Data Act et sous-traitants cloud : responsabilites

Le Data Act (reglement (UE) 2023/2854) ne se limite pas a l’acces aux donnees des objets connectes. Son chapitre VI (articles 23 a 31) impose des obligations specifiques aux fournisseurs de services de traitement de donnees, c’est-a-dire les services cloud (IaaS, PaaS, SaaS) et les services edge computing. Ces obligations visent a lutter contre le verrouillage des clients (vendor lock-in), a faciliter la portabilite des donnees et le changement de fournisseur, et a garantir l’interoperabilite entre les services.

Pour les sous-traitants cloud – fournisseurs de services cloud, hebergeurs, editeurs SaaS – le Data Act introduit des contraintes inedites qui modifient les pratiques contractuelles, techniques et commerciales du secteur.

Les obligations de portabilite et de changement de fournisseur

Le droit au changement de fournisseur (article 23)

Le Data Act consacre le droit des clients de changer de fournisseur de services cloud. Ce droit s’applique a tous les clients, qu’ils soient des entreprises ou des organisations publiques. Le fournisseur doit faciliter ce changement en supprimant les obstacles commerciaux, financiers, contractuels et techniques qui entravent le processus.

Les droits contractuels du client (article 25)

L’article 25 impose que les contrats de services cloud incluent des clauses garantissant au client le droit de porter ses donnees et actifs numeriques vers un autre fournisseur ou de les rapatrier en interne, le droit a une assistance raisonnable du fournisseur sortant pendant la transition, le droit a la suppression effective des donnees chez le fournisseur sortant apres la transition, et des delais de preavis raisonnables pour le changement de fournisseur.

La reduction progressive des frais de changement (article 29)

Le Data Act organise la disparition progressive des frais de changement de fournisseur cloud :

Periode	Frais autorises
Jusqu’au 12 janvier 2027	Frais reduits (plafonnement)
A partir du 12 janvier 2027	Frais nuls

A compter du 12 janvier 2027, les fournisseurs de services cloud ne pourront plus facturer de frais de sortie (egress fees) ni de frais de changement de fournisseur a leurs clients. Cette disposition constitue un changement majeur pour le secteur cloud, ou les frais de sortie constituaient un mecanisme de fidelisation (et de verrouillage) important.

Les delais de transition

Le fournisseur sortant doit garantir un delai de transition maximum de 30 jours calendaires pour permettre au client de migrer ses donnees et ses actifs numeriques vers le nouveau fournisseur. Pendant ce delai, le fournisseur sortant doit maintenir le service operationnel et fournir l’assistance necessaire a la migration.

Les obligations de portabilite des donnees

Le format des donnees exportees

Les donnees doivent etre exportees dans un format structure, couramment utilise et lisible par machine. Les formats proprietaires qui entraveraient l’exploitation des donnees par un autre fournisseur ne sont pas acceptables. Le fournisseur doit proposer des formats standards et documentes.

Les actifs numeriques

Au-dela des donnees brutes, le Data Act etend la portabilite aux actifs numeriques du client, c’est-a-dire les configurations, les applications, les machines virtuelles et les conteneurs. Le fournisseur doit permettre l’exportation de ces actifs dans des formats exploitables par d’autres services cloud.

La portabilite des donnees cloud

Le mecanisme de portabilite du Data Act va au-dela du droit a la portabilite du RGPD (article 20), qui est limite aux donnees personnelles. Le Data Act couvre l’ensemble des donnees et actifs numeriques du client, y compris les donnees non personnelles, les configurations techniques, et les applications deployees.

L’interoperabilite des services cloud

Les exigences d’interoperabilite (articles 23 et 30)

Le Data Act impose aux fournisseurs de services cloud de respecter des exigences d’interoperabilite facilitant le changement de fournisseur et l’utilisation simultanee de services de plusieurs fournisseurs (multi-cloud). Ces exigences incluent l’utilisation d’interfaces ouvertes et documentees (API), le respect des normes et standards europeens et internationaux, la compatibilite avec les formats de donnees standards, et la transparence sur les specifications techniques des services.

Les exigences techniques d’interoperabilite feront l’objet de normes harmonisees et de specifications communes elaborees sous la supervision de la Commission europeenne.

Les interfaces ouvertes

Les fournisseurs de services cloud doivent mettre a disposition des interfaces (API) documentees, permettant aux clients et aux fournisseurs tiers d’interagir avec le service de maniere standardisee. Ces interfaces doivent etre gratuites et accessibles sans restriction disproportionnee.

L’articulation avec le RGPD

Le sous-traitant cloud au sens du RGPD

Les fournisseurs de services cloud qui traitent des donnees personnelles pour le compte de leurs clients sont des sous-traitants au sens de l’article 28 du RGPD. A ce titre, ils sont soumis aux obligations du RGPD en matiere de securite, de notification des violations, de cooperation et d’assistance.

Le Data Act ne modifie pas les obligations du RGPD. Les deux reglementations s’appliquent cumulativement. L’articulation entre Data Act et RGPD impose de gerer simultanement les obligations de portabilite du Data Act et les obligations de protection des donnees du RGPD.

La suppression des donnees

L’article 28 du Data Act impose au fournisseur sortant de supprimer les donnees du client apres la transition, dans un delai raisonnable. Cette obligation rejoint l’obligation du RGPD (article 28.3.g) imposant au sous-traitant de supprimer les donnees personnelles apres la fin de la prestation, selon le choix du responsable de traitement.

La suppression doit etre effective et verifiable. Le fournisseur doit etre en mesure de demontrer que les donnees ont ete supprimees de maniere irrecuperable, y compris des sauvegardes, dans un delai raisonnable apres la transition.

L’articulation avec DORA

Pour les sous-traitants cloud fournissant des services aux entites financieres, les obligations du Data Act s’ajoutent a celles de DORA. Le reglement DORA impose des clauses contractuelles specifiques en matiere de sous-traitance TIC, incluant les plans de sortie, les droits d’audit et les obligations de continuite.

Les fournisseurs cloud designes comme prestataires TIC critiques sous DORA sont soumis a un triple cadre reglementaire : Data Act, DORA et RGPD. La coherence des politiques contractuelles et techniques est essentielle.

Les implications pratiques pour les fournisseurs cloud

La refonte des contrats

Les contrats de services cloud doivent etre revus pour integrer les clauses imposees par le Data Act. Les principales modifications portent sur la suppression des frais de sortie (a terme), l’inclusion des droits de portabilite des donnees et des actifs numeriques, la definition des delais de transition et de l’assistance a la migration, les conditions de suppression des donnees apres la transition, et les engagements d’interoperabilite.

L’adaptation technique

Les fournisseurs cloud doivent adapter leurs plateformes pour garantir l’export des donnees et des actifs numeriques dans des formats standards, mettre a disposition des API documentees et interoperables, implementer des mecanismes de suppression verifiable des donnees, et supporter les processus de migration vers d’autres fournisseurs.

L’impact sur les modeles economiques

La suppression des frais de sortie oblige les fournisseurs cloud a revoir leurs modeles de tarification. Les revenus precedemment generes par les frais d’egress et de changement devront etre compenses par d’autres mecanismes : amelioration des services, services a valeur ajoutee, fidelisation par la qualite plutot que par le verrouillage.

Les sanctions

Le Data Act prevoit des sanctions effectives, proportionnees et dissuasives pour le non-respect de ses dispositions. Les Etats membres definissent les montants des sanctions dans leur legislation nationale. Les autorites competentes disposent de pouvoirs d’investigation et de sanction, pouvant inclure des amendes administratives, des injonctions de mise en conformite et des astreintes.

La mise en oeuvre effective des sanctions est un enjeu cle : les autorites nationales designees (en France, la DGCCRF et l’ARCEP) devront disposer des moyens necessaires pour controler la conformite des fournisseurs cloud au Data Act.

FAQ

Les fournisseurs cloud americains sont-ils soumis au Data Act ?

Oui. Le Data Act s’applique a tout fournisseur de services cloud proposant ses services a des clients situes dans l’Union europeenne, independamment du lieu d’etablissement du fournisseur. AWS, Microsoft Azure, Google Cloud et les autres fournisseurs americains sont pleinement soumis aux obligations du Data Act pour les services qu’ils fournissent a des clients europeens. Cette extraterritorialite rejoint celle du RGPD et du AI Act.

Les frais d’egress sont-ils deja interdits ?

Non, pas encore completement. Le Data Act prevoit une periode transitoire pendant laquelle les frais de changement sont reduits mais pas supprimes. La suppression totale des frais de changement s’appliquera a compter du 12 janvier 2027. Les fournisseurs doivent toutefois reduire progressivement ces frais et les rendre transparents dans leurs conditions contractuelles. Les frais restant autorises pendant la periode transitoire doivent etre proportionnes aux couts reels de mise a disposition.

Le Data Act s’applique-t-il aux solutions SaaS ?

Oui. Le Data Act s’applique aux “services de traitement de donnees”, definis comme les services numeriques fournis a un client, permettant l’administration a la demande et un large acces a distance a un pool modulable et elastique de ressources informatiques partageables. Cette definition couvre les services IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service). Les editeurs SaaS sont donc pleinement concernes par les obligations de portabilite, de changement de fournisseur et d’interoperabilite du Data Act.