Ce que le Data Act change pour les clients des fournisseurs cloud

Quelles sont les données concernées par le Data Act ?

Le texte doit permettre aux consommateurs d’accéder à davantage de services, peu importe le fabricant de l’objet connecté. Les entreprises, elles, pourront plus facilement accéder aux données des équipements industriels et les transférer vers d’autres systèmes. Un gage d’interopérabilité.

Les législateurs ont toutefois écarté les infrastructures (routes, aéroports, chemins de fer) et les prototypes.

Le texte précise des règles de partage des données et de redistribution de la valeur parmi les acteurs concernés. Le Data Act peut compléter le RGPD ou restreindre la réutilisation de certaines données par des tiers.

S’il couvre les mêmes sujets que le Data Privacy Framework, à savoir le transfert de données personnelles entre l’Europe et les États-Unis, le Data Act n’altère pas le DPF.

« Conformément à l’article 44, paragraphe 1, les obligations en matière de partage des données qui sont entrées en vigueur au plus tard le 11 janvier 2024 ne sont pas affectées, ce qui signifie que les obligations antérieures prévalent », précise la Commission européenne, dans une FAQ. « Si des actes juridiques de l’UE introduisent des règles relatives aux données entre le 11 janvier 2024 et le 12 septembre 2025, tout doit être mis en œuvre pour assurer l’alignement, mais il n’y a aucune obligation légale de le faire ». Le DPF est entré en vigueur en septembre 2023.

L’article 32 du Data Act prévoit tout de même que les fournisseurs de services de traitement de données prennent « toutes les mesures adéquates » (techniques, organisationnelles, légales, contractuelles) pour empêcher toute demande ou action de transfert par un gouvernement hors UE en dehors du cadre d’un accord international. En l’absence d’un traité, le transfert doit être motivé, proportionné, réfutable par l’intéressé tout en prenant en compte le droit de l’UE.

Comment le Data Act s’applique au cloud

Par défaut, les serveurs de stockage de traitement et les routeurs ne sont pas concernés par le Data Act « à moins qu’ils ne soient détenus, loués ou pris en location-vente (leasing) par l’utilisateur ». Dès lors, le Data Act place le cloud dans son périmètre d’application.

Et la Commission européenne d’affirmer que le Data Act « permet aux consommateurs de transférer aisément les données et de changer de fournisseurs cloud ». Il « interdit les contraintes inéquitables qui bloquent le partage de données ».

Selon Wasabi Technologies, les professionnels de l’IT retiendront surtout la « possibilité de changer de fournisseur en moins de 30 jours sans entraves contractuelles ni techniques », « une portabilité garantie pour déplacer les workloads et applications entre prestataires » et « une transparence obligatoire en matière de coût » de transfert.

Les 30 jours évoqués ici ne concernent que la période effective de transition pendant laquelle le fournisseur doit effectuer la migration. L’article 25 du Data Act prévoit que le client doit, avant cela, laisser une période de préavis maximale de deux mois au fournisseur après avoir notifié son souhait de migrer ses données. Si le fournisseur estime qu’il aura besoin de plus d’un mois pour effectuer l’opération, il doit le signaler dans les 14 premiers jours du préavis. Il peut alors étendre la période de transition jusqu’à 7 mois maximum.

En outre, selon l’article 29 (2) du Data Act, les fournisseurs de services de traitement de données doivent réduire les frais de sortie depuis le 11 janvier 2024. La somme doit être égale ou inférieure au coût de l’opération pour le fournisseur. À partir du 12 janvier 2027, les hébergeurs cloud ne pourront plus appliquer de frais de sortie si les clients entendent changer définitivement d’hébergeur. C’est aussi vrai pour des startups qui auraient bénéficié de crédits cloud.

Le défi de l’interopérabilité

Ce qui veut aussi dire que « les fournisseurs de services cloud doivent prendre en charge des formats ouverts, structurés et interopérables pour les données et les charges de travail », rappelle Cyrille Chausson, directeur de recherche chez IDC et ancien rédacteur en chef du MagIT, sur LinkedIn.

Les membres du cabinet d’avocats Latham & Watkins indiquent que les fournisseurs d’IaaS « doivent prendre toutes les mesures raisonnables pour garantir que les clients bénéficient d’une “équivalence fonctionnelle” lors du passage à un service alternatif du même type ».

Cela inclut les fonctionnalités, l’assistance technique, la documentation en sus des outils de migration.

« Le Data Act européen arrive à un moment charnière, alors que les organisations affinent leurs stratégies cloud pour trouver le juste équilibre entre innovation et contrôle de la donnée (sic) », écrit Nicolas Sekkaki, SVP Global Cloud Practice chez Kyndryl, dans un communiqué. « Répondre aux verrous technologiques et permettre une véritable interopérabilité du cloud représentent autant de défis que d’opportunités, sur les plans technique et opérationnel », ajoute l’ancien dirigeant d’IBM France.

Reste à voir si un tel dispositif profitera aux fournisseurs de cloud européens. Malgré l’usage des mêmes technologies open source (Kubernetes en tête), les implémentations diffèrent. Les éditeurs eux-mêmes expliquent avoir plus ou moins de facilité à porter leur solution d’un cloud à un autre.

Un effet « considérable » sur les approches multicloud

Or, le texte ne prend pas seulement en compte le transfert définitif d’une plateforme à une autre. Le Data Act a aussi des effets sur les approches multicloud, signale IDC.

« L’impact sur les stratégies hybrides et multicloud est considérable », envisage Cyrille Chausson. « Les charges de travail circuleront plus facilement entre le cloud public, le cloud privé et les plateformes sur site. Les entreprises gagneront en agilité technique et contractuelle pour rééquilibrer, optimiser, voire rapatrier leurs infrastructures à mesure que leurs stratégies évoluent ».

Une « règle spéciale » s’applique toutefois dans des scénarios multicloud, dès que deux services de fournisseurs différents s’exécutent en parallèle. Dans ce cas-là, les frais de sortie de données pourront toujours être appliqués, « même après le 12 janvier 2027 », précise la Commission européenne.

« En effet, un déploiement multicloud peut impliquer une sortie de données constante, contrairement à la sortie de données ponctuelle à laquelle on peut s’attendre dans le cadre d’une opération de commutation », justifie-t-elle.

Ainsi, certaines entreprises pourraient continuer à payer si elles ont besoin de transférer régulièrement des données entre deux instances de deux fournisseurs différents.

Google et Microsoft disent aller au-delà des exigences du Data Act

En réaction au Data Act, AWS, Google Cloud et Microsoft avaient déjà dévoilé des services qui respectent plus ou moins la procédure décrite plus haut au moment d’une sortie définitive de leur cloud.

Google et Microsoft viennent de lancer des services de transfert de données pour le cas d’usage multicloud. GCP évoque dans sa documentation une solution de transfert intercloud « économique ». Microsoft nomme son outil équivalent « at-cost », ce qui se traduit littéralement en français par « à prix coûtant ». Néanmoins, les deux organisations assurent qu’elles ne facturent pas ou remboursent les frais liés aux données sortantes. À noter que d’autres coûts s’appliquent et l’opération est conditionnée aux régions cloud européennes.

En clair, les deux acteurs respectent à la lettre le texte européen à la fois en diminuant les coûts de transfert, tout en vantant une forme d’interopérabilité.

Concernant les clauses contractuelles, un groupe d’experts a été missionné par la Commission pour proposer un schéma standard, mais celui-ci est « non contraignant ».

En cas de non-respect, le Data Act prévoit des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires.