Data Act et sous-traitants cloud : responsabilités

Le Data Act (règlement (UE) 2023/2854) ne se limite pas à l’accès aux données des objets connectés. Son chapitre VI (articles 23 à 31) impose des obligations spécifiques aux fournisseurs de services de traitement de données, c’est-à-dire les services cloud (IaaS, PaaS, SaaS) et les services edge computing. Ces obligations visent a lutter contre le verrouillage des clients (vendor lock-in), a faciliter la portabilité des données et le changement de fournisseur, et a garantir l’interopérabilité entre les services.

Pour les sous-traitants cloud – fournisseurs de services cloud, hébergeurs, éditeurs SaaS – le Data Act introduit des contraintes inédites qui modifient les pratiques contractuelles, techniques et commerciales du secteur.

Les obligations de portabilité et de changement de fournisseur

Le droit au changement de fournisseur (article 23)

Le Data Act consacre le droit des clients de changer de fournisseur de services cloud. Ce droit s’applique à tous les clients, qu’ils soient des entreprises ou des organisations publiques. Le fournisseur doit faciliter ce changement en supprimant les obstacles commerciaux, financiers, contractuels et techniques qui entravent le processus.

Les droits contractuels du client (article 25)

L’article 25 impose que les contrats de services cloud incluent des clauses garantissant au client le droit de porter ses données et actifs numériques vers un autre fournisseur ou de les rapatrier en interne, le droit à une assistance raisonnable du fournisseur sortant pendant la transition, le droit à la suppression effective des données chez le fournisseur sortant après la transition, et des délais de préavis raisonnables pour le changement de fournisseur.

La réduction progressive des frais de changement (article 29)

Le Data Act organise la disparition progressive des frais de changement de fournisseur cloud :

Periode	Frais autorisés
Jusqu’au 12 janvier 2027	Frais réduits (plafonnement)
À partir du 12 janvier 2027	Frais nuls

À compter du 12 janvier 2027, les fournisseurs de services cloud ne pourront plus facturer de frais de sortie (egress fees) ni de frais de changement de fournisseur à leurs clients. Cette disposition constitue un changement majeur pour le secteur cloud, ou les frais de sortie constituaient un mécanisme de fidélisation (et de verrouillage) important.

Les délais de transition

Le fournisseur sortant doit garantir un délai de transition maximum de 30 jours calendaires pour permettre au client de migrer ses données et ses actifs numériques vers le nouveau fournisseur. Pendant ce délai, le fournisseur sortant doit maintenir le service opérationnel et fournir l’assistance nécessaire à la migration.

Les obligations de portabilité des données

Le format des données exportées

Les données doivent être exportées dans un format structuré, couramment utilise et lisible par machine. Les formats propriétaires qui entraveraient l’exploitation des données par un autre fournisseur ne sont pas acceptables. Le fournisseur doit proposer des formats standards et documentés.

Les actifs numériques

Au-delà des données brutes, le Data Act étend la portabilité aux actifs numériques du client, c’est-à-dire les configurations, les applications, les machines virtuelles et les conteneurs. Le fournisseur doit permettre l’exportation de ces actifs dans des formats exploitables par d’autres services cloud.

La portabilité des données cloud

Le mécanisme de portabilité du Data Act va au-delà du droit à la portabilité du RGPD (article 20), qui est limité aux données personnelles. Le Data Act couvre l’ensemble des données et actifs numériques du client, y compris les données non personnelles, les configurations techniques, et les applications déployées.

L’interopérabilité des services cloud

Les exigences d’interopérabilité (articles 23 et 30)

Le Data Act impose aux fournisseurs de services cloud de respecter des exigences d’interopérabilité facilitant le changement de fournisseur et l’utilisation simultanee de services de plusieurs fournisseurs (multi-cloud). Ces exigences incluent l’utilisation d’interfaces ouvertes et documentées (API), le respect des normes et standards européens et internationaux, la compatibilité avec les formats de données standards, et la transparence sur les spécifications techniques des services.

Les exigences techniques d’interopérabilité feront l’objet de normes harmonisées et de spécifications communes élaborées sous la supervision de la Commission européenne.

Les interfaces ouvertes

Les fournisseurs de services cloud doivent mettre à disposition des interfaces (API) documentées, permettant aux clients et aux fournisseurs tiers d’interagir avec le service de manière standardisée. Ces interfaces doivent être gratuites et accessibles sans restriction disproportionnée.

L’articulation avec le RGPD

Le sous-traitant cloud au sens du RGPD

Les fournisseurs de services cloud qui traitent des données personnelles pour le compte de leurs clients sont des sous-traitants au sens de l’article 28 du RGPD. À ce titre, ils sont soumis aux obligations du RGPD en matière de sécurité, de notification des violations, de coopération et d’assistance.

Le Data Act ne modifie pas les obligations du RGPD. Les deux règlementations s’appliquent cumulativement. L’articulation entre Data Act et RGPD impose de gérer simultanément les obligations de portabilité du Data Act et les obligations de protection des données du RGPD.

La suppression des données

L’article 28 du Data Act impose au fournisseur sortant de supprimer les données du client après la transition, dans un délai raisonnable. Cette obligation rejoint l’obligation du RGPD (article 28.3.g) imposant au sous-traitant de supprimer les données personnelles après la fin de la prestation, selon le choix du responsable de traitement.

La suppression doit être effective et vérifiable. Le fournisseur doit être en mesure de démontrer que les données ont été supprimées de manière irrécupérable, y compris des sauvegardes, dans un délai raisonnable après la transition.

L’articulation avec DORA

Pour les sous-traitants cloud fournissant des services aux entités financières, les obligations du Data Act s’ajoutent a celles de DORA. Le règlement DORA impose des clauses contractuelles spécifiques en matière de sous-traitance TIC, incluant les plans de sortie, les droits d’audit et les obligations de continuité.

Les fournisseurs cloud désignés comme prestataires TIC critiques sous DORA sont soumis à un triple cadre réglementaire : Data Act, DORA et RGPD. La cohérence des politiques contractuelles et techniques est essentielle.

Les implications pratiques pour les fournisseurs cloud

La refonte des contrats

Les contrats de services cloud doivent être revus pour intégrer les clauses imposées par le Data Act. Les principales modifications portent sur la suppression des frais de sortie (à terme), l’inclusion des droits de portabilité des données et des actifs numériques, la définition des délais de transition et de l’assistance à la migration, les conditions de suppression des données après la transition, et les engagements d’interopérabilité.

L’adaptation technique

Les fournisseurs cloud doivent adapter leurs plateformes pour garantir l’export des données et des actifs numériques dans des formats standards, mettre à disposition des API documentées et interopérables, implémenter des mécanismes de suppression vérifiable des données, et supporter les processus de migration vers d’autres fournisseurs.

L’impact sur les modèles économiques

La suppression des frais de sortie obligé les fournisseurs cloud a revoir leurs modèles de tarification. Les revenus précédemment générés par les frais d’egress et de changement devront être compenses par d’autres mécanismes : amélioration des services, services à valeur ajoutée, fidélisation par la qualité plutôt que par le verrouillage.

Les sanctions

Le Data Act prévoit des sanctions effectives, proportionnées et dissuasives pour le non-respect de ses dispositions. Les États membres définissent les montants des sanctions dans leur législation nationale. Les autorités compétentes disposent de pouvoirs d’investigation et de sanction, pouvant inclure des amendes administratives, des injonctions de mise en conformité et des astreintes.

La mise en oeuvre effective des sanctions est un enjeu clé : les autorités nationales désignées (en France, la DGCCRF et l’ARCEP) devront disposer des moyens nécessaires pour contrôler la conformité des fournisseurs cloud au Data Act.

FAQ

Les fournisseurs cloud américains sont-ils soumis au Data Act ?

Oui. Le Data Act s’applique à tout fournisseur de services cloud proposant ses services à des clients situés dans l’Union européenne, indépendamment du lieu d’établissement du fournisseur. AWS, Microsoft Azure, Google Cloud et les autres fournisseurs américains sont pleinement soumis aux obligations du Data Act pour les services qu’ils fournissent à des clients européens. Cette extraterritorialite rejoint celle du RGPD et du AI Act.

Les frais d’egress sont-ils déjà interdits ?

Non, pas encore complètement. Le Data Act prévoit une période transitoire pendant laquelle les frais de changement sont réduits mais pas supprimés. La suppression totale des frais de changement s’appliquera à compter du 12 janvier 2027. Les fournisseurs doivent toutefois réduire progressivement ces frais et les rendre transparents dans leurs conditions contractuelles. Les frais restant autorisés pendant la période transitoire doivent être proportionnés aux coûts réels de mise à disposition.

Le Data Act s’applique-t-il aux solutions SaaS ?

Oui. Le Data Act s’applique aux “services de traitement de données”, définis comme les services numériques fournis à un client, permettant l’administration à la demande et un large accès à distance à un pool modulable et elastique de ressources informatiques partageables. Cette définition couvre les services IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service). Les éditeurs SaaS sont donc pleinement concernés par les obligations de portabilité, de changement de fournisseur et d’interopérabilité du Data Act.