Les engagements de Microsoft pris pour obtenir le feu vert de l’Europe sur son rachat d’Activision

Publié le 29 mai 2023 par Charles de Laubier

« Notre décision constitue un pas important […], en mettant les jeux populaires d’Activision à la disposition de bien plus d’appareils et de consommateurs qu’auparavant grâce au streaming de jeux en nuage [cloud game streaming, ou Cloud Gaming, ndlr]. Les engagements proposés par Microsoft permettront pour la première fois la diffusion en streaming de ces jeux par n’importe quel service de streaming de jeux en nuage, ce qui renforcera la concurrence et les possibilités de croissance », a assuré le 15 mai Margrethe Vestager (photo), vice-présidente exécutive chargée de la politique de concurrence.

Les engagements de Microsoft sur 10 ans
La firme de Redmond (Etat de Washington), qui veut s’emparer de l’éditeur de jeux vidéo Activision Blizzard (basé à Santa Monica en Californie) pour 68,7 milliards de dollars comme elle l’avait annoncé en janvier 2022 (1), a pris auprès de la Commission européenne des engagements pour une durée de 10 ans, soit jusqu’en mai 2033 :
• une licence gratuite accordée aux consommateurs de l’Espace économique européen (EEE), à savoir les Vingtsept de l’Union européenne (UE) et trois autres Etats (Islande, Norvège et Liechtenstein), leur permettant de diffuser en streaming, en utilisant le service de streaming de jeux en nuage (Cloud Gaming) de leur choix, tous les jeux actuels et futurs d’Activision Blizzard pour PC et pour consoles pour lesquels ils disposent d’une licence ;
• une licence gratuite accordée aux fournisseurs de services de streaming de jeux en nuage, afin de permettre aux joueurs basés dans l’EEE de diffuser en streaming tous les jeux d’Activision Blizzard pour PC et pour consoles.
« Aujourd’hui, explique la Commission européenne, Activision Blizzard ne concède pas de licence sur ses jeux aux services de streaming de jeux en nuage, et elle ne les diffuse pas non plus elle-même en streaming. Ces licences garantiront que les joueurs qui ont acheté un ou plusieurs jeux d’Activision dans une boutique pour PC ou pour consoles, ou qui ont souscrit à un service d’abonnement multi-jeux incluant des jeux d’Activision, auront le droit de diffuser ces jeux en utilisant le service de streaming de jeux en nuage de leur choix et de jouer sur tout appareil, peu importe le système d’exploitation utilisé. Les mesures correctives garantissent également que les jeux d’Activision disponibles pour le streaming auront la même qualité et le même contenu que les jeux disponibles en téléchargement traditionnel ». Résultat, les jeux d’Activision seront mis à la disposition de nouvelles plateformes de Cloud Gaming et en les rendant accessibles à plus de terminaux et consoles qu’auparavant. Ainsi, des millions de consommateurs de l’EEE pourront diffuser en streaming les jeux d’Activision en utilisant n’importe quel service de jeux en nuage dans l’EEE, et à condition que ces jeux soient achetés sur une boutique en ligne ou soient inclus dans un abonnement multi-jeux actif dans l’EEE. Ces engagements ne concernent pas ni le Royaume-Unis, qui s’est retiré de l’UE le 31 janvier 2020, ni les Etats-Unis où une procédure antitrust est toujours en cours, notamment de la part de la FTC (Federal Trade Commission). Dans ces deux pays, l’opération est toujours contestée, nous le verrons. Alors que la date limite contractuelle pour que cette mégafusion puisse se faire est le 18 juillet 2023.
La Commission européenne dit avoir recueilli les avis d’un grand nombre d’acteurs du marché et de parties prenantes. « En particulier, a-t-elle indiqué, les fournisseurs de services de streaming de jeux en nuage ont fait part de leurs réactions positives et ont manifesté leur intérêt pour les licences. Certains de ces fournisseurs [notamment Nintendo et Nvidia, ndlr] ont déjà conclu des accords bilatéraux avec Microsoft sur la base des licences proposées pour diffuser en streaming les jeux d’Activision une fois l’opération effectuée ». L’autorité antitrust précise en outre que sa décision est subordonnée au respect intégral des engagements contractés et qu’un mandataire indépendant – sous sa supervision –sera chargé de contrôler leur mise en œuvre.

Les craintes initiales d’une telle fusion
Si tout est respecté pendant les dix ans à venir, Bruxelles assure que l’acquisition envisagée et modifiée par les engagements de Microsoft ne poserait plus de problèmes de concurrence et apporterait même d’importants avantages – « considérables », est-il même affirmé – pour la concurrence et les consommateurs. Dans son enquête préliminaire lancée au cours de l’année 2022, la Commission européenne craignait notamment qu’en acquérant Activision Blizzard, Microsoft puisse verrouiller l’accès aux jeux vidéo d’Activision Blizzard pour consoles et ordinateurs, notamment à des jeux emblématiques à succès tels que « Call of Duty ». Puis, lancée en novembre 2022, l’enquête approfondie a montré que Microsoft ne serait pas en mesure de porter préjudice aux consoles concurrentes et aux services concurrents d’abonnement multi-jeux, mais que Microsoft pourrait nuire à la concurrence dans la distribution de jeux par les services de Cloud Gaming, tout en renforçant sa position sur le marché des systèmes d’exploitation pour ordinateur de type PC.

La concurrence et le cas de Sony (PS)
Concrètement, Bruxelles fait cinq principaux constats concernant la concurrence face à cette fusion :
• Microsoft n’aurait aucun intérêt à refuser de distribuer les jeux d’Activision à Sony, qui est le principal distributeur mondial de jeux pour consoles, y compris dans l’EEE, où pour chaque console Microsoft Xbox achetée, ce sont quatre consoles PlayStation (PS) de Sony qui sont achetées par les joueurs. En effet, Microsoft aurait fortement intérêt à distribuer les jeux d’Activision sur une console aussi populaire que la PS de Sony (2).
• Même si Microsoft décidait de retirer les jeux d’Activision de la PlayStation, cela ne porterait pas de préjudice grave à la concurrence sur le marché des consoles. Bien que « Call of Duty » attire de nombreux joueurs sur consoles, ce jeu est moins populaire dans l’EEE que dans d’autres régions du monde et, parmi les jeux du même genre, il est moins populaire dans l’EEE que sur d’autres marchés. En conséquence, même sans être en mesure de proposer ce jeu spécifique, Sony pourrait tirer parti de sa taille, de son catalogue de jeux étoffé et de sa position sur le marché pour contrer toute tentative d’affaiblissement de sa position concurrentielle.
• Même sans l’opération de fusion Microsoft-Activision, Activision n’aurait pas mis ses jeux à la disposition des services d’abonnement multi-jeux, étant donné que cela cannibaliserait les ventes de jeux individuels. En conséquence, la situation des fournisseurs tiers de services d’abonnement multi-jeux n’évoluerait pas après l’acquisition d’Activision par Microsoft.
• L’acquisition nuirait à la concurrence sur le marché de la distribution des jeux pour PC et pour consoles par les services de streaming de jeux en nuage, un segment de marché innovant qui pourrait transformer la manière dont de nombreux joueurs jouent aux jeux vidéo. Malgré son potentiel, le Cloud Gaming est aujourd’hui très limité. La popularité des jeux d’Activision pouvait favoriser sa croissance. Au contraire, si Microsoft limitait exclusivement les jeux d’Activision à son propre service de streaming de jeux en nuage, Game Pass Ultimate, et ne les rendait pas accessibles aux fournisseurs concurrents de streaming de jeux en nuage, cela réduirait la concurrence sur le marché de la distribution de jeux par le streaming en nuage.
• Si Microsoft limitait les jeux d’Activision exclusivement à son propre service de streaming de jeux en nuage, cela pourrait aussi renforcer la position de Windows sur le marché des systèmes d’exploitation pour PC. Cela pourrait être le cas si Microsoft entravait ou dégradait le streaming des jeux d’Activision sur les PC utilisant d’autres OS que Windows.
Si le groupe Microsoft a gagné une bataille en remportant le feu vert de la Commission européenne, ainsi que d’autre pays dans le monde tels que l’Arabie saoudite, le Brésil, la Serbie, le Chili, le Japon, l’Afrique du Sud et l’Ukraine, il n’est pas au bout de ses peines ailleurs. Le 27 avril dernier, l’autorité de la concurrence britannique – la Competition and Markets Authority (CMA) – a décidé d’interdire l’achat d’Activision par Microsoft malgré les solutions proposé par l’acquéreur (3). « L’accord changerait l’avenir du marché du Cloud Gaming en croissance rapide, ce qui réduirait l’innovation et le choix pour les joueurs britanniques au cours des années à venir », a justifié la CMA. Et pour Martin Coleman, président du groupe d’experts indépendant chargé de l’enquête britannique, a conclu : « Microsoft jouit déjà d’une position puissante et d’une longueur d’avance sur d’autres concurrents dans le Cloud Gaming et cet accord renforcerait cet avantage en lui donnant la capacité de saper les concurrents nouveaux et innovants » (4).

La FTC va auditionner en août
La Federal Trade Commission (FTC), qui est présidée depuis septembre 2021 par la redoutée Lina Khan (photo ci-dessus), réputée plutôt hostile aux positions dominantes des Big Tech (5), a programmé une audition pour le 2 août 2023, soit après la date limite contractuelle du 18 juillet. Cette autorité antitrust américaine a déjà donné le ton le 8 décembre 2022 saisissant la justice pour « bloquer l’acquisition d’Activision Blizzard ». Dans sa plainte, la FTC pointe le fait que Microsoft s’est déjà emparé de ZeniMax, société mère de Bethesda Softworks, et fait de plusieurs de ses titres – dont « Starfield » et « Redfall » – « des exclusives malgré les assurances qu’il avait donné aux autorités antitrust européennes » (6). Pas sûr que la mégafusion soit bouclée d’ici fin 2023. Peut-être 2024 ou bien peutêtre… jamais. @

Charles de Laubier

Avec Numspot et Synfonium, l’Etat français – via la CDC – veut damer le pion à Google, Microsoft et Amazon

Publié le 24 avril 2023 par Charles de Laubier

La Caisse des dépôts (CDC), le bras armé financier de l’Etat français, rêve de faire émerger un « Google français » en Europe. Cette reconquête numérique passe par des fonds publics injectés via la Banque des Territoires et Bpifrance, notamment dans deux futurs « champions européens » : Numspot et Synfonium.

La Caisse des dépôts et consignations (CDC), que dirige depuis plus de cinq ans maintenant Eric Lombard (photo), est une vieille institution financière publique qui aura 207 ans le 28 avril (1). Elle est devenue le bras armé de l’Etat français pour investir dans les entreprises et les territoires (2), y compris dans les infrastructures électroniques – de la téléphonie dès 1889 au numérique à partir de l’année 2000. La CDC finance les espaces publics numériques dans les territoires, les espaces numériques de travail dans les établissements scolaires, l’aménagement numérique des territoires pour garantir l’inclusion numérique, ou encore les services numériques de confiance via des projets de « cloud souverain ».
Les premiers investissements de l’Etat français dans le cloud justement remontent au début des années 2010 et l’ont été en pure perte après les échecs cuisants de Cloudwatt d’Orange et Thalès, d’une part, et de Numergy de SFR et Bull, d’autre part. A l’époque, le gouvernement avait ignoré un nouvel entrant dans le cloud venu du Nord de la France : la société OVH créée à Roubaix par le Français d’origine polonaise Octave Klaba. Dix ans après, il en va tout autrement puisque la Banque des Territoires – créée en 2018 en tant que filiale d’investissement de la CDC – a annoncé le 11 avril dernier avec Octave Klaba un partenariat pour créer la société Synfonium dans laquelle la CDC participera à hauteur de 25 % du capital.

Créer des « champions européens du cloud »
Objectif : « la construction d’un champion européen des services basés sur le cloud ». Rien de moins. « Après avoir investi dans Qwant pour soutenir la croissance d’un moteur de recherche européen respectueux de la vie privée, la Caisse des dépôts s’associe avec un acteur majeur de la tech avec pour ambition de contribuer à l’émergence d’une plateforme européenne grand public, ouverte et sécurisée, proposant divers services collaboratifs et logiciels dans le cloud », a déclaré Antoine Troesch, directeur de l’investissement de la Banque des Territoires. L’Etat français a déjà la tête dans les nuages informatiques, avec notamment un autre projet de « champion européen du cloud » baptisé Numspot, dont la société éponyme – « 100 % française » – a été créée officiellement le 27 janvier dernier et dotée d’un capital de 50 millions d’euros avec la Banque des Territoires (26 %), Docaposte/La Poste (26 %), Dassault Systèmes (19 %) et Bouygues Telecom (19 %).

Faire oublier Cloudwatt et Numergy
Le Plan d’investissement France 2030 soutient ce projet de « cloud souverain » depuis son annonce en octobre dernier sous l’égide de Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, et de Jean-Noël Barrot ministre délégué chargé de la Transition et des Télécommunications. Mais, selon les informations de Edition Multimédi@, l’offre de « cloud de confiance » (basée sur la technologie Outscale de Dassault Systèmes bénéficiant déjà du label de sécurité SecNumCloud) et d’« identité numérique sécurisée » ne sera pas disponible mi-2023, comme cela était prévu, mais à la fin de l’année. L’équipe dirigeante de Numspot vient tout juste de se mettre en place, depuis février, avec Alain Issarni, un ingénieur aéronautique – les nuages, il connaît ! – comme président. Ce polytechnicien est l’ancien DSI (3) de la Caisse nationale de l’assurance maladie (Cnam), après avoir été DSI de la Direction générale des finances publiques (DGFIP). Il est épaulé par Xavier Vaccari, un ingénieur centralien Supélec qui était le directeur de la stratégie cloud de Docapost au sein du groupe La Poste détenu à 66 % par la CDC. Docapost a d’ailleurs été désigné comme le « chef de file »de Numspot. Son ambition est d’être en outre une plateforme technologique souveraine (PaaS) proposant des solutions logicielles et des services (SaaS). C’est dans le même état d’esprit « souverain » que Synfonium va être créé sous la forme de plateforme de cloud (PaaS/SaaS) accessible cette fois non seulement aux entreprises mais aussi directement aux consommateurs : « un accès transparent aux meilleurs services de collaboration européens basés sur le cloud, y compris le remote computing,le stockage sur le cloud, les fonctions de moteur de recherche, de vidéoconférence, et bien d’autres applications ».
Octave Klaba, président du conseil d’administration et fondateur de l’ex-licorne française OVH côtée en Bourse depuis octobre 2021 (4), et son frère Miroslaw Klaba, directeur R&D d’OVH, seront ensemble coactionnaires de Synfonium à hauteur de 75 % du capital – aux côtés donc des 25 % de la CDC. Les deux frères de Roubaix intègreront dans Synfonium les services d’ordinateur et de stockage virtuels de leur société Shadow qu’ils avaient acquise en 2021 via leur fonds respectif Jezby Ventures et Deep Code. Pour le moteur de recherche proposé par Synfonium, ce sera le franco-allemand Qwant qui vient d’avoir dix ans et qui est cofinancé par la Caisse des Dépôts, encore elle, et le groupe allemand Axel Springer, ainsi que par la Banque européenne d’investissement (5). « Des négociations exclusives sont actuellement en cours, ainsi qu’une analyse des récentes évolutions des conditions financières de son partenariat avec Microsoft », a expliqué la CDC à propos de Qwant qui reste encore dépendant de l’index Bing de Microsoft et de sa régie publicitaire Bing Ads. Synfonium prévoit en outre des acquisitions, des développements et des partenariats pour étoffer son bouquet de services dans le cloud, en s’appuyant aussi sur « les communautés de logiciels libres ». Avec Synfonium en cours de constitution et Numspot sur les starting-blocks, l’objectif affiché de Bercy est que « l’ensemble des administrations et des entreprises » – et « prioritairement » les acteurs économiques et institutionnels français (Etat, collectivités locales, opérateurs télécoms, banques, assurances, hôpitaux, …) – se saisissent des « offres souveraines », afin de « protéger les données les plus sensibles ». Or ce n’est pas gagné. Par exemple, selon l’observatoire Data Publica, à peine 7% des collectivités utiliseraient une offre de cloud pour stocker leurs données et applications (6).
A travers ces « cloud souverains » franco-français aux ambitions européennes, ce sont bien les GAFAM qui sont implicitement dans la ligne de mire de l’Etat afin de conquérir une part de souveraineté perdue. Le discours de l’Etat français n’est plus de créer un rival européen de Google (7) – comme cela avait pu être prétendu lors du lancement de Qwant (contraction de « Quantity » et « Want ») entre 2013 et, avec Emmanuel Macron à l’Elysée (8), en 2015 – ni même d’être un « AWS français » en référence à la filiale d’Amazon, numéro un mondial du cloud. Néanmoins, l’Etat et son bras armé de la rue de Lille (Paris) ne cachent pas qu’ils nourrissent de grands espoirs de reconquête du numérique avec leurs futurs « champions européens » du cloud multiservice dans une Europe devenue « colonie numérique » des géants américains du Net. Rien que le volet « cloud » du plan d’investissement « France 2030 », lequel a été lancé en octobre 2021 par Emmanuel Macron, est doté de 667 millions d’euros fléchés en particulier « vers des acteurs émergents, PME et start-up ». Suffisant face à Amazon Web Services (AWS), Microsoft Azure et Google Cloud ?

Education nationale : ni Google ni Microsoft
Le 6 avril dernier, Bercy a renforcé l’offre de « cloud de confiance » en sélectionnant – après appels à projets lancés par la banque publique Bpifrance, détenue à parts égales par l’Etat et la CDC – 39 projets, dont Wimi, Jamespot et Interstis dans la catégorie « suites bureautiques collaboratives cloud » ou encore Cleyrop, Dawex et Xwiki pour l’obtention du visa SecNumCloud par l’Anssi (9). « Il s’agit bien de proposer une alternative crédible aux suites Microsoft 365 et Google Workspace », dit clairement la Banque des Territoires dans son quotidien Localtis (10) destiné aux collectivités, lesquelles doivent depuis fin 2022 « renoncer aux offres gratuites de Microsoft Office et Google dans les établissements scolaires ». @

Charles de Laubier

Gaia-X, le « cloud de confiance » franco-allemand, est-il pro-souveraineté numérique européenne ?

Publié le 21 novembre 2022 par Charles de Laubier

L’association Gaia-X pour un « cloud de confiance » en Europe, a organisé son 3e sommet, qui s’est tenu cette année les 17 et 18 novembre à Paris. Censée contribuer à la « souveraineté numérique » européenne, elle compte parmi ses membres de nombreux américains et chinois.

Annoncé en juin 2020, le projet franco-allemand de « cloud de confiance » Gaia-X a été officiellement lancé sous forme d’association internationale à but non lucratif en janvier 2021. De 22 entreprises et organisations fondatrices au départ, toutes d’origine européenne, Gaia-X compte aujourd’hui plus de 359 membres venus quasiment des quatre coins du monde, comme le montre le répertoire en ligne des entités adhérentes (1). Beaucoup d’entre eux se sont retrouvés les 17 et 18 novembre à Paris en présentiel ou en distanciel à la troisième édition du Gaia-X Summit.

14 membres américains et 4 chinois
Si les différents intervenants à ces deux journées étaient tous européens (2), il n’en demeure pas moins que la Gaia-X European Association for Data and Cloud (sa dénomination officielle), de droit belge, basée à Bruxelles et dirigée par Francesco Bonfiglio (photo), joue plus sur le registre du « cloud de confiance » que sur celui de « cloud souverain ».
La composition de ses membres le démontre, au-delà des 22 fondateurs européens (dont Atos, Deutsche Telekom, OBS/Orange, EDF, Docaposte/La Poste, Outscale/Dassault Systèmes, OVH, SAP, Siemens, …). Ainsi, sont aussi membres de Gaia-X des entreprises et des organisations extra européennes qui doivent composer avec les objectifs de cloud de confiance et de souveraineté numérique recherchés en Europe. Ces membres « étrangers » au Vieux Continent, qui sont au nombre de vingt-quatre selon le décompte effectué par Edition Multimédi@ sont étatsuniens (quatorze d’entre eux), chinois (cinq), japonais (quatre) ou sud-coréen (un). Ainsi, le consortium Gaia-X qui se veut le garant en Europe du cloud de confiance, voire du cloud souverain, est plus ouvert aux acteurs du reste du monde qu’il n’y paraît.
Y sont présents les américains Amazon (basé au Luxembourg), Google (basé en Irlande), Microsoft (basé en Belgique), Palantir Technologies (proche de la CIA et basé dans le Colorado), Oracle (basé en Californie), Salesforce (également en Californie), AMD (aussi en Californie), mais aussi Cisco (basé en Belgique), Seagate (basé en Irlande), Dell (également en Belgique), Hewlett Packard (basé en Allemagne), IBM (également en Allemagne), Intel (aussi en Allemagne) ou encore Snowflake (basé en Californie). L’Empire du Milieu n’est pas exclu du cloud européen, loin s’en faut puisque sont membres de Gaia-X les chinois Alibaba (basé à Singapour), Huawei Technologies (basé en Allemagne), Haier (basé à Qingdao en Chine), Shenzhen Shuxin Technology (basé à Shenzhen en Chine) ou encore la China Academy of Information and Communications Technology (CAICT basée à Pékin). Le pays du Soleil-Levant n’est pas en reste avec les japonais Fujitsu (basé en Allemagne), Nec (basé au Japon), NTT (également au Japon) et Mitsubishi Electric (basé Allemagne). Quant au Pays du Matin frais, il est lui aussi présent au sein de Gaia-X à travers le sud-coréen Kosmo (basé à Sejong en Corée du Sud). Or, le projet Gaia-X n’était-il pas de construire l’infrastructure de données de nouvelle génération pour favoriser la souveraineté numérique de l’Europe, offrant une alternative européenne aux hyperscalers américains que sont en tête Amazon Web Services (AWS), Microsoft Azure et Google Cloud, et même chinois comme Alibaba ?
Il y a un an presque jour pour jour, la sénatrice Catherine Morin- Desailly avait exprimé son incompréhension de voir le chinois Huawei si actif au sein de Gaia-X, qui plus est sponsor du second Gaia-X Summit arborant alors ce message commun: « Gaia-X & Huawei considèrent de la même manière la souveraineté des données et la digitalisation comme des facettes tout aussi importantes de la société et de l’économie d’aujourd’hui » (3). D’où le tweet de sénatrice : « Je croyais que le but de Gaia-X était à l’origine de construire une offre franco-allemande indépendante des géants américains et chinois ! C’est tout le contraire qui s’est produit depuis un an » (4). Pour ce troisième Gaia-X Summit, les français Dawex et Ionos, et les allemands Ionos et De-Cix sont cette fois les sponsors – de quoi redonner des couleurs franco-allemandes à Gaia-X ! La souveraineté numérique et les « infrastructures de données souveraines » ont été au coeur des discussions de ce sommet. Sans que l’on sache vraiment si le cloud souverain doit rester franco-français ou euro-européen.

La position dominante des hyperscalers
Rien qu’en France, le trio de tête Amazon-Microsoft-Google s’arroge plus des deux tiers du marché nuagique en 2021. Ils ont été convoqués par l’Autorité de la concurrence dans le cadre d’une consultation publique sur le cloud qui s’est achevée en septembre (5). La bataille du cloud sévit aussi sur toute l’Europe, des plaintes du français OVH et de l’allemand Nextcloud ayant notamment été déposées en 2021 auprès de la Commission européenne (6). Quant aux grandes entreprises françaises, souvent internationales, elles parlent plus de cloud de confiance – référentiel de trusted cloud à la clé (7) – plutôt que de cloud souverain. @

Charles de Laubier

Amazon, Microsoft, Google : gros nuages sur le cloud

Publié le 25 juillet 2022 par Charles de Laubier

En fait. Le 13 juillet, l’Autorité de la concurrence a ouvert jusqu’au 19 septembre prochain, une consultation publique sur le marché du cloud – dans le cadre de son enquête sectorielle sur l’informatique en nuage lancée en janvier dernier. Elle a déjà auditionné les trois hyperscalers du cloud en France.

En clair. Selon le cabinet d’études Markess by exægis, le marché français du cloud devrait passer de 16 milliards d’euros en 2021 à 27 milliards d’euros en 2025, au rythme de 14 % de croissance par an. Mais les hébergeurs dits « à très grande échelle » (les hyperscalers) en ont la part du lion : les américains Amazon Web Services (AWS), Microsoft Azure et Google Cloud détiennent en France 71 % de parts de marché en 2021. A lui seul, le géant AWS s’arroge pas loin de la moitié (46 %) du gâteau nuagique (voir graphique). C’est dans ce contexte de quasi-triopole que l’Autorité de la concurrence (ADLC) s’est autosaisie en début d’année pour enquêter sur le secteur français de l’informatique en nuage. La consultation publique (1), ouverte depuis le 13 juillet et jusqu’au 19 septembre 2022, va permettra à l’autorité antitrust d’évaluer si Amazon, Microsoft et Google abusent de leur position dominante sur le marché français du cloud ? Face à ce Big Three, OVH, IBM, Oracle, Orange (OBS), Scaleway (Iliad), T-Systems, 3D Outscale (Dassault Systèmes) ou encore Atos, Neurones, Capgemini, Kyndril (ex-IBM GTS) se partagent les 29 % restants du marché du cloud français (2).
L’ADLC veut identifier « les freins à la migration des clients et au recours à plusieurs fournisseurs de services cloud », ainsi que d’autres verrous (barrières à l’entrée, pouvoir de marché, intégration verticale, effets congloméraux, ententes, protection des données, souveraineté numérique, …). La bataille du cloud est même portée devant la Commission européenne depuis les plaintes (3) du français OVH et de l’allemand Nextcloud déposées en 2021. @

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le 11 juillet 2022 par Charles de Laubier

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @