6 min

Sécuriser et réguler l’espace numérique : un des travaux d’Hercule ?

Le projet de loi SREN avance. Il aura dû mettre d’accord de très nombreux acteurs, tant son périmètre est large. Dernière étape : la commission mixte paritaire qui doit réunir début 2024 un petit nombre de députés et de sénateurs, dans l’objectif d’aboutir à une version finale.

Le projet de loi visant à sécuriser et réguler l’espace numérique (SREN) a été présenté au conseil des ministres le 10 mai 2023 par Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique et par Jean-Noël Barrot, ministre délégué chargé du Numérique.

Il a été adopté en première lecture, avec modifications et à l’unanimité, par le Sénat le 5 juillet 2023. L’Assemblée nationale l’a ensuite modifié et approuvé, en première lecture, le 17 octobre dernier. Députés et sénateurs doivent désormais se réunir en commission mixte paritaire pour s’accorder sur une version finale du projet de loi.

Les avoirs (crédits) cloud et les frais de transfert dans le collimateur

Le projet de loi comporte tout d’abord un volet consacré au cloud, s’alignant sur les dispositions du Data Act dont l’objectif est d’encadrer la facturation abusive de frais de transfert de données par les grands acteurs du cloud. Le projet de loi SREN va en revanche plus loin que le Data Act en encadrant les avoirs (crédits) alloués par ces acteurs à certaines entreprises, principalement les start-ups.

« La facturation de frais de transfert sortant de données (‘egress fees’) est aujourd’hui particulièrement contestée. Considérés comme ’artificiels’, ces frais, surtout appliqués par les acteurs dominants (hyperscalers), peuvent parfois représenter jusqu’à 80 fois le coût réel du transfert de données et s’élever à plusieurs centaines de milliers d’euros », écrivent Patrick Chaize, sénateur de l’Ain, et Loïc Hervé, sénateur de la Haute-Savoie, dans un rapport législatif relatif à ce projet de loi.

« Le Data Act prévoit la suppression de ces frais, ainsi que celle, progressive, des frais de changement de fournisseur, mais il ne prévoit pas d’encadrement spécifique des avoirs d’informatique en nuage, au contraire de l’article 7 du projet de loi SREN. Il s’agit d’une initiative française bienvenue car, comme le souligne l’Autorité de la concurrence, la facturation abusive des frais de transfert de données permet de compenser l’octroi, à titre gratuit, d’avoirs d’informatiques en nuage. Autrement dit, ‘l’entrée du marché’ est gratuite, mais il y a un ‘péage à la sortie’ », ajoutent les rapporteurs du projet de loi.

Sébastien Lescop, l’un des deux directeurs généraux de Cloud Temple, acteur français du cloud de confiance, qualifié SecNumcloud, confirme le mécanisme incriminé : « Le crédit cloud consiste à proposer du cloud gratuit, ou avec une forte remise, pour acquérir de nouveaux clients. Les premières victimes sont les start-ups. Les grands acteurs du cloud les font rentrer à moindre coût, et par la suite, avec les coûts de sortie, ils arrivent à les maintenir chez eux. Ce que veut la loi SREN, ce n’est pas de supprimer le crédit cloud, mais de le cadrer, en montant et en durée. »

Et Sébastien Lescop de donner des détails sur les « egress fees » : « Aujourd’hui, chez les hyperscalers, certains produits sont facturés à la quantité de données qui transite sur le réseau. Il est presque gratuit de déposer ses data. En revanche, vous payez à l’utilisation de la donnée. Si vous avez dix ans d’archivage, par exemple, et si vous souhaitez quitter votre hébergement et transférer vos données, vous devez payer des prix exorbitants qui vous dissuadent de partir. »

E-commerce : une harmonisation européenne bienvenue

Côté e-commerce, le projet de loi SREN va également dans le sens des attentes des acteurs du secteur. Les articles 25, 30 et 31 ont pour objectif de mettre à jour la loi sur la confiance dans l’économie numérique (LCEN), en y ajoutant notamment de nouvelles obligations pour les marketplaces. Ces dernières devront ainsi mieux identifier les vendeurs de produits ou de services sur leurs plateformes et mieux en informer les consommateurs.

Une décision dont se félicite Moncef Lameche, responsable des affaires publiques de la Fevad : « Ce projet de loi est essentiel pour notre secteur d’activité. La première raison tient à l’évolution du modèle économique des acteurs du secteur, les marketplaces constituant un volet de croissance extrêmement important pour eux. La deuxième raison, qui est en fait la raison d’être du Digital Services Act, est que ce texte va doter l’Europe d’un cadre harmonisé. L’activité e-commerce est en effet par nature transfrontière, les divergences d’interprétation réglementaire constituent donc des freins pour les acteurs que nous représentons. »

Une attente de simplification de la part des industriels

Quant aux entreprises membres de l’AFNUM (Alliance française des industries du numérique), elles se félicitent aussi de la tournure prise par le projet de loi, même si certains ajustements ont été nécessaires. « Concernant la question du contrôle de l’âge, notre première inquiétude a été de savoir si le texte n’allait pas imposer ce contrôle aux terminaux. En effet, il y a eu des amendements qui allaient dans ce sens en phase parlementaire et de négociation. Cela a vraiment été un sujet important pour nous », note Léo Lafarge, chargé de mission affaires européennes et nouvelles technologies au sein de l’AFNUM.

Toujours sur la question du contrôle de l’âge, l’AFNUM estime nécessaire que l’ARCOM publie enfin son référentiel technique. « L’ARCOM est tenue de le faire depuis 2020. Cette obligation de contrôler l’âge effectif des utilisateurs des services n’est pas nouvelle, et nous attendons toujours. Or le contrôle de l’âge n’est pas quelque chose de simple, ni techniquement ni juridiquement. Il s’agit de données personnelles et potentiellement de données personnelles de personnes mineures. Nous sommes dans une sous-catégorie du RGPD qui nécessite la plus grande précaution », poursuit Léo Lafarge.

Une attente de clarté et de simplification que partage Stella Morabito, déléguée générale de l’AFNUM : « Je dis toujours aux pouvoirs publics qu’ils légifèrent beaucoup, voire beaucoup trop parfois, pour finalement devoir faire des lois de simplification par la suite. Cela a été un peu aussi la thématique de ce texte qui, à la base, était né pour une mise en application des textes européens, notamment le DMA et le DSA. Je ne dis pas que cela ne part pas de bonnes intentions, mais du point de vue des industriels, nous nous retrouvons à chaque fois avec des textes extrêmement riches qui impactent directement nos produits », relève-t-elle.

Et la déléguée générale de l’AFNUM de conclure : « À chaque fois qu’on nous demande des mises à jour, que ce soit pour le contrôle parental ou autre, cela implique des modifications des produits qui ne peuvent pas se faire en trois mois. Le cycle de modification des gammes de produits prend généralement 18 mois. Les gammes ne se sont pas réalisées sur un coin de table, elles sont prévues un an à l’avance, il faut en tenir compte. »

Partager cet article avec un ami