration, et dont la durée maximale est fixée à trente jours, sauf en cas d’impossibilité technique que le fournisseur doit justifier auprès du client au plus 14 jours après que le client a présenté sa demande de changement de fournisseur, auquel cas cette période peut être étendue à sept mois au plus ;
3. Une période de récupération des données après la période transitoire, de 30 jours au minimum.
Afin d’aider les clients et les fournisseurs à négocier leurs contrats, la Commission européenne a publié des clauses contractuelles standard.
L’encadrement des frais facturés par les fournisseurs de services cloud
Le règlement sur les données encadre certains frais qui peuvent être facturés par les fournisseurs de services cloud :
Les frais de changement de fournisseur : du 11 janvier 2024 au 11 janvier 2027, ces frais qui doivent figurer dans le contrat, peuvent être facturés mais ne doivent pas dépasser les coûts supportés par le fournisseur d’origine pour la réalisation du changement de fournisseur. A partir du 12 janvier 2027, ces frais devront être supprimés ;
Les frais de transfert de données pour le multi-cloud : ces frais ne doivent pas dépasser les coûts supportés par le fournisseur d’origine pour la réalisation du transfert.
Les obligations techniques pour les services IaaS et les autres services
Le règlement sur les données impose des obligations techniques différentes pour les services IaaS par rapport aux autres services cloud.
Pour les services IaaS, le fournisseur d’origine doit mettre en œuvre toutes les mesures raisonnables en son pouvoir pour faciliter l’équivalence fonctionnelle après un changement de fournisseur.
L’équivalence fonctionnelle est définie comme « le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service de traitement de données […] ».
En pratique, l’Arcep comprend l’équivalence fonctionnelle comme la possibilité pour l’utilisateur de rétablir le fonctionnement des applications qu’il a construites à l’aide de services IaaS sans avoir besoin d’en modifier le code source.
Pour les autres services, les fournisseurs doivent se conformer à des normes et des spécifications rendues obligatoires par la Commission européenne. Ces normes seront rassemblées au sein d’un répertoire central des normes de l’Union pour l’interopérabilité, et deviendront obligatoires douze mois après leur adoption.
Ces obligations sont applicables entre services « du même type », c’est-à-dire qu’elles doivent permettre la migration et le multi-cloud entre des services qui partagent le même objectif principal et les mêmes fonctionnalités principales.
Pour permettre l’interopérabilité et la portabilité, les fournisseurs doivent mettre à disposition des interfaces documentées. Ces interfaces doivent permettre aux clients d’exporter leurs données, et aux autres fournisseurs ou aux intégrateurs de construire des solutions qui permettent aux clients d’utiliser différents services en parallèle.