Enquête sectorielle par l’ADLC sur le fonctionnement concurrentiel du secteur du cloud
Le 13 juillet 2022, l’Autorité a publié un document intermédiaire pour recueillir les observations de toutes les parties prenantes quant à la délimitation des marchés pertinents et les pratiques mises en oeuvre ou susceptibles d’être mises en oeuvre dans le secteur du cloud. Interview croisée de Mélanie Thill-Tayara et Laurence Bary, associées en droit de la concurrence du cabinet Dechert LLP.
Dans quel contexte s’inscrit l’ouverture de cette consultation publique par l’Autorité de la concurrence ?
MÉLANIE THILL-TAYARA : Le secteur du cloud connaît incontestablement une croissance rapide (+ 17 % par an en France d’ici 2025), représentant dans un contexte de digitalisation croissante de l’économie, un enjeu de plus en plus important pour les entreprises. Au fur et à mesure que leurs besoins en capacité de stockage et en puissance de calcul augmentent, notamment en raison du développement du commerce et des applications en ligne et la génération et conservation exponentielle de données qui en résulte, les acteurs économiques s’éloignent de l’ancien modèle fondé sur la détention de serveurs physiques (au sein de l’entreprise elle-même généralement) pour migrer sur le cloud (qu’il soit public ou privé). Mais en externalisant ainsi leurs infrastructures et services informatiques, les entreprises se rendent de plus en plus dépendantes du cloud. C’est vrai pour les acteurs traditionnels, mais également pour toute une nouvelle génération d’entreprises dites « cloud-native », qui développent leurs applications directement sur le cloud, sans détenir physiquement les logiciels ou les données correspondants. Il n’est donc pas surprenant que dans un tel contexte, l’Autorité s’intéresse au secteur pour en garantir le fonctionnement concurrentiel, notamment pour éviter des hausses de prix ou une monopolisation du marché par certains acteurs. Le développement du cloud soulève par ailleurs des questions tout à fait essentielles en matière de sécurité et de confidentialité des données qui y sont hébergées, que la consultation de l’Autorité aborde moins (même si elle mentionne la question du cloud de confiance).
La consultation publique concerne essentiellement le cloud public ou hybride. Les géants américains, AWS, Microsoft et Google dominent actuellement le secteur. Où en sont les entreprises françaises ?
LAURENCE BARY : Je ne suis pas certaine que la question de la nationalité des entreprises agissant dans ce secteur soit la plus pertinente. Il me semble qu’il faut avant tout distinguer, comme le fait d’ailleurs l’Autorité, entre les hyperscalers, ces entreprises de très grande taille ayant construit des capacités d’hébergement à l’échelle mondiale, et les autres fournisseurs de services cloud. Si l’Autorité identifie effectivement trois entreprises américaines (Google, Amazon et Microsoft) parmi les hyperscalers, elle mentionne aussi le chinois Alibaba, par exemple. Et parmi les autres fournisseurs non négligeables, on retrouve des entreprises importantes de l’hexagone, comme Orange, Atos ou Bouygues. Ceci étant, il est vrai que le développement d’entreprises françaises dans le secteur du cloud pose la question des accords qui peuvent se nouer entre certaines d’entre elles et les hyperscalers, justement. Ainsi, deux grandes entreprises françaises, Orange et Thalès, ont récemment conclu des partenariats avec Google Cloud, et Orange utilise également les technologies de Microsoft dans le cadre de son offre cloud. En fonction des termes de ces accords, de tels partenariats peuvent créer des risques de verrouillage du marché, d’où là encore l’intérêt de l’Autorité de la concurrence pour ces sujets.
L’enquête se concentre sur les éventuelles « pratiques d’ordre technique » rendant difficile le changement de fournisseur de services de cloud, ainsi que sur d’éventuelles pratiques commerciales faisant obstacles à l’entrée de nouveaux concurrents. À quoi les entreprises concernées doivent-elles s’attendre à l’issue de cette enquête ?
MÉLANIE THILL-TAYARA : La consultation de l’Autorité porte sur deux volets importants. Il y a tout d’abord la question de l’interopérabilité technique. La préoccupation sous-jacente exprimée par l’Autorité est d’assurer la concurrence d’un point de vue technologique et d’éviter la constitution d’environnements fermés dans lesquels les clients de services cloud se retrouveraient prisonniers. Cet aspect couvre à la fois la question de la portabilité, c’est-à-dire la possibilité technique de passer d’un fournisseur à un autre tout en conservant ses données, logiciels et algorithmes, et celle de l’interopérabilité stricto sensu, c’est-à-dire la possibilité d’échanger des données et de faire tourner les mêmes logiciels sur des clouds de fournisseurs différents, dans le but notamment de mettre en oeuvre des stratégies multi-cloud. Ces stratégies multi- cloud sont particulièrement importantes : elles permettent aux utilisateurs de recourir simultanément aux services cloud de plusieurs fournisseurs, sur le modèle du multi-homing, très fréquent dans le secteur numérique, et donc de faire jouer en permanence la concurrence entre les différents offreurs de ces services. Assurer la portabilité et l’interopérabilité sur le cloud repose en particulier sur l’utilisation de normes techniques communes et ouvertes et de logiciels open source, par opposition à des normes et logiciels propriétaires qui rendent potentiellement difficile le transfert ou partage des données et des applications.
LAURENCE BARY : Il y a ensuite la question de la flexibilité contractuelle. Dans un secteur en pleine croissance, l’Autorité cherche certainement à éviter tout verrouillage du marché qui empêcherait l’arrivée, ou la croissance de nouveaux entrants. En l’espèce, les risques identifiés sont liés à la fois à des pratiques que l’Autorité considère traditionnellement comme problématiques dès lors qu’elles sont mises en oeuvre par une entreprise dominante (par exemple des pratiques de vente liée ou de remises fidélisantes), mais aussi à des problématiques plus spécifiques au secteur du cloud, relatives notamment aux frais prélevés par certains fournisseurs sur les flux de données sortants, qui ont pour effet de retenir les utilisateurs chez un prestataire donné. Dans ce cas, en effet, télécharger les données de l’entreprise utilisatrice vers le cloud est gratuit, mais les récupérer ou les transférer ensuite sur un cloud concurrent génère des frais de trafic qui peuvent être dissuasifs. S’assurer que les dispositions contractuelles des principaux acteurs, notamment les hyperscalers, ne contiennent pas de clauses susceptibles de rendre plus difficile le passage d’un fournisseur à un autre est donc un point-clé.
MÉLANIE THILL-TAYARA : S’agissant des prochaines étapes, les enquêtes sectorielles permettent à l’Autorité d’évaluer les risques de verrouillage du marché et la nécessité, le cas échéant, d’une action répressive. D’une part, l’avis qui sera rendu par l’Autorité au terme de son enquête lui permettra de définir un cadre d’analyse sur le fonctionnement de ce secteur. D’autre part, cet avis pourra le cas échéant être suivi de procédures contentieuses (avec désormais la possibilité pour l’Autorité de s’autosaisir pour prononcer des mesures conservatoires si elle le juge nécessaire).
Le document intermédiaire interroge les parties prenantes sur la création de nouvelles entités destinées à proposer notamment des offres de « cloud de confiance », l’une des stratégies lancées en France en 2021 afin de garantir la souveraineté numérique française. Qu’en pensez-vous ?
LAURENCE BARY : Depuis quelque temps maintenant, l’Europe est devenue moteur sur les enjeux numériques, et en particulier sur les données. Le RGPD comme le Digital Market Act, qui vient d’être adopté, traitent de cette question de la sécurité et de la confidentialité des données numériques. Le sujet du cloud de confiance, qui n’est pas limité à la France mais se pose aujourd’hui dans plusieurs pays européens, s’inscrit dans cette mouvance, avec l’objectif d’éviter l’appropriation de données européennes par des entreprises étrangères, et la perte de souveraineté qui en découlerait potentiellement. Il est d’ailleurs intéressant de noter qu’au Royaume-Uni, le régulateur a demandé aux banques de démontrer qu’elles pourraient, le cas échéant, rapatrier leurs données d’un cloud public (et non-souverain) à un cloud privé, voire sur des serveurs détenus en propre. C’est une réflexion qui apparait tout à fait importante à l’échelle européenne.
Le secteur du cloud s’inscrit dans un contexte économique et réglementaire en constante évolution. Comment percevez-vous les principales évolutions du cadre législatif pour les prochaines années ?
MÉLANIE THILL-TAYARA : Le droit de la concurrence est d’ores et déjà un outil puissant si on cherche à éviter une mainmise des hyperscalers sur le marché et assurer sa contestabilité, comme l’initiative de l’Autorité le démontre. Le Digital Market Act peut également avoir un rôle à jouer, notamment sur la question de l’interopérabilité et de la portabilité des données détenues par ces hyperscalers. Enfin, le projet de règlement sur les données, annoncé par la Commission européenne le 23 février 2022 et destiné à stimuler l’innovation fondée sur les données et le développement d’un marché des données concurrentiel, apporterait, s’il est adopté, une pierre supplémentaire à l’édifice réglementaire applicable aux services de cloud.