Riche actualité réglementaire du Cloud ! Par Me Jean-Sébastien Mariez, Momentum Avocats

 On relève tout d'abord plusieurs consultations récemment ouvertes sur des textes à impact pour les services de Cloud :

1. Un projet de décret visant à renforcer la transparence environnementale des fournisseurs de services cloud (IaaS) fait l’objet d’une consultation publique ouverte jusqu’au 6 mars prochain. Ce projet vise les fournisseurs réalisant plus de 100 millions d’euros de chiffre d’affaires en France et impose la publication d’indicateurs clés (empreinte carbone, consommations d’énergie et d’eau, et ratios d’efficacité énergétique et hydrique). L’ambition affichée est double : mieux informer les utilisateurs (entreprises, administrations et particuliers) et inciter le secteur, en forte croissance mais énergivore, à améliorer ses performances environnementales.

1. L’Arcep a lancé une consultation publique jusqu’au 27 mars prochain sur son projet de lignes directrices relatives aux coûts susceptibles d’être pris en compte dans la détermination des frais de changement de fournisseur de services cloud. Si la loi SREN pose un principe de gratuité des frais liés aux transferts de données, des dérogations demeurent possibles. L’Arcep propose notamment d’y intégrer les coûts liés (i) au support technique en cas de difficulté lors du transfert, (ii) à la préparation et la vérification des données, (iii) à la fourniture d’outils d’export ou de conversion de données et (iv) au stockage temporaire d’une copie des données. En revanche, le maintien du niveau de sécurité requis par le Data Act ne peut donner lieu à facturation, sauf prestations excédant les exigences de ce règlement. Un second projet de lignes directrices, faisant également l’objet d’une consultation publique jusqu’au 27 mars prochain, précise par ailleurs les frais de transfert admissibles en cas de multicloud.

1. La Commission européenne a lancé, le 16 février dernier, une consultation publique sur le Digital Networks Act, réforme du code des télécoms présentée le 21 janvier. Les contributions peuvent être déposées jusqu’au 16 avril prochain. Le règlement a d’ores et déjà entamé son parcours législatif : sa présentation par la Commission au groupe de travail télécoms du Conseil de l’UE est en cours et l’examen article par article devrait ensuite suivre prochainement. Au Parlement européen, les principaux groupes ont désigné leurs négociateurs, sans calendrier encore arrêté pour la rédaction du rapport et le dépôt des amendements.

De plus, intéressant de signaler :

4. Un arrêté publié le 11 février dernier homologue une décision de l’Arcep élargissant son pouvoir de collecte de données aux fournisseurs de services cloud. L’Arcep peut désormais leur demander des informations sur la consommation d’eau et d’électricité, les émissions de gaz à effet de serre ainsi que le renouvellement des serveurs des centres de données qu’ils exploitent. Seuls sont visés les fournisseurs de services cloud réalisant plus de 10 millions d’euros de chiffre d’affaires en France ou mobilisant une puissance supérieure à 100 kW. Ces informations doivent être communiquées à l’ARCEP avant le 31 mars prochain et alimenteront l’édition 2027 de son baromètre environnemental du numérique.

Et en matière de cybersécurité : 

5. Fuites de données & contentieux indemnitaire : Dans un contexte où les cyberattaques se multiplient et où la CNIL vient de sanctionner Free d’une amende de 42 millions d’euros, une récente décision du Tribunal Judiciaire de Paris vient éclairer les risques de recours collectifs d’ampleur auxquels s’exposent les entreprises victimes de fuites de données personnelles. Fondés sur l’article 82 du RGPD qui consacre un droit à réparation des personnes concernées, ces contentieux de masse présentent la particularité de confier au juge judicaire l’appréciation particulièrement technique de l’existence de manquements au RGPD et de l'indemnisation des éventuels préjudices en résultant. Dans sa récente décision, le Juge de la mise en état a décidé d’ordonner au défendeur de lui communiquer la décision de la CNIL le sanctionnant, quand bien même cette décision n’a pas été rendue publique par la formation restreinte de la CNIL et ne lie pas le juge judiciaire puisque prononcée par une autorité administrative indépendante.