Projet de loi visant à sécuriser et réguler l'espace numérique

TITRE III
RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE

CHAPITRE IER
Pratiques commerciales déloyales entre entreprises sur le marché de l'informatique en nuage

Article 7
Encadrement des frais de transfert et des crédits d'informatique en nuage

1. Le droit en vigueur : une régulation du marché de l'informatique en nuage qui se concentre sur les frais de transfert sortant de données

a) Une timide régulation européenne du marché des services d'informatique en nuage

Le marché de l'informatique en nuage est aujourd'hui en forte croissance et à forte valeur ajoutée. Selon l'étude d'impact du projet de loi, il représentait 65 milliards d'euros en 2021 en Europe, dont 16 milliards d'euros en France, et pourrait dépasser les 1 200 milliards d'euros de valorisation au niveau mondial d'ici à 2025.

La particularité de ce marché est d'être fortement concentré autour d'un nombre restreint d'acteurs qui captent environ 70 % des parts de marché, les acteurs dominants étant notamment Amazon Web Services et Microsoft Azure. S'il existe des acteurs français et européens, leur taille et leur internationalisation étant plus modestes même s'ils connaissent une forte croissance, ces derniers dénoncent, depuis plusieurs années déjà, des pratiques anticoncurrentielles qui tendent à ralentir leur développement.

L'absence d'interopérabilité sur ce marché et l'imbrication des technologies, en particulier des logiciels développés avec les plateformes et les infrastructures utilisées, conduisent à des pratiques commerciales déloyales de vente liée et à « verrouiller » le marché, limitant la capacité des fournisseurs alternatifs à offrir d'autres services d'informatique en nuage que ceux proposés par les acteurs dominants.

L'adoption du règlement européen sur les marchés numériques (RMN), ainsi que les négociations européennes en cours de finalisation pour adopter la proposition de règlement européen sur les données (Data Act), devraient permettre une meilleure régulation du marché de l'informatique en nuage afin de rendre ce marché plus interopérable et plus contestable.

b) Une régulation inédite des frais de transfert sortant de données prévue par le règlement européen sur les données

Parmi les pratiques anticoncurrentielles les plus contestées sur le marché de l'informatique en nuage, figurent notamment les frais de transfert sortant de données, dont la légitimité de la facturation est décriée.

En effet, il s'agit d'une pratique d'enfermement propriétaire qui constitue une barrière commerciale au développement d'un environnement qui permet aux utilisateurs de recourir à plusieurs fournisseurs de services d'informatique en nuage de manière simultanée. Les utilisateurs sont donc captifs du premier fournisseur d'informatique en nuage utilisé, ce qui entraîne des situations de dépendance technologique, pénalisant ainsi nos entreprises françaises et européennes.

Selon une enquête menée en 2022 par l'autorité de la concurrence néerlandaise sur le marché de l'informatique en nuage^87(*), ces « frais de sortie » sont dix fois plus importants chez les trois principaux fournisseurs d'informatique en nuage (Amazon Web Services, Microsoft Azure, Google Cloud) que chez les autres fournisseurs, sachant que certains fournisseurs français ne facturent aucun frais. L'étude d'impact du projet de loi précise par exemple que « AWS, Azure et Google facturent respectivement 4300 $, 3450 $ et 3392 $ pour l'extraction de 50 tera-bits de données en dehors de leurs écosystèmes, contre aucun frais facturé par Scaleway et OVH ».

Cette pratique anti-concurrentielle est aujourd'hui largement documentée, et l'ensemble des auditions menées par le rapporteur à ce sujet ont confirmé la nécessité d'encadrer et d'interdire les frais de transfert de données qui ne sont pas justifiés.

Récemment, l'office britannique chargé des communications a publié une étude sur le marché de l'informatique en nuage, considérant que ces frais sont additionnels aux charges incompressibles relatives au changement de fournisseur, ayant pour but de dissuader les utilisateurs de transférer leurs données vers un autre fournisseur ou même vers leurs propres infrastructures.

En France, l'Autorité de la concurrence (ADLC) devrait publier son étude sur l'état concurrentiel sur le marché de l'informatique en nuage au mois de juillet 2023.

Par exemple, selon une récente étude menée par l'entreprise Cloudflare, le montant de ces frais facturés par certains fournisseurs représentait jusqu'à 80 fois le coût réel de ces derniers.

Source : Holori

Dans ce contexte et au regard du consensus qui se dessine sur ce sujet, il est apparu urgent de supprimer les frais liés à un changement de fournisseur de services d'informatique en nuage : c'est l'objet de l'article 25 du Data Act, toujours en cours de négociation à l'échelle européenne. Cet article prévoit la suppression progressive des frais de changement de fournisseur pendant une période de trois ans à compter de l'application du Data Act, la date estimée étant le 15 février 2027.

L'article 7 du projet de loi traduit en partie et par anticipation les dispositions prévues à l'article 25 du Data Act.

c) Une absence de régulation spécifique à la pratique de l'octroi de crédits d'informatique en nuage

En l'état actuel du Data Act, il n'y a pas de dispositions relatives à l'encadrement de l'octroi des crédits cloud. Pourtant, il s'agit également d'une pratique dont les effets anticoncurrentiels sont désormais bien documentés.

Dans son rapport de l'an dernier sur la souveraineté économique, la commission des affaires économiques alertait déjà sur une stratégie qui « permet principalement à une entreprise de capter des parts de marché dès la création de l'entreprise cliente et de se constituer un avantage par rapport à ses concurrents. En raison de la durée d'octroi de ces crédits, des montants distribués et des conditions restrictives imposées par les grandes entreprises américaines du numérique pour transférer les données qu'elles hébergent vers d'autres infrastructures et logiciels, ces pratiques sont jugées anticoncurrentielles par de nombreux acteurs et spécialistes des marchés numériques : il existe en effet un risque de dépendance technologique des jeunes pousses »^88(*).

Au regard des informations transmises au rapporteur Patrick Chaize lors des travaux de la commission spéciale, les offres suivantes de crédits cloud ont par exemple été identifiées :

- jusqu'à 100 000 dollars par an de crédits octroyés par Google et Amazon Web Services, avec parfois en plus un accès temporaire et gratuit à certaines fonctionnalités ;

- jusqu'à 36 000 dollars sur un an pour 50 start-up sélectionnées par Scalway ;

- jusqu'à 500 dollars offerts et 70 % de réduction pendant deux ans pour les start-up chez Oracle ;

- jusqu'à 10 000 euros pour les start-up et 100 000 euros pour les scale-up pendant deux ans maximum et sans renouvellement chez OVH Cloud.

En l'état actuel du marché, la durée d'octroi des crédits cloud par les acteurs dominants, tout comme le montant attribué et l'association éventuelle de fonctionnalités supplémentaires gratuites ne permettent pas aux acteurs français et européens de l'informatique en nuage de rivaliser de façon loyale.

Bien que le sujet ne fasse pas suffisamment consensus au niveau européen pour pouvoir être intégré au Data Act, le Gouvernement français a souhaité, à l'article 7 de ce projet de loi, prévoir un encadrement national et spécifique à l'octroi de tels crédits, dont les effets anticoncurrentiels sont également bien documentés aujourd'hui.

2. Le dispositif envisagé : un double encadrement des avoirs d'informatique en nuage et des frais de transfert sortant de données

L'article 7 du projet de loi crée un nouvel article L. 442-12 au sein du code de commerce, au sein de la section 2 « Autre pratiques prohibées » du chapitre II « Des pratiques commerciales déloyales entre entreprises » du titre IV « De la transparence, des pratiques restrictives de concurrence et d' autres pratiques prohibées » du livre IV « De la liberté des prix et de la concurrence ».

a) Une première proposition d'encadrement de la durée d'octroi des avoirs d'informatique en nuage

Premièrement, l'article 7 codifie la définition existante d'un service d'informatique en nuage, entendu comme « un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ».

Deuxièmement, est proposée, pour la première fois en droit, une définition d'un « avoir d'informatique en nuage », entendue comme « un montant de crédits offert par un fournisseur de services d'informatique en nuage à ses utilisateurs et utilisables sur différents services ».

Troisièmement, n'est autorisé l'octroi d'avoirs d'informatique en nuage que pour une durée limitée aux personnes exerçant des activités de production, de distribution ou de services, un décret en Conseil d'État devant déterminer les modalités de renouvellement et de validité.

b) Une première proposition de suppression de certains frais de transfert sortant de données par anticipation de l'application du règlement européen sur les données

L'article 7 du projet de loi interdit, avec effet immédiat, les frais de transfert sortant de données (egress fees) facturés lorsqu'un client souhaite transférer ses données vers ses propres infrastructures ou vers les infrastructures d'un autre fournisseur au sein d'une architecture multi-cloud.

Par contre, dans la lignée de ce qui est prévu à l'article 25 du Data Act, il est prévu une exception pour les « frais de migration » liés à un changement de fournisseur, ces frais pouvant être justifiés par les coûts incompressibles que peuvent représenter un processus de migration de données.

Les dispositions de l'article 7 du projet de loi relatives aux frais de transfert sortant de données ne sont valables que jusqu'au 15 février 2027, date estimée d'entrée en vigueur du Data Act, conformément aux dispositions prévues à l'article 36 du projet de loi.

3. La position de la commission : un double encadrement nécessaire qui mériterait toutefois de mieux prendre en compte la réalité des pratiques anticoncurrentielles sur le marché de l'informatique en nuage

a) Un encadrement indispensable des effets anticoncurrentiels des crédits d'informatique en nuage déjà mis en évidence par les travaux de la commission des affaires économiques du Sénat

Au regard des travaux précédemment menés sur ce sujet par le Sénat et de ceux conduits par le rapporteur, dans le cadre de l'examen de ce projet de loi, la commission spéciale tient à saluer l'initiative française d'encadrement des avoirs d'informatique en nuage.

Toutefois, la commission a considéré que l'encadrement proposé était encore trop timide et méritait d'être clarifié dès maintenant pour les opérateurs économiques, afin de préciser l'intention du législateur poursuivie par ce nouvel encadrement.

Ainsi, l'amendement COM-112 du rapporteur clarifie la définition proposée d'un avoir d'informatique en nuage, précisant qu'il s'agit d'un avantage octroyé par un fournisseur de services d'informatique en nuage à titre temporaire.

En définissant, par nature, un avoir d'informatique en nuage comme un avantage octroyé à une entreprise, cette définition ouvre également la voie à une prise en compte d'autres formes d'avoirs ayant des effets anticoncurrentiels. Si l'octroi de crédits offerts est la principale pratique commerciale visée, d'autres pratiques, telle que la mise à disposition gratuites de fonctionnalités techniques, ont par exemple été relevées par l'Autorité de la concurrence dans son avis sur le projet de loi^89(*).

L'amendement COM-111 du rapporteur actualise par ailleurs la définition d'un service d'informatique en nuage, au regard de la dernière définition retenue par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « directive NIS 2 ».

Au regard des différentes auditions menées, la commission spéciale a également adopté l'amendement COM-113 du rapporteur afin de limiter davantage les phénomènes de verrouillage ou de dépendance sur le marché de l'informatique en nuage. Pour cela :

- est fixée à une année la durée maximale d'octroi des avoirs d'informatique en nuage, ce qui laisse suffisamment de souplesse pour octroyer des avoirs de durées différentes, permet d'autoriser l'octroi de tels avoirs pour une courte période car correspondant à des offres d'essai gratuit, tout en interdisant l'octroi de tels avoirs pour une période plus longue qui serait préjudiciable d'un point de vue concurrentiel ;

- est précisé que l'utilisation d'un avoir d'informatique en nuage ne peut pas être assortie de conditions d'exclusivité vis-à-vis du fournisseur, ce qui permet de ne pas préjuger du choix final du fournisseur par l'utilisateur et d'inciter à recourir à des offres d'essai gratuit.

b) Un encadrement indispensable des effets anticoncurrentiels des frais de transfert sortant de données afin de favoriser l'interopérabilité des services d'informatique en nuage

Afin de clarifier l'articulation entre les frais de transfert de données qui sont supprimés et les frais liés au changement de fournisseur qui sont temporairement autorisés jusqu'à l'application des dispositions dédiées du Data Act, toujours en cours de négociation à l'échelle européenne, la commission spéciale a adopté l'amendement COM-114 du rapporteur.

Concernant les frais liés à un changement de fournisseur de services d'informatique en nuage, cet amendement précise notamment, pour éviter la surfacturation régulièrement mise en évidence par différentes autorités européennes chargées de la concurrence, que la facturation doit s'effectuer aux coûts réels et doit être communiquée de façon transparente aux utilisateurs, sous le contrôle de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) dans le cadre de ses nouvelles attributions en matière de régulation de l'informatique en nuage.

La commission spéciale a considéré que cette disposition constituait une avancée majeure de ce projet de loi, répondant ainsi aux préoccupations exprimées par les acteurs français de l'informatique en nuage, la commission spéciale souhaitant soutenir leur développement.

c) Un encadrement indispensable des autres effets anticoncurrentiels identifiés sur le marché de l'informatique en nuage

La commission spéciale a également adopté, sur l'avis favorable du rapporteur, les deux amendements identiques COM-51 et COM-88 relatifs aux pratiques de vente liée sur le marché de l'informatique en nuage.

Si pendant longtemps la vente liée a été considérée, par principe, comme illicite en France, elle est désormais autorisée, mais encadrée. La vente liée consiste à subordonner la vente d'un produit ou d'une prestation de service à l'achat d'un autre produit ou d'un autre service. Cette pratique est aujourd'hui très répandue sur le marché de l'informatique en nuage, par exemple en obligeant une entreprise à transférer ses données sur son architecture de cloud afin de pouvoir utiliser son logiciel.

Ces deux amendements sont conformes à l'encadrement actuel de la vente liée, puisque l'interdiction est subordonnée à la qualification de pratique commerciale déloyale au sens de l'article L. 121-1 du droit de la consommation.

La commission spéciale, sur l'avis de son rapporteur, a donc considéré que ces deux amendements étaient de nature à limiter les pratiques anticoncurrentielles sur le marché de l'informatique en nuage.

CHAPITRE II
Interopérabilité des services d'informatique en nuage

Article 8
Obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage

1. Le droit en vigueur : une régulation du marché de l'informatique en nuage qui se concentre sur les frais de transfert sortant de données

a) Une série de barrières techniques qui rendent le marché de l'informatique en nuage difficilement contestable pour les acteurs émergents

Le marché de l'informatique en nuage est aujourd'hui un marché en forte croissance et à forte valeur ajoutée. Selon l'étude d'impact du projet de loi, ce marché représentait 65 milliards d'euros en 2021 en Europe, dont 16 milliards d'euros en France, et pourrait dépasser les 1 200 milliards d'euros de valorisation au niveau mondial d'ici à 2025.

En plus des pratiques anticoncurrentielles décrites précédemment et pour lesquelles l'article 7 du projet de loi prévoit un encadrement spécifique, voire une interdiction, il existe aujourd'hui un grand nombre de barrières techniques, souvent instaurées à l'initiative des acteurs dominants, qui rendent le marché de l'informatique en nuage difficilement contestable pour les entreprises françaises et européennes.

Il est ainsi constaté un fort manque d'interopérabilité à tous les niveaux du marché de l'informatique en nuage, que ce soit au niveau des infrastructures (Iaas), des plateformes (Paas) ou des logiciels (Saas). Autrement dit, il y a un manque de langage commun sur ce marché, notamment pour décrire les modalités d'accès, de stockage et de traitement des données.

Ce manque d'interopérabilité incite par exemple les vendeurs de logiciels indépendants à développer leurs services sur des infrastructures qui appartiennent aux fournisseurs de services d'informatique en nuage les plus utilisés, afin de toucher une large clientèle. Or, cela accentue les phénomènes d'enfermement des clients et l'exclusivité en faveur des acteurs dominants du marché.

b) Des avancées significatives qui seront permises par l'adoption du règlement européen sur les données

Face à ces constats et dans une volonté de rééquilibrer le marché de l'informatique en nuage, la proposition de règlement européen sur les données, le Data Act, toujours en négociation à l'échelle européenne, consacre un chapitre entier aux mesures d'interopérabilité, en particulier ses articles 28 et 29.

Il y est notamment précisé que les spécifications d'interopérabilité ouvertes et les normes européennes pour l'interopérabilité des services de traitement des données couvrent :

- les aspects de l'interopérabilité de l'informatique en nuage pour l'interopérabilité du transport de données, l'interopérabilité syntactique, l'interopérabilité sémantique des données, l'interopérabilité comportementale et l'interopérabilité stratégique ;

- les aspects de la portabilité des données en nuage pour la portabilité syntactique des données, la portabilité sémantique des données et la portabilité stratégique des données.

L'article 8 du projet de loi traduit donc en partie les dispositions du Data Act relatives aux exigences d'interopérabilité, dans un souci de faciliter le choix et le changement de fournisseur par les utilisateurs, afin qu'ils puissent choisir ce qui correspond le mieux à leurs besoins.

2. Le dispositif envisagé : des objectifs généraux d'interopérabilité et de portabilité des services d'informatique en nuage

a) L'introduction de nouvelles définitions en droit

L'article 8 du projet de loi propose une nouvelle définition des actifs numériques adaptée au marché de l'informatique en nuage, ces actifs étant entendus comme « tous les éléments en format numérique sur lesquels l'utilisateur d'un service d'informatique en nuage a un droit d'utilisation, y compris des actifs qui ne sont pas inclus dans le champ de sa relation contractuelle avec le service d'informatique en nuage. Ces actifs comprennent notamment les données, les applications, les machines virtuelles et les autres technologies de virtualisation, telles que les conteneurs ».

Une première définition de l'équivalence fonctionnelle est également proposée, s'inspirant de celle figurant à l'article 2 du Data Act, sans être strictement identique. L'équivalence fonctionnelle est ainsi définie comme « un niveau minimal de fonctionnalité assurée dans l'environnement d'un nouveau service d'informatique en nuage après la migration, de manière à garantir aux utilisateurs un usage des éléments essentiels du service aux mêmes niveaux de performance, de sécurité, de résilience opérationnelle et de qualité que le service d'origine au moment de la résiliation du contrat ».

b) La fixation de nouvelles obligations d'interopérabilité et de portabilité pour les fournisseurs de services d'informatiques en nuage

Enfin, l'article 8 déclare, sans plus de précisions, que les fournisseurs de services d'informatique en nuage assurent la conformité de leurs services avec les exigences essentielles d'interopérabilité et de portabilité, dans des conditions sécurisées, vers les services des utilisateurs ou à l'égard d'autres fournisseurs couvrant le même type de fonctionnalités.

Par conséquent, ces fournisseurs doivent mettre à disposition les interfaces de programmation d'application (API) nécessaires pour assurer ces exigences de portabilité et d'interopérabilité.

3. La position de la commission : des premières précisions rédactionnelles qui annoncent des ajustements plus significatifs une fois le Data Act définitivement adopté

La commission spéciale souhaite attirer l'attention du Gouvernement et de l'Assemblée nationale sur la nécessité, une fois le Data Act définitivement adopté, d'effectuer un travail d'harmonisation important des définitions des actifs numériques et de l'équivalence fonctionnelle.

Dans l'attente de l'adoption définitive du Data Act, la commission spéciale a adopté l'amendement COM-115 du rapporteur visant à modifier la rédaction de la définition de l'équivalence fonctionnelle en remplaçant les termes « aux mêmes niveaux » par les termes « à des niveaux équivalents ». Il s'agit d'éviter un effet indésirable d'harmonisation de l'ensemble des offres proposées sur le marché des infrastructures d'informatique en nuage, ce qui n'est pas l'objectif poursuivi par la fixation d'une obligation d'équivalence fonctionnelle.

Article 9
Obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage

1. L'anticipation des dispositions du futur règlement européen sur les données afin de débuter dès aujourd'hui l'important travail de normalisation en matière d'interopérabilité et de portabilité

a) La désignation de l'Arcep comme autorité chargée d'édicter les spécifications d'interopérabilité et de portabilité des fournisseurs de services d'informatique en nuage

L'article 9 du projet de loi confie à l'Arcep le soin de préciser les règles techniques d'interopérabilité et de portabilité que devront respecter les fournisseurs de services d'informatique en nuage, conformément aux obligations définies à l'article 8 de ce projet de loi.

Pour effectuer ce délicat travail d'édiction des règles techniques, l'Arcep peut recourir à un ou plusieurs organismes de normalisation, ce qui est conforme à ce qui est prévu par la proposition de règlement européen sur les données, ou Data Act.

L'Arcep fixera ainsi le délai de mise en conformité des opérateurs concernés à ces nouvelles règles, sachant que le travail de normalisation est estimé à plusieurs années, surtout qu'il sera concerté à l'échelle européenne.

b) L'obligation d'assurer l'équivalence fonctionnelle au niveau des infrastructures d'informatique en nuage

L'article 9 du projet de loi précise également que l'obligation d'équivalence fonctionnelle, telle que définie à l'article 8 du projet de loi, concerne seulement les services d'infrastructures d'informatique en nuage. En effet, il est précisé que cette obligation s'applique « à des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure ».

2. La position de la commission : une nécessaire adaptation des spécifications d'interopérabilité et de portabilité aux particularités du marché de l'informatique en nuage

La commission spéciale salue le choix de l'Arcep pour édicter ces nouvelles spécifications d'interopérabilité et de portabilité, tout en étant consciente que ce travail représente un défi conséquent et nouveau pour cette Autorité. La commission remarque ainsi que, par cet article, le Gouvernement positionne l'Arcep comme autorité administrative indépendante chargée de la mise en oeuvre du futur Data Act. Ainsi, le rapporteur sera particulièrement vigilant à ce que l'Arcep bénéficie, dès le prochain projet loi de finances, des moyens budgétaires et humains nécessaires à l'accomplissement de ses nouvelles missions.

Par ailleurs, au regard des différentes auditions menées dans le cadre de la commission spéciale et des inquiétudes des opérateurs économiques exprimées à cette occasion, l'amendement COM-116 du rapporteur a été adopté afin de rendre le travail d'édiction des obligations d'interopérabilité et de portabilité plus opérationnel et d'éviter de le rendre « aveugle » des spécificités du marché de l'informatique en nuage, en :

- demandant à l'Arcep de tenir compte des différences existantes entre les infrastructures, les plateformes et les logiciels de services d'informatique en nuage ;

- précisant que ces différences doivent être prises en compte lors de l'édiction des spécifications techniques, plutôt que dans la définition des exigences d'interopérabilité et de portabilité, afin de laisser davantage de souplesse à l'Arcep et aux opérateurs économiques concernés ;

- prévoyant un délai d'édiction de ces spécifications techniques et, par conséquent, un délai de mise en conformité des opérateurs économiques concernés à ces spécifications, qui sera fixé par décret, après consultation de l'Arcep.

Article 10
Contrôle des obligations des fournisseurs de services d'informatique en nuage par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse

1. L'extension des pouvoirs d'enquête, de sanction et du mécanisme de règlement des différends aux fournisseurs de services d'informatique en nuage

a) L'application des pouvoirs d'enquête aux fournisseurs de services d'informatique en nuage

Pour mener à bien ses nouvelles missions et s'assurer du respect des obligations d'interopérabilité et de portabilité par les fournisseurs de services d'informatique en nuage, l'article 10 du projet de loi dispose que l'Arcep puisse faire usage de son pouvoir de recueil des informations et des documents, ainsi que de son pouvoir d'enquête.

Ces pouvoirs s'apparentent déjà aux moyens dont dispose l'Arcep dans les autres secteurs économiques où elle assure la régulation, en particulier le secteur des communications électroniques. C'est pourquoi il est précisé que les enquêtes menées le sont dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques (CPCE).

b) L'application du mécanisme de règlement des différends aux fournisseurs de services d'informatique en nuage

Dans l'éventualité d'un désaccord sur les conditions de recueil des documents nécessaires pour faire respecter aux fournisseurs de services d'informatique en nuage leurs nouvelles obligations en matière d'interopérabilité et de portabilité, l'Arcep peut également recourir à son mécanisme de règlement des différends, dans les conditions prévues à l'article L. 36-8 du CPCE.

c) L'application des pouvoirs de sanction aux fournisseurs de services d'informatique en nuage

Enfin, l'article 10 du projet de loi prévoit également que l'Arcep puisse sanctionner les manquements des fournisseurs de services d'informatique en nuage à leurs obligations en matière d'interopérabilité, de portabilité et d'équivalence fonctionnelle.

Si l'Arcep peut se saisir d'office, elle peut également faire usage de son pouvoir de sanction à la demande du ministre chargé de l'économie, d'une organisation professionnelle, d'une association agréée d'utilisateurs ou de toute personne physique ou morale concernée, sous réserve que la constatation de l'infraction soit avérée.

Le cas échéant, l'Arcep peut prononcer à l'encontre du prestataire de services d'informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

2. La position de la commission : un renforcement bienvenu des missions et des pouvoirs de l'Arcep qui doit toutefois s'accompagner d'une hausse des moyens qui lui sont alloués

Si la commission spéciale salue le renforcement des pouvoirs de l'Arcep, qui a vocation à devenir le régulateur du marché de l'informatique en nuage ou « gendarme du cloud », le rapporteur veillera à ce que l'Arcep bénéficie, dès le prochain projet loi de finances, des moyens budgétaires et humains nécessaires à l'accomplissement de ses nouvelles missions.

Par ailleurs, la commission a adopté deux amendements du rapporteur :

- l'amendement COM-117, de nature rédactionnelle ;

- l'amendement COM-118, qui instaure une procédure de saisine de l'Autorité de la concurrence (ADLC) par l'Arcep lorsque cette dernière a connaissance d'abus de position dominante et de pratiques entravant le libre exercice de la concurrence dans le secteur de l'informatique en nuage, à l'instar de la procédure existante en matière de communications électroniques.

CHAPITRE II BIS
Transparence sur le marché de l'informatique en nuage
(Division nouvelle)

Article 10 bis (nouveau)
Obligations de transparence sur le marché de l'informatique en nuage

1. Le dispositif envisagé : l'obligation de publier des informations relatives à la localisation des infrastructures informatiques et aux risques d'accès gouvernemental des données des utilisateurs

Ces amendements visent à insérer, après l'article 10 de ce projet de loi, un chapitre II bis, intitulé « Transparence sur le marché de l'informatique en nuage », constitué de l'article 10 bis. Le dispositif consiste à obliger les fournisseurs de services d'informatique en nuage, ainsi que leurs intermédiaires, à publier sur leur site Internet des informations :

- relatives à l'emplacement physique de toute l'infrastructure informatique déployée pour le traitement des données de leurs services individuels ;

- sur l'existence d'un risque d'accès gouvernemental aux données de l'utilisateur du service d'informatique en nuage ;

- concernant les mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d'informatique en nuage afin d'empêcher l'accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l'Union ou le droit national de l'État membre concerné.

2. La position de la commission : des obligations de transparence bienvenues qui s'inscrivent dans la continuité des préoccupations du Sénat sur l'extra-territorialité des données

La commission spéciale a adopté, sur l'avis favorable de son rapporteur, les deux amendements identiques COM-52 et COM-157 rectifié bis portant création de ce chapitre et cet article additionnels.

La commission spéciale a considéré que le renforcement des obligations de publicité et de transparence des fournisseurs de services d'informatique en nuage, ainsi que de leurs intermédiaires, était un prérequis indispensable pour contribuer à rééquilibrer le marché de l'informatique en nuage, le rendre plus contestable par les acteurs émergents, et surtout pour renforcer l'information des utilisateurs, particuliers comme entreprises, quant à l'utilisation de leurs données.

Par ailleurs, la commission spéciale a également constaté que ces deux amendements s'inscrivaient dans la continuité des travaux de la commission des affaires économiques du Sénat sur la souveraineté économique^90(*), et font écho aux travaux actuels de la commission d'enquête sur TikTok, ces deux instances sénatoriales critiquant fortement la soumission de nos données aux législations extra-territoriales.

La commission spéciale relève toutefois que des ajustements rédactionnels éventuels pourraient être nécessaires une fois le règlement européen sur les données, ou Data Act, définitivement adopté.

CHAPITRE III
Régulation des services d'intermédiation de données

Article 11
Désignation de l'Arcep comme autorité compétente en matière de régulation des services d'intermédiation de données

1. L'institution de services d'intermédiation de données doit s'accompagner de la désignation d'une autorité compétente pour la régulation de ce nouveau champ d'activité, avant le 24 septembre 2023

Issu d'une initiative de la Commission européenne en date du 25 novembre 2020, le règlement européen sur la gouvernance des données^91(*) (en anglais, Data Governance Act), est entré en vigueur le 23 juin 2022. Il contribue à la consolidation d'un marché européen unifié de la donnée, par l'harmonisation des règles nationales, en vue d'établir un cadre équitable pour l'accès aux données, leur partage et leur réutilisation.

Il s'inscrit dans le cadre d'un effort plus large de l'Union européenne pour la régulation de son espace numérique, en complément du règlement sur les services numériques (en anglais, Digital Services Act - DSA) qui lutte contre la haine et la désinformation en ligne, du règlement sur les marchés numériques (en anglais, Digital Markets Act - DMA), qui vise à diminuer la concentration du secteur numérique, et du règlement sur les données (en anglais, Data Act) à venir.

Institués par le règlement sur la gouvernance européenne des données, les « services d'intermédiation de données » sont de nouveaux acteurs de l'économie numérique, qui auront pour mission de permettre l'échange de données, en particulier non personnelles, de façon transparente, concurrentielle et fiable entre acteurs économiques, administrations aux particuliers, au sein de l'Union européenne.

Ce règlement met en place un cadre pour l'échange volontaire de données, gratuit ou à titre onéreux, en particulier dans les domaines industriel et commercial, des données peu encadrées jusqu'à présent.

L'Union européenne prévoit en effet une augmentation de 530 % du volume mondial de données en sept ans, passant, ce qui devrait démultiplier le potentiel d'innovation fondée sur les données.

Ce nouveau service pourra par exemple trouver des applications dans les domaines de la santé - médecine personnalisée -, et de la transition écologique. Il bénéficiera en particulier aux opérateurs de l'intelligence artificielle, renforçant les positions européennes dans ce secteur en plein essor.

Source : Commission européenne

Parmi les acteurs positionnés sur ce créneau, on peut d'ores et déjà signaler Hub One dans le domaine aéroportuaire et Agdatahub^92(*), qui entrevoit dans les SID l'opportunité de mieux maîtriser l'usage qui est fait des données commerciales des agriculteurs mais également de mieux les monétiser, et de corriger des asymétries d'information avec de grands groupes fournisseurs d'intrants (Syngenta, John Deere...). La commission des affaires économiques du Sénat avait identifié un point faible de la souveraineté agricole française dans le manque de maîtrise des données commerciales des agriculteurs ^93(*).

Ce règlement sera pleinement applicable à partir du 24 septembre 2023. Son article 13, paragraphe 1, dispose que « chaque État membre désigne une ou plusieurs autorités compétentes pour effectuer les tâches liées à la procédure de notification pour les services d'intermédiation de données ». Aux termes de cet article, la France a jusqu'à cette même date pour procéder à cette désignation et la notifier à la Commission européenne.

L'autorité désignée devra assurer ses fonctions dans le respect de l'article 26 de ce règlement européen.

L'article 11 du présent projet de loi est la traduction de cette obligation européenne.

2. Le Gouvernement a choisi l'Arcep plutôt que la Cnil comme régulateur de ce nouveau type d'acteurs de l'économie de la donnée, en raison de la visée pro-concurrentielle du règlement européen sur la gouvernance des données

Le premier alinéa de l'article 11 de ce projet de loi désigne l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) comme autorité compétente, en France, pour la régulation des services d'intermédiation de données.

Sur le fondement de cette attribution de compétence, le deuxième alinéa prévoit un avis simple de l'Arcep sur l'ensemble des projets de lois et des décrets relatifs aux services d'intermédiation de données, ainsi que, sur ces sujets, si le ministre chargé du numérique le demande, une association à la préparation de la position française dans les négociations internationales et une participation à la représentation française dans les organisations internationales et au sein de l'Union européenne.

Le troisième et dernier alinéa de cet article rappelle que l'Arcep devra, dans de ce but s'assurer d'une application coordonnée et cohérente de la réglementation, collaborer avec ses homologues des vingt-six autres États membres de l'Union européenne, avec la Commission européenne, ainsi qu'avec un groupe d'experts, le comité européen de l'innovation dans le domaine des données^94(*), créé par l'article 29 du même règlement auprès de la Commission.

Cette précision est d'une portée juridique limitée, la coopération étant dans la nature même des autorités de régulation européennes. Elle n'en constitue pas moins un signal bienvenu, dans le sens d'un renforcement de l'harmonisation des règles et des pratiques au sein de l'Union, qui est, au demeurant, l'objet même du règlement européen sur la gouvernance des données.

3. La commission spéciale salue la désignation de l'Arcep comme autorité de régulation des services d'intermédiation de données et appelle à lui donner les moyens de sa nouvelle mission

a) Bien qu'aucune solution ne soit complètement évidente, la désignation de l'Arcep constitue la solution la plus satisfaisante

Le rapporteur observe qu'aucune autorité de régulation n'a été créée spécialement pour la régulation des services d'intermédiation de données.

Si le règlement européen sur la gouvernance des données impose de désigner une autorité pour la régulation des SID au plus tard le 24 septembre 2023, il n'impose pas l'identité de cette autorité, laissant aux États membres le choix de l'architecture institutionnelle qui leur semble la plus efficace.

Des justifications relatives à la typologie des données - il s'agit en effet essentiellement de données d'entreprises, a priori non personnelles - et à la dimension pro-concurrentielle du cadre réglementaire ont présidé au choix de l'Arcep, plutôt que de la Cnil, pour superviser les dispositions relatives aux prestataires de services d'intermédiation des données (étude d'impact).

Si le rapporteur n'a pas disposé de suffisamment de temps pour vérifier que d'autres États membres effectuaient ou manifestaient l'intention d'effectuer un autre choix que la désignation de leur autorité de régulation des télécommunications, il lui semble que l'Arcep était la mieux placée pour exercer ces fonctions, en raison de son expertise dans la régulation de l'économie numérique.

b) Un calendrier législatif tardif au regard des obligations européennes de la France, qui ne doit pas empêcher l'Arcep de se préparer dès aujourd'hui

Sur le papier, cette désignation intervient trop tard car il paraît désormais impossible, au regard de l'ordre du jour du Parlement français, que la nomination de l'Arcep ait lieu avant la date du 24 septembre 2023^95(*), correspondant à la date de pleine application du règlement européen sur la gouvernance des données.

Pour autant, l'intention exprimée par le Gouvernement à travers cet article 11, et celle qu'exprime également la commission spéciale en adoptant cet article sans modification, devraient donner à l'Arcep la prévisibilité dont elle a besoin pour anticiper l'entrée en vigueur du règlement européen et monter en compétences, en lien avec les premiers opérateurs déclarés (Agdatahub, Hub One, etc.).

c) L'émergence d'une véritable économie de la donnée nécessite une mise en adéquation des moyens de régulation

De simple composante de secteurs économiques établis, les données sont en train de devenir un secteur à part entière, donnant lieu à l'émergence d'une véritable « économie de la donnée ». Il devient urgent, selon le rapporteur, de calibrer les moyens à la hauteur de l'enjeu énorme que ce nouveau secteur représente pour la société.

À l'instar de l'ensemble des autres missions créées au titre III du présent projet de loi, les nouvelles missions de régulation des SID devront aller de pair avec des moyens budgétaires et humains renforcés pour les autorités chargées de les contrôler.

Cela vaut évidemment au premier chef pour l'Arcep, dont les besoins humains pourraient s'élever, au minimum à trois équivalents temps plein dès 2024, et un quatrième en 2025, pour un montant budgétaire associé de 80 000 euros par ETP (soit 320 000 euros par an d'ici deux ans), pour la seule montée en compétences dans la régulation des services d'intermédiation de données (SID^96(*)). Il s'agit, du reste, d'une obligation résultant du paragraphe 5 de l'article 26 du règlement européen sur la gouvernance des données (« Les autorités compétentes en matière de services d'intermédiation de données et les autorités compétentes pour l'enregistrement des organisations altruistes en matière de données disposent des ressources humaines et financières suffisantes, y compris des connaissances et ressources techniques nécessaires, pour mener à bien les tâches qui leur sont assignées »).

Le rapporteur veillera tout spécialement, dès le prochain projet loi de finances, à la mise en adéquation des moyens budgétaires et humains avec les nouvelles missions confiées à l'Arcep et autres autorités.

Article 12
Champ de compétences et pouvoirs de l'Arcep en matière de régulation des services d'intermédiation de données

1. Le règlement sur la gouvernance européenne des données consacre en même temps qu'il régule un nouvel acteur de l'économie de la donnée, les services d'intermédiation de données (SID)

Les prestataires de services d'intermédiation de données sont un nouveau type d'acteurs du marché européen numérique, institué par le règlement européen sur la gouvernance des données^97(*) dans le but d'établir une concurrence équitable sur le marché des données, en particulier industrielles et commerciales.

Il s'agit de plateformes ne pouvant ni collecter, ni traiter de données, mais jouant le rôle de tiers de confiance pour l'échange, monétisé ou non, de données brutes entre offreurs - opérateurs en particulier économiques pouvant disposer, par exemple, de fichiers clients - et demandeurs - acteurs procédant à du traitement de données pour leur activité propre ou pour offrir des prestations de service à d'autres opérateurs.

La réglementation encadrant l'activité de ces services d'intermédiation de données (SID) étant intégralement nouvelle et entrant en application le 24 septembre 2023, aucune autorité n'est à ce jour compétente pour leur contrôle.

Le présent projet de loi prévoit qu'en France, c'est à l'Arcep que revient le soin de contrôler cette activité, en raison de son expertise dans la régulation de l'économie numérique.

La base juridique des sanctions pouvant être prononcées à l'encontre des prestataires de SID qui ne respecteraient par les obligations résultant du chapitre III du règlement européen sur la gouvernance des données (« Exigences applicables aux services d'intermédiation de données^98(*) ») figure à l'article 14 dudit règlement.

Cet article confère aux autorités de régulation des prestataires de SID trois pouvoirs, à savoir ceux :

« a) d'imposer, par le biais de procédures administratives, des sanctions financières dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, d'engager des procédures judiciaires en vue d'infliger des amendes, ou les deux ;

b) d'exiger un report du début de la fourniture du service d'intermédiation de données ou une suspension de cette fourniture jusqu'à ce que les modifications des conditions demandées par l'autorité compétente en matière de services d'intermédiation de données aient été réalisées ;

c) d'exiger la cessation de la fourniture du service d'intermédiation de données dans le cas où il n'a pas été remédié à des infractions graves ou répétées malgré l'envoi d'une notification préalable conformément au paragraphe 3. »

2. L'Arcep se voit dotée de pouvoirs d'enquête et d'accès aux données étendus, sur le modèle de ceux dont elle dispose déjà pour d'autres champs de sa compétence

Le I de l'article 12 établit les pouvoirs de l'Arcep dans le cadre de la nouvelle compétence qui lui est attribuée à l'article 11 en matière de régulation des prestataires de services d'intermédiation des données (SID)

Il est ainsi prévu que l'Arcep puisse recueillir, auprès de ces prestataires de SID, tout document ou toute information « nécessaires pour s'assurer [du] respect [par ces acteurs] des exigences du chapitre III du règlement sur la gouvernance européenne des données ou dans les actes délégués pris pour son application^99(*) ». En pratique, il pourrait s'agir, selon l'Arcep, « des conditions générales d'utilisation, des offres de référence, ou encore des certifications du niveau de sécurité des serveurs exploités par ces acteurs ».

Il est également prévu que l'Arcep puisse diligenter des enquêtes, aux mêmes conditions que pour ses pouvoirs d'enquête administrative actuels et pour ceux du ministre chargé des communications électroniques dans le secteur des communications électroniques, c'est-à-dire :

- par des agents habilités, assermentés, pouvant pénétrer dans les locaux d'une entreprise ou dans un véhicule professionnel entre 8 heures et 20 heures, et pouvant accéder aux logiciels, programmes informatiques et aux données stockées, et ne pouvant se voir opposer le secret professionnel^100(*) - l'autorité devant toutefois veiller à ce que ne soient pas divulguées les informations couvertes par ce secret ;

- et, lorsque les locaux ou une partie de ceux-ci constituent un domicile, après ordonnance du juge des libertés et de la détention du tribunal compétent et sous son autorité, en présence de l'occupant des lieux, de son représentant ou d'au moins deux témoins^101(*).

Enfin, ce même I définit également les limites des nouvelles compétences de l'Arcep, l'autorité ne pouvant faire usage de ses prérogatives que « de manière proportionnée aux besoins liés à l'accomplissement de ses missions, et sur la base d'une décision motivée », sur le modèle de ce qui existe pour ses pouvoirs de régulation dans d'autres domaines^102(*), ce qui revient en pratique à lui confier un pouvoir important.

Le II du présent article prévoit que l'Arcep peut se saisir d'office de tout manquement d'un prestataire de SID au chapitre III du règlement sur la gouvernance des données. Il est également prévu que « toute personne concernée » peut saisir l'Arcep, ce qui inclut « notamment le ministre chargé des communications électroniques, une organisation professionnelle ou une association agréée d'utilisateurs », par cohérence avec le droit existant^103(*), liste les personnes susceptibles de saisir l'Arcep.

Les sanctions sont les mêmes que celles pouvant actuellement être prononcées par l'Autorité^104(*), à l'exception de deux points, pour rester conforme au règlement européen sur la gouvernance des données^105(*) :

- le délai de mise en conformité par le prestataire de SID est fixé à trente jours (au lieu d'être librement déterminé par l'Arcep) ;

- les trois derniers alinéas se contentent de reprendre la typologie des sanctions prévue par l'article 14 du règlement européen, en précisant que la sanction pécuniaire ne peut excéder 3 % du chiffre d'affaires mondial hors taxes du dernier exercice clos (5 % en cas de nouvelle violation de la même obligation), ou 150 000 euros en cas d'absence de chiffre d'affaires (375 000 euros en cas de nouvelle violation de la même obligation dans les cinq ans).

3. Des pouvoirs étendus se justifiant par la nécessité de garantir la confiance dans les données échangées

Le rapporteur Patrick Chaize constate que l'article 12 du projet de loi institue un large champ de compétences pour l'Arcep dans l'exercice de ses nouvelles missions, lui laissant des marges de manoeuvre importantes, gage d'une régulation efficace.

Pour autant, ces larges pouvoirs apparaissent justifiés par la nécessité de garantir la confiance dans ce nouveau type d'acteurs, par des moyens effectifs de constater des manquements et des sanctions suffisamment dissuasives.

Du reste, le cadre prévu pour la régulation des prestataires de SID ne diffère pas de celui déjà en vigueur pour les autres missions de l'Arcep. Les sanctions sont même davantage encadrées (trois derniers alinéas de l'article 12) dans ce contexte, afin de respecter les termes du règlement européen sur la gouvernance des données.

En outre, la majoration des sanctions en cas de « récidive » n'est encourue que pendant un délai de cinq ans à compter du premier manquement pour les prestataires de SID sans chiffre d'affaires et donc sans activité. Ce délai de cinq ans, sorte de « remise à zéro » pour des prestataires non encore professionnalisés, est institué pour ne pas pénaliser un secteur encore balbutiant, dans une logique de « droit à l'erreur ».

Le rapporteur rappelle enfin l'exigence de proportionnalité de la sanction à la gravité du manquement et au regard du cas d'espèce, à laquelle l'Arcep reste soumise, en ce domaine comme en d'autres.

Il se félicite donc de ces larges pouvoirs conférés à l'Arcep et rappelle qu'ils supposent, pour avoir un effet utile, une mise à niveau des moyens budgétaires et humains de l'autorité, de nature à permettre une mise en oeuvre complète du règlement européen sur la gouvernance des données.

Article 13
Articulation des compétences de l'Arcep et de la Cnil, s'agissant des données à caractère personnel, dans le cadre de la régulation par l'Arcep des services d'intermédiation de données

1. Le règlement européen sur la gouvernance des données s'applique sans préjudice du règlement général sur la protection des données, duquel la Cnil directement ses pouvoirs

Les services d'intermédiation de données sont des services nouveaux, créés par le règlement européen sur la gouvernance des données^106(*), et pour lesquels le droit européen ne prévoit pas d'autorité de régulation ad hoc.

Le Gouvernement a donc fait le choix, à travers l'article 11 du présent projet de loi, de confier ce rôle de régulation à l'Arcep, en raison de la proximité de ses missions actuelles avec celles découlant du règlement, et de sa fine connaissance de l'économie numérique. Si la désignation d'une autorité est une obligation, le choix de l'Arcep ne résultait pas d'une obligation européenne, et l'étude d'impact révèle qu'il a également été envisagé de confier cette mission à la Cnil.

Le règlement européen sur la gouvernance des données, et le choix retenu pour son application, ne privent pas les autres autorités administratives existantes de leurs compétences, que ce soit l'Autorité de la concurrence et la Commission européenne en matière de droit de la concurrence, ou la Cnil s'agissant de protection des données à caractère personnel. Cela est rappelé à de multiples reprises, dans les considérants et dans le dispositif dudit règlement :

- « le présent règlement ne devrait pas être lu comme créant une nouvelle base juridique pour le traitement des données à caractère personnel dans le cadre de l'une des activités réglementées, ni comme modifiant les exigences en matière d'information prévues par le [RGPD]^107(*) » ;

- « lorsque les prestataires de services d'intermédiation de données traitent des données à caractère personnel, le présent règlement ne devrait pas avoir d'incidence sur la protection de ces données^108(*) » ;

- « le présent règlement est sans préjudice des règlements (UE) 2016/679 et (UE) 2018/1725 et des directives 2002/58/CE et (UE) 2016/680, y compris en ce qui concerne les pouvoirs et compétences des autorités de contrôle. En cas de conflit entre le présent règlement et les dispositions du droit de l'Union en matière de protection des données à caractère personnel ou du droit national adopté conformément audit droit de l'Union, les dispositions pertinentes du droit de l'Union ou du droit national en matière de protection des données à caractère personnel prévalent. Le présent règlement ne crée pas de base juridique pour le traitement des données à caractère personnel et ne modifie pas les droits et obligations énoncés dans le règlement (UE) 2016/679 ou (UE) 2018/1725 ou dans la directive 2002/58/CE ou (UE) 2016/680^109(*). »

Cette articulation est rappelée de la façon la plus explicite et la plus exhaustive à l'article 13 du règlement, qui dispose que « les pouvoirs des autorités compétentes en matière de services d'intermédiation de données sont sans préjudice des pouvoirs des autorités chargées de la protection des données, des autorités nationales de la concurrence, des autorités chargées de la cybersécurité et des autres autorités sectorielles concernées. Dans le respect de leurs compétences respectives au titre du droit de l'Union et du droit national, ces autorités établissent une coopération solide et échangent les informations qui sont nécessaires à l'accomplissement de leurs tâches en rapport avec les prestataires de services d'intermédiation de données, et visent à assurer la cohérence des décisions prises en application du présent règlement ».

2. Une institutionnalisation souple de la coopération entre l'Arcep et la Cnil s'agissant de la régulation des prestataires de services d'intermédiation de données

L'article 13 prévoit une saisine obligatoire de la Cnil par l'Arcep (« avant toute décision »), dès lors que certaines pratiques des SID sont « de nature à soulever des questions liées à la protection des données personnelles ».

Les alinéas 2 à 4 renvoient par ailleurs à un décret le soin de préciser les conditions dans lesquelles l'Arcep « recueille, le cas échéant, les observations éventuelles de la Cnil », qui doivent être formulées dans un délai de quatre semaines, dans deux circonstances particulières, qui résultent de la saisine de SID ou d'utilisateurs de SID :

- la Cnil peut d'abord être consultée dans la procédure de reconnaissance officielle des opérateurs respectant les articles 11 et 12 du règlement européen sur la gouvernance des données, qui se traduira concrètement par le droit d'utiliser la qualification « prestataires de services d'intermédiation de données reconnu dans l'Union » et d'arborer un logo commun attestant de cette qualité, créé par actes d'exécution de l'Union^110(*) ;

- elle peut ensuite être consultée dans le cas où des utilisateurs de SID introduiraient une réclamation relative au champ d'application du règlement^111(*) - par exemple, si un utilisateur souhaite limiter l'usage de données aux finalités consenties ou faire valoir son droit à l'accès de données à des conditions équitables et transparentes, comme le règlement le prévoit.

Les alinéas 5 et 6 formalisent les procédures d'information mutuelle entre la Cnil et l'Arcep :

- ainsi la Cnil est-elle en tout état de cause informée par l'Arcep, en cas de demande de labellisation par un SID ou de recours sur le champ d'application du règlement par un utilisateur ;

- dans ces deux mêmes cas, l'Arcep communique à la Cnil, dans des conditions fixées par décret, « toute information utile [lui] permettant de formuler ses observations éventuelles sur les questions liées à la protection des données à caractère personnel » dans le délai imparti de quatre semaines. Elle tient obligatoirement informée la Cnil des suites données à la procédure, le cas échéant ;

- en sens inverse, il est prévu que la Cnil communique « des faits » dont elle a connaissance et qui pourraient constituer des manquements à l'une des quatorze obligations de l'article 12 du règlement (tenue d'un journal d'activité, information en cas de transfert, d'accès ou d'utilisation non autorisés, prévention des pratiques frauduleuses, interopérabilité...).

3. Maintenir une coopération souple entre l'Arcep et la Cnil, consacrant l'Arcep comme seule autorité compétente pour la régulation des SID

Le rapporteur observe que l'attribution de compétences à l'Arcep en matière de régulation des prestataires de SID, avec simple consultation facultative de la Cnil, se justifie par la nature essentiellement industrielle et commerciale des données échangées via ces nouvelles plateformes. Le choix a été fait de laisser à l'Arcep le soin de déterminer si certaines pratiques de prestataires de SID « sont de nature à soulever des questions liées à la protection des données personnelles », une qualification relativement souple et laissée à l'appréciation de cette autorité.

Bien que la Cnil souligne la difficulté qui peut se faire jour au sujet de certaines données à caractère personnel indissociables de données industrielles ou commerciales, l'Arcep a indiqué dans sa contribution écrite être « attachée à la pleine mise en oeuvre des mécanismes de coopération institués dans le texte [...], dans le respect des prérogatives de chacune » et avoir pour objectif de « retenir une interprétation large de cette disposition, en n'excluant de la transmission que des documents qui seraient manifestement sans impact sur la question des données personnelles ».

Surtout, le règlement européen sur la gouvernance des données, d'application directe, prévoit déjà explicitement que les activités des SID devront, en tout état de cause, respecter le règlement général sur la protection des données (RGPD). La Cnil tient ses pouvoirs en matière de protection des données personnelles, indépendamment du présent article, directement du RGPD, qui introduit, du reste, un régime de responsabilisation des détenteurs de données et non un régime de contrôle a priori.

Une saisine systématique ou un avis conforme pourraient même produire des situations fâcheuses dans lesquelles il serait considéré, à tort, que la position de la Cnil serait révélée par son avis rendu à l'Arcep.

Le rapporteur souhaite en outre rappeler les possibilités offertes à la Cnil, par l'article 1^er de la loi pour une République numérique^112(*), de demander à d'autres administrations la communication de documents utiles à l'accomplissement de ses missions.

Pour ces différentes raisons, si le rapporteur salue dans cet article l'institutionnalisation d'un principe de bonne coopération entre autorités administratives - qui va au-delà des obligations européennes et aurait pu faire l'objet de simples lignes directrices -, il ne juge pas opportun d'alourdir davantage la procédure de consultation de la Cnil par l'Arcep.

Une surrèglementation pourrait en effet pénaliser les prestataires de SID français par rapport à leurs concurrents européens.

Le rapporteur préfère donner toute ses chances en France à un modèle de partage des données original et, en soi, protecteur de la vie privée - en ce qu'il constitue un contre-modèle à l'intégration verticale du marché de la donnée par des acteurs cumulant la collecte, l'échange et le traitement des données.

Afin de lever toute ambiguïté sur la nature de la consultation de la Cnil prévue au présent article, et sans remettre en cause l'économie générale de l'article 13, le rapporteur a toutefois souhaité proposer quelques clarifications rédactionnelles par l'amendement COM-119, adopté par la commission :

- il a d'abord jugé indispensable de préciser que l'Arcep devra non seulement « recueillir », mais « tenir compte » des éventuelles observations de la Cnil, lorsqu'elles ont été rendues, Cette formulation n'introduit pas un avis conforme, la saisine restant facultative, et laisse des marges de manoeuvre importantes à l'Arcep ;

- le rapporteur souhaite que l'ensemble des faits (« les faits » et non « des faits ») dont la Cnil a connaissance et qui pourraient constituer des manquements de SID à leurs obligations au regard du règlement européen sur la gouvernance des données, soient communiqués à l'Arcep, afin de permettre à cette dernière d'exercer sa compétence en pleine connaissance de cause.

Dans les deux cas, la clarification ne fait que rappeler le droit européen applicable et consacrer la compétence des deux autorités, chacune dans le domaine qui la concerne.

Enfin, l'amendement COM-120 du rapporteur, procédant à des précisions purement rédactionnelles, a été adopté par la commission spéciale.

Article 14
Coordinations juridiques au sein du code des postes et des communications électroniques

1. La nécessité de rattacher les nouvelles sanctions que l'Arcep pourra prendre en application de sa nouvelle compétence sur l'informatique en nuage et les SID à une formation existante de l'autorité

L'article L. 130 du code des postes et des communications électroniques définit le statut d'autorité administrative indépendante de l'Arcep, établit la composition de ses différentes formations (plénière et restreinte), énumère les compétences échues à l'une ou l'autre de ces formations, ainsi que les possibles sanctions qu'elles peuvent respectivement prononcer.

Le cinquième alinéa de cet article prévoit que la formation restreinte de l'Arcep « est chargée de prononcer les sanctions dans les conditions prévues » à trois articles existants (articles L. 5-3 et L. 36-11 du code des postes et des communications électroniques et article 24 de la loi sur la distribution de la presse^113(*)).

Cela ne couvre donc pas les nouvelles sanctions instituées par ce projet de loi, résultant des règles européennes relatives à l'informatique en nuage et du règlement sur la gouvernance des données.

Les modalités de ces sanctions, essentielles pour assurer l'effectivité de ces textes européens, doivent donc être clairement fixées en droit interne.

2. Un renvoi juridique manifestement erroné

Dans la version déposée par le Gouvernement sur le bureau du Sénat, l'unique alinéa de l'article 14 prévoit de rattacher à la formation restreinte de l'Arcep les sanctions « prévues au deuxième alinéa du II de l'article 10 » du présent projet de loi, qui en réalité ne portent pas sur des sanctions, mais sur le règlement des litiges.

3. Un amendement de précision juridique pour corriger cette erreur et réparer un oubli

Le rapporteur a proposé l'amendement COM-121 de précision juridique à la commission spéciale, qu'elle a adopté.

Cet amendement permet de bien viser, à l'alinéa établissant les pouvoirs de la formation de l'Arcep, les conditions prévues au deuxième alinéa du III de l'article 10 du présent projet de loi, c'est-à-dire celui qui porte sur les sanctions dans le cadre de la régulation de l'informatique en nuage.

Il permet en outre de viser, au même alinéa de l'article L. 130 du code des postes et des communications électroniques, les sanctions prévues aux huitième à onzième alinéas de l'article 12 du présent projet de loi, c'est-à-dire celles prévues pour l'application du règlement européen sur la gouvernance des données.

Le rapporteur n'a pas d'autres observations à formuler sur cet article de simple coordination juridique.

* ⁸⁷  Public Market study cloud services DEF (acm.nl)

* ⁸⁸  Cinq plans pour reconstruire la souveraineté économique, Rapport d'information n° 755 (2021-2022) de Sophie Primas, Amel Gacquerre et Franck Montaugé, déposé au nom de la commission des affaires économiques le 6 juillet 2022.

* ⁸⁹ Autorité de la concurrence, Avis sur certaines dispositions du projet de loi, 20 Avril 2023.

* ⁹⁰ Cinq plans pour reconstruire la souveraineté économique, Rapport d'information n° 755 (2021-2022) de Sophie Primas, Amel Gacquerre et Franck Montaugé, déposé au nom de la commission des affaires économiques le 6 juillet 2022.

* ⁹¹ Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724.

* ⁹² Une société contrôlée à 55 % par le monde agricole (Chambres d'agriculture France, instituts techniques, éditeurs de logiciels, Unigrain, Sofiprotéol, marché du porc) et à 45 % par le secteur public (Caisse des dépôts et consignations, Imprimerie nationale).

* ⁹³ Rapport de Sophie Primas, Amel Gacquerre et de Franck Montaugé, «  Cinq plans pour reconstruire la souveraineté économique », adopté par la commission des affaires économiques le 6 juillet 2022.

* ⁹⁴ Groupe d'experts, présidé par la Commission européenne, qui se compose de représentants des autorités compétentes en matière de services d'intermédiation de données et des autorités compétentes pour l'enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l'ENISA, de la Commission, du représentant de l'UE pour les PME ou d'un représentant désigné par le réseau des représentants des PME, et d'autres représentants d'organismes compétents dans des secteurs particuliers ainsi que d'organismes disposant d'une expertise particulière.

* ⁹⁵ Fixée à l'article 13 (1) du règlement européen sur la gouvernance des données.

* ⁹⁶ Auxquels il faut ajouter au minimum trois équivalents temps plein dès 2014, et trois supplémentaires en 2025, pour un montant identique par ETP (soit 480 000 euros par an d'ici deux ans) pour mettre en oeuvre l'interopérabilité et la portabilité des services d'informatique en nuage.

* ⁹⁷ Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724.

* ⁹⁸ En pratique, cela concerne en particulier la notification que ces prestataires de SID doivent envoyer à l'autorité compétente avant de pouvoir opérer sur ce marché (article 11 du règlement), et les quinze conditions fixées par l'article 12 du même règlement à leur activité.

* ⁹⁹ Aucun acte délégué n'est prévu pour l'heure, selon la Direction générale des entreprises.

* ¹⁰⁰ Article L. 32-4 du code des postes et des communications électroniques.

* ¹⁰¹ Article L. 32-5 du même code.

* ¹⁰² Article L. 32-4 du même code.

* ¹⁰³ Article L. 36-11 du même code.

* ¹⁰⁴ Idem.

* ¹⁰⁵ Article 14, paragraphes 4 à 6 du règlement.

* ¹⁰⁶  Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724.

* ¹⁰⁷ Considérant 4 du règlement européen sur la gouvernance des données.

* ¹⁰⁸ Considérant 35 du même règlement.

* ¹⁰⁹ Article 1, paragraphe 3 du même règlement.

* ¹¹⁰ Article 11, paragraphe 9 du règlement européen sur la gouvernance des données.

* ¹¹¹ Cette disposition vient préciser l'article 27 du règlement, qui prévoit la possibilité de telles réclamations.

* ¹¹² Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

* ¹¹³ Loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques.