Portabilite cloud : les nouvelles obligations du Data Act

Le chapitre VI du Data Act (reglement (UE) 2023/2854) introduit un cadre contraignant pour faciliter le changement de fournisseur de services de traitement de donnees. Cette designation couvre les services d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS). L’objectif du legislateur europeen est clair : mettre fin aux pratiques de verrouillage (vendor lock-in) qui entravent la mobilite des clients sur le marche cloud europeen et qui concentrent le pouvoir de marche entre les mains d’un nombre restreint d’acteurs.

Le constat : un marche cloud verrouille

Le marche europeen du cloud est domine par trois acteurs principaux – Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) – qui representent ensemble plus de 65 % des parts de marche. Cette concentration s’accompagne de pratiques bien documentees de verrouillage :

• Frais de sortie (egress fees) : facturation de la bande passante sortante, rendant les transferts de donnees vers un autre fournisseur economiquement dissuasifs.
• Formats proprietaires : utilisation de formats de donnees, d’API et de protocoles specifiques a chaque fournisseur, rendant la migration techniquement complexe.
• Credits et rabais conditionnes : programmes commerciaux liant le client sur plusieurs annees avec des penalites de sortie implicites.
• Integration verticale : ecosystemes fermes ou les services sont etroitement couples, augmentant le cout de remplacement de chaque composant.

L’enquete menee par la Commission europeenne dans le cadre de la preparation du Data Act a revele que plus de 80 % des entreprises ayant envisage un changement de fournisseur cloud y ont renonce en raison des obstacles techniques et financiers. Le Data Act entend remedier a cette situation.

Les obligations du chapitre VI

Suppression progressive des frais de transfert

L’article 29 du Data Act impose la suppression des frais de changement de fournisseur selon un calendrier progressif :

• Du 12 septembre 2025 au 11 janvier 2027 : les frais de changement sont reduits progressivement. Le fournisseur ne peut facturer que les couts directement lies au processus de migration, et ces couts doivent etre transparents et proportionnes.
• A compter du 12 janvier 2027 : les frais de changement de fournisseur sont integralement supprimes. Le fournisseur d’origine ne peut plus facturer aucun frais lie au processus de migration vers un autre fournisseur ou au rapatriement des donnees en interne.

Cette suppression couvre l’ensemble des frais directement ou indirectement lies au changement : frais de transfert de donnees (egress fees), frais de resiliation anticipee lies specifiquement au changement, et tout autre cout impose par le fournisseur d’origine en raison du changement.

Il convient de noter que cette obligation ne couvre pas les frais factures par le fournisseur de destination pour l’accueil des donnees et services migres, ni les frais lies a l’infrastructure propre du client.

Delai de transition maximal de 30 jours

L’article 25 prevoit que le processus de changement de fournisseur doit pouvoir etre initie et complete dans un delai maximal de 30 jours calendaires a compter du debut de la periode de transition. Ce delai couvre l’ensemble du processus, y compris :

• La preparation technique de la migration.
• Le transfert effectif des donnees exportables et des actifs numeriques.
• La transition operationnelle vers le nouveau service.

Le fournisseur d’origine et le fournisseur de destination doivent cooperer de bonne foi pour respecter ce delai. Le fournisseur d’origine doit notamment fournir un soutien raisonnable pendant la periode de transition.

Des prolongations du delai sont possibles par accord mutuel des parties, dans la limite de six mois au total, lorsque la complexite technique de la migration le justifie. Toutefois, le fournisseur d’origine ne peut pas imposer unilateralement une prolongation.

Obligation d’equivalence fonctionnelle

L’article 26 introduit une obligation specifique relative a l’equivalence fonctionnelle. Le fournisseur d’origine doit prendre toutes les mesures raisonnables pour faciliter l’atteinte, par le client, d’une equivalence fonctionnelle dans l’utilisation du nouveau service de traitement de donnees.

Cette obligation ne signifie pas que le fournisseur d’origine doit garantir que le service de destination sera techniquement identique. Elle impose en revanche :

• La fourniture de toutes les informations techniques necessaires pour permettre la migration (schemas de donnees, configurations, parametres).
• La mise a disposition d’outils d’export dans des formats ouverts et interoperables.
• L’assistance technique raisonnable pendant la phase de transition.
• La documentation des fonctionnalites specifiques susceptibles d’affecter la portabilite.

Formats d’export et interoperabilite

L’article 28 impose des exigences precises en matiere de formats d’export des donnees :

• Les donnees doivent etre exportees dans un format structure, couramment utilise et lisible par machine.
• Les actifs numeriques exportables (configurations, parametres, metadonnees, journaux d’acces) doivent egalement etre fournis dans des formats permettant leur reutilisation par le fournisseur de destination.
• Lorsque des normes ouvertes existent pour le type de donnees concerne, le fournisseur doit les utiliser.

La Commission europeenne est habilitee a adopter des actes delegues pour specifier les normes d’interoperabilite et les formats d’export applicables a certaines categories de services. Ces normes harmonisees faciliteront la migration technique entre fournisseurs.

Interdiction des obstacles artificiels

Le Data Act interdit les pratiques visant a creer ou a maintenir des obstacles artificiels au changement de fournisseur. Sont notamment visees :

• L’utilisation deliberee de formats proprietaires lorsque des alternatives ouvertes existent.
• La degradation de la qualite de service pendant la periode de preavis ou de transition.
• L’introduction de dependances techniques artificielles rendant la migration plus complexe qu’elle ne devrait l’etre.
• Le refus de fournir les informations techniques necessaires a la migration.

Obligations de transparence precontractuelle

L’article 27 impose aux fournisseurs de services cloud une obligation de transparence renforcee. Avant la conclusion du contrat, le client doit etre informe de maniere claire et detaillee :

• Des procedures de changement de fournisseur, y compris les etapes techniques et les delais previsibles.
• Des categories de donnees et d’actifs numeriques pouvant etre exportes.
• Des limitations techniques connues susceptibles d’affecter la migration.
• Des frais applicables pendant la periode transitoire (avant le 12 janvier 2027).
• Des garanties offertes en matiere de suppression des donnees apres la migration.

Ces informations doivent etre fournies de maniere structuree et facilement accessible, et doivent etre maintenues a jour tout au long de la relation contractuelle.

Impact sur les hyperscalers : AWS, Azure, GCP

Les trois principaux fournisseurs cloud ont du adapter – ou devront adapter – leurs pratiques pour se conformer au Data Act.

Amazon Web Services

AWS avait anticipe partiellement ces evolutions en supprimant ses frais d’egress pour les clients quittant la plateforme des mai 2024. Toutefois, le Data Act va au-dela de la seule suppression des frais de bande passante. AWS devra egalement garantir l’exportabilite de l’ensemble des actifs numeriques associes aux services utilises par le client, y compris les configurations de services proprietaires comme Lambda, DynamoDB ou CloudFormation.

Microsoft Azure

Azure sera confronte a des enjeux specifiques lies a l’integration de ses services cloud avec l’ecosysteme Microsoft 365 et Dynamics. Le Data Act impose que les donnees et actifs numeriques soient exportables independamment de cette integration, ce qui pourrait necessiter des modifications architecturales significatives.

Google Cloud Platform

GCP devra notamment garantir la portabilite des configurations BigQuery, des modeles Vertex AI et des pipelines Dataflow. Les formats d’export devront etre suffisamment documentes pour permettre une reconstitution effective des services chez un fournisseur alternatif.

Au-dela des trois hyperscalers, l’ensemble des fournisseurs de services SaaS, PaaS et IaaS operant sur le marche europeen sont concernes. Les fournisseurs europeens (OVHcloud, Scaleway, Deutsche Telekom Cloud, etc.) doivent egalement se conformer aux memes obligations, bien qu’ils soient generalement mieux positionnes en raison de leurs pratiques deja plus ouvertes.

Guide pratique : les etapes d’une migration conforme

Pour les entreprises souhaitant exploiter les droits conferes par le Data Act pour changer de fournisseur cloud, voici un processus structure :

Phase 1 : Evaluation (semaines 1-2)

1. Inventaire des services et donnees : dresser la liste exhaustive des services cloud utilises, des donnees stockees et des actifs numeriques associes.
2. Analyse des dependances : identifier les dependances techniques entre les differents services et les risques de rupture fonctionnelle.
3. Selection du fournisseur de destination : evaluer les fournisseurs alternatifs en termes d’equivalence fonctionnelle, de localisation des donnees et de conditions contractuelles.

Phase 2 : Preparation (semaines 2-3)

4. Notification au fournisseur d’origine : informer formellement le fournisseur de l’intention de migrer et declencher la periode de transition.
5. Demande des exports : exiger la fourniture des donnees et actifs numeriques dans les formats prevus par le Data Act.
6. Planification technique : etablir un plan de migration detaille avec le fournisseur de destination, incluant les tests de validation.

Phase 3 : Migration (semaines 3-4)

7. Transfert des donnees : proceder au transfert effectif des donnees et des actifs numeriques.
8. Reconfiguration : reconstituer l’environnement technique chez le nouveau fournisseur.
9. Validation : verifier l’equivalence fonctionnelle et l’integrite des donnees migrees.

Phase 4 : Finalisation (semaine 4+)

10. Basculement : rediriger les flux operationnels vers le nouveau fournisseur.
11. Verification de la suppression : s’assurer que le fournisseur d’origine a effectivement supprime les donnees et actifs conformement aux obligations contractuelles et reglementaires.
12. Documentation : conserver les preuves du processus de migration a des fins de conformite.

Implications pour les contrats existants

Les contrats cloud conclus avant l’entree en application du Data Act doivent etre analyses a la lumiere des nouvelles obligations. Les clauses contractuelles suivantes sont susceptibles d’etre affectees :

• Clauses de duree et de resiliation : les penalites de resiliation anticipee liees au changement de fournisseur ne sont plus opposables.
• Clauses de propriete des donnees : le Data Act confirme que les donnees du client lui appartiennent et doivent etre restituees sur demande.
• Clauses de niveau de service (SLA) : les SLA doivent couvrir la periode de transition et garantir le maintien de la qualite de service pendant la migration.
• Clauses de confidentialite : elles restent applicables mais ne peuvent pas etre invoquees pour refuser la portabilite des donnees.

Articulation avec le RGPD

Lorsque les donnees migrees incluent des donnees a caractere personnel, la portabilite cloud au titre du Data Act doit s’articuler avec les exigences du RGPD :

• Le transfert de donnees vers un nouveau fournisseur constitue un traitement au sens du RGPD, qui doit reposer sur une base legale appropriee.
• Si le nouveau fournisseur est etabli hors de l’Espace economique europeen, les mecanismes de transfert international du RGPD (chapitre V) s’appliquent pleinement.
• Le contrat avec le nouveau fournisseur doit inclure les clauses requises par l’article 28 du RGPD si le fournisseur agit en qualite de sous-traitant.
• Les mesures de securite techniques et organisationnelles doivent etre maintenues tout au long du processus de migration.

Conclusion

Le chapitre VI du Data Act constitue une intervention reglementaire sans precedent sur le marche du cloud computing en Europe. En imposant la suppression des frais de transfert, l’exportabilite des donnees et des actifs numeriques, et en fixant un delai maximal de transition, le legislateur europeen s’attaque directement aux mecanismes structurels du verrouillage fournisseur. Pour les entreprises, ces nouvelles dispositions representent une opportunite concrete de reprendre le controle de leur strategie cloud et de negocier des conditions contractuelles plus favorables. La cle du succes reside dans une preparation methodique et dans une connaissance precise des droits que le Data Act confere desormais a tout client de services cloud.