En 2023, l’actualité de l’Autorité de la concurrence dans le secteur du numérique a été très riche, avec la publication de plusieurs avis : l’un sur le projet de loi « visant à sécuriser et réguler l’espace numérique », un autre sur les conditions du fonctionnement concurrentiel du secteur du cloud, ayant donné lieu préalablement à une consultation publique. L’Autorité a également organisé une conférence et participé aux travaux du G7 sur la concurrence numérique. Elle a enfin annoncé avoir réalisé des opérations de visite et de saisies dans le secteur des cartes graphiques et notifié des griefs d’entente sur les marchés de l’ingénierie, du conseil en technologies et des services informatiques. Tous ces supports sont autant de sources permettant de décrypter les bonnes pratiques à adopter, que ce soit pour les fournisseurs ou pour les clients, en particulier dans le secteur du cloud.
L’intérêt de l’Autorité pour les services numériques n’est pas nouveau et s’inscrit dans un contexte politique marqué par un objectif de souveraineté européenne, notamment avec la stratégie nationale pour le cloud lancée par le gouvernement en 2021. Ainsi, l’Autorité a déjà exprimé son souhait de « co-construire la régulation numérique »1 et a publié un long avis2 sur le fonctionnement concurrentiel du secteur du cloud. Cet avis, très riche d’enseignements, s’intéresse aux différents services de cloud (IaaS, PaaS et SaaS) et identifie également des marchés connexes comme le marché des services de colocation dans des centres de données, ou encore ceux de l’intermédiation, du conseil et de l’intégration des solutions cloud. Quant à l’intelligence artificielle (IA), force est de constater qu’elle porte de nombreux enjeux qui n’ont pas encore été appréhendés dans le détail par les autorités de concurrence, mais compte tenu de la croissance fulgurante de cette technologie, elle deviendra dans les prochains mois une des nouvelles cibles d’analyse des autorités administratives et de régulation. Le président de l’Autorité de la concurrence Benoît Cœuré a d’ailleurs affirmé récemment que l’IA avait « le potentiel de devenir le musée des horreurs de l’antitrust » et que l’Autorité allait donc s’y plonger3.
Les premiers constats du marché
Concernant le secteur « classique » du cloud d’infrastructure, l’Autorité fait état de trois opérateurs américains très puissants, aussi dénommés « hyperscalers », qui détiennent la majorité du marché (AWS, Microsoft Azure et Google Cloud Platform). Ces derniers disposent d’une avance technologique très importante par rapport à leurs autres concurrents et d’une puissance financière sans comparaison. De fait, les choix des clients pour leur(s) fournisseur(s) de cloud sont donc relativement restreints. Cette configuration du marché est couplée avec une forte tendance de chaque client à se tourner vers son fournisseur historique de services informatiques avec lequel une relation de confiance existe généralement déjà dans ce secteur, qui reste pourtant assez obscur pour un bon nombre de clients. En soi, cette situation institue un rapport de force économique favorable à des abus ou à des pratiques anticoncurrentielles. En tant qu’avocat, nous sommes souvent des deux côtés de la « barre », nous défendons à la fois les clients et les fournisseurs de services de cloud.
Les enjeux côté client
Le choix du primo-fournisseur de services de cloud est crucial compte tenu des frais de migration élevés et du verrouillage de la clientèle par les hyperscalers, notamment avec la pratique des crédits cloud qui épargne à de nombreuses entreprises – surtout les start-up – de lourds investissements au démarrage. En pratique, comme l’Autorité l’indique, il est ensuite très difficile pour un client de changer de fournisseur de cloud. Ce constat doit cependant être relativisé à plusieurs égards : d’une part, la proposition de data act4 prévoit potentiellement d’imposer la suppression des « egress fees » (frais de sortie sur le marché du cloud), ce qui limiterait fortement les frais de migration, et d’autre part, l’Autorité pourrait, au vu des outils dont elle dispose, sanctionner le verrouillage technique d’un fournisseur de cloud. Pour que l’Autorité impose une telle sanction, il faudrait qu’un client porte plainte contre son fournisseur et que la plainte fasse état de potentielles infractions au titre d’une entente ou d’un abus de position dominante. Il faut donc construire une stratégie à la fois économique et juridique. Au titre de l’interdiction des ententes, cela reviendrait à prouver que le verrouillage découle d’un accord entre plusieurs fournisseurs se répartissant la clientèle du secteur. Au titre de l’interdiction des abus de position dominante, il faudrait d’abord prouver la dominance de l’un des hyperscalers, ou leur dominance collective, ce qui est rarement admis par l’Autorité, puis identifier précisément les abus. Autres leviers : un client pourrait alerter la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ou se lancer dans un contentieux commercial au sujet de l’existence d’un déséquilibre significatif dont seraient affectées certaines clauses de son contrat avec un fournisseur de cloud notamment compte tenu d’une absence de marge de manœuvre sur les prix ; d’une dépendance technologique disproportionnée notamment au regard des contraintes techniques et de l’élasticité des offres et/ou d’un manque de transparence dans les relations commerciales. Cette dernière hypothèse est selon nous la plus probable.
Les enjeux côté fournisseur
L’Autorité s’intéresse aussi aux fournisseurs de cloud « plus petits ». Elle note qu’il leur est difficile de pénétrer le marché compte tenu des barrières à l’entrée : les coûts d’entrée pour proposer des services de cloud sont faramineux (investissements pour la mise en place de data centers, des capacités de stockage et la puissance de calcul), il faut également rattraper les retards technologiques et financer le développement des infrastructures nécessaires. On peut supposer que dans un avenir proche ces infrastructures, principalement les data centers, dont le coût est très important, deviennent « essentielles » et que les hyperscalers soient contraints de les mettre à disposition. De surcroît, à supposer qu’un « petit » fournisseur de cloud parvienne à pénétrer le marché, l’Autorité constate qu’il lui sera difficile d’être rentable. Cela reposerait sur la qualité des prestations fournies au client comme le niveau de service level agreement (SLA) assuré, sa spécialisation par secteur (il existe des contraintes dans le secteur de la santé par exemple), ses considérations environnementales, mais aussi sur l’étendue de ses services, ce qui, pour un « petit » peut une fois encore être difficile à proposer. Pour toutes ces raisons, il ne semble pas aisé pour un nouveau fournisseur de cloud de pénétrer le marché et de concurrencer les hyperscalers, sauf évolution réglementaire, les discussions politiques actuelles font de plus en plus état de la volonté de recourir à des clouds souverains dont les données seraient immunisées de tout risque d’accès par des autorités étrangères.
Pistes de réflexion pour tous les acteurs du cloud
Il pourrait être utile, tant pour les fournisseurs de cloud que pour leurs clients, de procéder à une revue de l’ensemble de leurs contrats pour en vérifier l’équilibre. Nous savons qu’il est difficile de négocier les contrats de cloud services et qu’ils sont souvent imposés. Il conviendrait aussi d’analyser, au regard de tous les enseignements de l’Autorité et plus généralement des outils juridiques dont dispose le droit économique, les stratégies de développement de chacun des fournisseurs, quelle que soit leur taille, pour porter une vigilance particulière notamment aux pratiques potentielles de verrouillage de marché ou tenter de pénétrer au mieux le marché.
Prise en compte de la coordination stratégique avec le droit de la protection des données personnelles
Si les enseignements de l’Autorité ont été, comme indiqué, très riches en 2023 dans le secteur du cloud, reste que leur articulation avec les obligations en matière de données personnelles n’est pas toujours limpide. Bon nombre d’enjeux restent à éclaircir, et ce, d’autant plus que l’IA est de plus en plus présente au sein des services cloud, et pose de nombreuses problématiques en matière de respect des données personnelles. Il est certain que l’Autorité va s’intéresser dans les prochains mois à l’IA. Au regard des derniers avis de cette dernière, il ne peut être que recommandé de vérifier les contrats conclus entre les clients et les fournisseurs de cloud, d’autant plus ceux proposant des technologies d’IA. Affaire à suivre…
1. Rapport annuel de l’Autorité de la concurrence 2022.
2. Avis 23-A-08 du 29 juin 2023 portant sur le fonctionnement concurrentiel de l’informatique en nuage (« cloud »).
3. Table ronde « Numérique : quelle régulation pour demain », Le Forum Alliance Digitale, 30 novembre 2023.
4. Proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) 2022/0047 (COD) du 23 février 2022, adoptée par le Conseil le 27 novembre 2023.
