Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Portabilite cloud : les nouvelles obligations du Data Act
Data Act

Portabilite cloud : les nouvelles obligations du Data Act

Le Data Act facilité le changement de fournisseur cloud : portabilité, interopérabilité et suppression des frais de transfert.

Par Thiébaut DevergrannePublie le 12 mars 2026Mis a jour le 12 mars 202610 min de lecture
Sommaire
  1. Le constat : un marché cloud verrouillé
  2. Les obligations du chapitre VI
  3. Impact sur les hyperscalers : AWS, Azure, GCP
  4. Guide pratique : les étapes d’une migration conforme
  5. Implications pour les contrats existants
  6. Articulation avec le RGPD
  7. Conclusion

Le chapitre VI du Data Act (règlement (UE) 2023/2854) introduit un cadre contraignant pour faciliter le changement de fournisseur de services de traitement de données. Cette désignation couvre les services d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS). L’objectif du législateur européen est clair : mettre fin aux pratiques de verrouillage (vendor lock-in) qui entravent la mobilite des clients sur le marché cloud européen et qui concentrent le pouvoir de marché entre les mains d’un nombre restreint d’acteurs.

Le constat : un marché cloud verrouillé

Le marché européen du cloud est domine par trois acteurs principaux – Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) – qui représentent ensemble plus de 65 % des parts de marché. Cette concentration s’accompagne de pratiques bien documentées de verrouillage :

  • Frais de sortie (egress fees) : facturation de la bande passante sortante, rendant les transferts de données vers un autre fournisseur économiquement dissuasifs.
  • Formats propriétaires : utilisation de formats de données, d’API et de protocoles spécifiques à chaque fournisseur, rendant la migration techniquement complexe.
  • Credits et rabais conditionnes : programmes commerciaux liant le client sur plusieurs années avec des pénalités de sortie implicites.
  • Integration verticale : écosystèmes fermes ou les services sont étroitement couples, augmentant le coût de remplacement de chaque composant.

L’enquête menée par la Commission européenne dans le cadre de la préparation du Data Act a révèle que plus de 80 % des entreprises ayant envisagé un changement de fournisseur cloud y ont renoncé en raison des obstacles techniques et financiers. Le Data Act entend remédier à cette situation.

Les obligations du chapitre VI

Suppression progressive des frais de transfert

L’article 29 du Data Act impose la suppression des frais de changement de fournisseur selon un calendrier progressif :

  • Du 12 septembre 2025 au 11 janvier 2027 : les frais de changement sont réduits progressivement. Le fournisseur ne peut facturer que les coûts directement lies au processus de migration, et ces coûts doivent être transparents et proportionnés.
  • À compter du 12 janvier 2027 : les frais de changement de fournisseur sont intégralement supprimés. Le fournisseur d’origine ne peut plus facturer aucun frais lie au processus de migration vers un autre fournisseur ou au rapatriement des données en interne.

Cette suppression couvre l’ensemble des frais directement ou indirectement lies au changement : frais de transfert de données (egress fees), frais de résiliation anticipée lies spécifiquement au changement, et tout autre coût impose par le fournisseur d’origine en raison du changement.

Il convient de noter que cette obligation ne couvre pas les frais factures par le fournisseur de destination pour l’accueil des données et services migres, ni les frais lies à l’infrastructure propre du client.

Délai de transition maximal de 30 jours

L’article 25 prévoit que le processus de changement de fournisseur doit pouvoir être initié et complète dans un délai maximal de 30 jours calendaires à compter du début de la période de transition. Ce délai couvre l’ensemble du processus, y compris :

  • La préparation technique de la migration.
  • Le transfert effectif des données exportables et des actifs numériques.
  • La transition opérationnelle vers le nouveau service.

Le fournisseur d’origine et le fournisseur de destination doivent coopérer de bonne foi pour respecter ce délai. Le fournisseur d’origine doit notamment fournir un soutien raisonnable pendant la période de transition.

Des prolongations du délai sont possibles par accord mutuel des parties, dans la limite de six mois au total, lorsque la complexité technique de la migration le justifié. Toutefois, le fournisseur d’origine ne peut pas imposer unilatéralement une prolongation.

Obligation d’équivalence fonctionnelle

L’article 26 introduit une obligation spécifique relative à l’équivalence fonctionnelle. Le fournisseur d’origine doit prendre toutes les mesures raisonnables pour faciliter l’atteinte, par le client, d’une équivalence fonctionnelle dans l’utilisation du nouveau service de traitement de données.

Cette obligation ne signifie pas que le fournisseur d’origine doit garantir que le service de destination sera techniquement identique. Elle impose en revanche :

  • La fourniture de toutes les informations techniques nécessaires pour permettre la migration (schémas de données, configurations, paramètres).
  • La mise à disposition d’outils d’export dans des formats ouverts et interopérables.
  • L’assistance technique raisonnable pendant la phase de transition.
  • La documentation des fonctionnalités spécifiques susceptibles d’affecter la portabilité.

Formats d’export et interopérabilité

L’article 28 impose des exigences précises en matière de formats d’export des données :

  • Les données doivent être exportées dans un format structuré, couramment utilise et lisible par machine.
  • Les actifs numériques exportables (configurations, paramètres, metadonnees, journaux d’accès) doivent également être fournis dans des formats permettant leur réutilisation par le fournisseur de destination.
  • Lorsque des normes ouvertes existent pour le type de données concerné, le fournisseur doit les utiliser.

La Commission européenne est habilitée a adopter des actes délégués pour spécifier les normes d’interopérabilité et les formats d’export applicables à certaines catégories de services. Ces normes harmonisées faciliteront la migration technique entre fournisseurs.

Interdiction des obstacles artificiels

Le Data Act interdit les pratiques visant à créer ou a maintenir des obstacles artificiels au changement de fournisseur. Sont notamment visées :

  • L’utilisation délibérée de formats propriétaires lorsque des alternatives ouvertes existent.
  • La dégradation de la qualité de service pendant la période de préavis ou de transition.
  • L’introduction de dépendances techniques artificielles rendant la migration plus complexe qu’elle ne devrait l’être.
  • Le refus de fournir les informations techniques nécessaires à la migration.

Obligations de transparence précontractuelle

L’article 27 impose aux fournisseurs de services cloud une obligation de transparence renforcée. Avant la conclusion du contrat, le client doit être informe de manière claire et détaillée :

  • Des procédures de changement de fournisseur, y compris les étapes techniques et les délais prévisibles.
  • Des catégories de données et d’actifs numériques pouvant être exportes.
  • Des limitations techniques connues susceptibles d’affecter la migration.
  • Des frais applicables pendant la période transitoire (avant le 12 janvier 2027).
  • Des garanties offertes en matière de suppression des données après la migration.

Ces informations doivent être fournies de manière structurée et facilement accessible, et doivent être maintenues à jour tout au long de la relation contractuelle.

Impact sur les hyperscalers : AWS, Azure, GCP

Les trois principaux fournisseurs cloud ont du adapter – ou devront adapter – leurs pratiques pour se conformer au Data Act.

Amazon Web Services

AWS avait anticipé partiellement ces évolutions en supprimant ses frais d’egress pour les clients quittant la plateforme des mai 2024. Toutefois, le Data Act va au-delà de la seule suppression des frais de bande passante. AWS devra également garantir l’exportabilite de l’ensemble des actifs numériques associés aux services utilisés par le client, y compris les configurations de services propriétaires comme Lambda, DynamoDB ou CloudFormation.

Microsoft Azure

Azure sera confronté à des enjeux spécifiques lies à l’intégration de ses services cloud avec l’écosystème Microsoft 365 et Dynamics. Le Data Act impose que les données et actifs numériques soient exportables indépendamment de cette intégration, ce qui pourrait nécessiter des modifications architecturales significatives.

Google Cloud Platform

GCP devra notamment garantir la portabilité des configurations BigQuery, des modèles Vertex AI et des pipelines Dataflow. Les formats d’export devront être suffisamment documentés pour permettre une reconstitution effective des services chez un fournisseur alternatif.

Au-delà des trois hyperscalers, l’ensemble des fournisseurs de services SaaS, PaaS et IaaS opérant sur le marché européen sont concernés. Les fournisseurs européens (OVHcloud, Scaleway, Deutsche Telekom Cloud, etc.) doivent également se conformer aux mêmes obligations, bien qu’ils soient généralement mieux positionnes en raison de leurs pratiques déjà plus ouvertes.

Guide pratique : les étapes d’une migration conforme

Pour les entreprises souhaitant exploiter les droits conférés par le Data Act pour changer de fournisseur cloud, voici un processus structuré :

Phase 1 : Évaluation (semaines 1-2)

  1. Inventaire des services et données : dresser la liste exhaustive des services cloud utilisés, des données stockées et des actifs numériques associés.
  2. Analyse des dépendances : identifier les dépendances techniques entre les différents services et les risques de rupture fonctionnelle.
  3. Selection du fournisseur de destination : évaluer les fournisseurs alternatifs en termes d’équivalence fonctionnelle, de localisation des données et de conditions contractuelles.

Phase 2 : Préparation (semaines 2-3)

  1. Notification au fournisseur d’origine : informer formellement le fournisseur de l’intention de migrer et déclencher la période de transition.
  2. Demande des exports : exiger la fourniture des données et actifs numériques dans les formats prévus par le Data Act.
  3. Planification technique : établir un plan de migration détaillé avec le fournisseur de destination, incluant les tests de validation.

Phase 3 : Migration (semaines 3-4)

  1. Transfert des données : procéder au transfert effectif des données et des actifs numériques.
  2. Reconfiguration : reconstituer l’environnement technique chez le nouveau fournisseur.
  3. Validation : vérifier l’équivalence fonctionnelle et l’intégrité des données migrees.

Phase 4 : Finalisation (semaine 4+)

  1. Basculement : rediriger les flux opérationnels vers le nouveau fournisseur.
  2. Vérification de la suppression : s’assurer que le fournisseur d’origine a effectivement supprimé les données et actifs conformément aux obligations contractuelles et réglementaires.
  3. Documentation : conserver les preuves du processus de migration à des fins de conformité.

Implications pour les contrats existants

Les contrats cloud conclus avant l’entrée en application du Data Act doivent être analyses à la lumière des nouvelles obligations. Les clauses contractuelles suivantes sont susceptibles d’être affectées :

  • Clauses de durée et de résiliation : les pénalités de résiliation anticipée liées au changement de fournisseur ne sont plus opposables.
  • Clauses de propriété des données : le Data Act confirmé que les données du client lui appartiennent et doivent être restituees sur demande.
  • Clauses de niveau de service (SLA) : les SLA doivent couvrir la période de transition et garantir le maintien de la qualité de service pendant la migration.
  • Clauses de confidentialité : elles restent applicables mais ne peuvent pas être invoquées pour refuser la portabilité des données.

Articulation avec le RGPD

Lorsque les données migrees incluent des données à caractère personnel, la portabilité cloud au titre du Data Act doit s’articuler avec les exigences du RGPD :

  • Le transfert de données vers un nouveau fournisseur constitue un traitement au sens du RGPD, qui doit reposer sur une base légale appropriée.
  • Si le nouveau fournisseur est établi hors de l’Espace économique européen, les mécanismes de transfert international du RGPD (chapitre V) s’appliquent pleinement.
  • Le contrat avec le nouveau fournisseur doit inclure les clauses requises par l’article 28 du RGPD si le fournisseur agit en qualité de sous-traitant.
  • Les mesures de sécurité techniques et organisationnelles doivent être maintenues tout au long du processus de migration.

Conclusion

Le chapitre VI du Data Act constitue une intervention réglementaire sans précédent sur le marché du cloud computing en Europe. En imposant la suppression des frais de transfert, l’exportabilite des données et des actifs numériques, et en fixant un délai maximal de transition, le législateur européen s’attaque directement aux mécanismes structurels du verrouillage fournisseur. Pour les entreprises, ces nouvelles dispositions représentent une opportunité concrète de reprendre le contrôle de leur stratégie cloud et de négocier des conditions contractuelles plus favorables. La clé du succès réside dans une préparation méthodique et dans une connaissance précise des droits que le Data Act confère désormais à tout client de services cloud.

Articles lies

Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min
Data Act

Data Act et sous-traitants cloud : responsabilités

23 fevrier 2026 · 8 min