Avis n° 23-A-08 du 29 juin 2023 de l’Autorité fran­çaise de la concur­rence portant sur le fonc­tion­ne­ment concur­ren­tiel de l’in­for­ma­tique en nuage (« cloud ») 

Final report du 5 octobre 2023 de l’Autorité anglaise de régu­la­tion des télé­com­mu­ni­ca­tion (Ofcom) sur le cloud services market 

Dans deux études publiées en 2023, l’Autorité fran­çaise de la concur­rence et l’Autorité anglaise des télé­com­mu­ni­ca­tions ont analysé diverses pratiques liées au secteur du cloud au travers des outils clas­siques du droit de la concur­rence que sont l’abus de posi­tion domi­nante, la lutte contre les ententes illi­cites, le contrôle des concen­tra­tions et l’abus de dépen­dance écono­mique. Bien que les études se concentrent sur les services cloud, des pratiques compa­rables peuvent se retrou­ver dans le secteur des logi­ciels et des licences infor­ma­tiques. 

La contrac­tua­li­sa­tion  

Les four­nis­seurs de services cloud concluent deux prin­ci­paux types de contrats avec leurs clients : 

Dans l’immense majo­rité des cas, il s’agit de contrats stan­dards, formu­lés sous forme de condi­tions géné­rales et direc­te­ment conclus sur le site web du four­nis­seur, sans négo­cia­tion. Ils sont géné­ra­le­ment à durée indé­ter­mi­née et rési­liables (presque) à tout moment par le client.

Seuls quelques clients profes­sion­nels de plus grande taille parviennent à obte­nir des contrats (un peu) plus person­na­li­sés. D’une durée déter­mi­née, ces contrats contiennent certaines clauses négo­ciées et éven­tuel­le­ment une remise commer­ciale en contre­par­tie de l’utilisation d’un certain volume ou d’une certaine valeur de services. Mais ils restent la plupart du temps des contrats géné­riques, pré-rédi­gés par les four­nis­seurs de services eux-mêmes. Il est par consé­quent toujours diffi­cile d’obtenir leur modification.

Face à cette situa­tion, certains clients commencent néan­moins à mieux s’organiser. Ils rédigent leurs propres condi­tions géné­rales d’acquisition à l’attention de leurs futurs parte­naires. À titre d’exemple, dans le secteur public, l’organisation Administration numé­rique suisse (ANS) four­nit des condi­tions géné­rales types ainsi que plusieurs modèles de contrats-types que la Confédération, les cantons et les communes tentent d’imposer à leurs four­nis­seurs. Des initia­tives du même type existent aussi dans le secteur privé. Même si cela ne signi­fie pas encore que ces docu­ments sont par la suite forcé­ment accep­tés tels quels par les four­nis­seurs, cette pratique oblige au moins à ouvrir la discus­sion sur les condi­tions d’acquisition du client.  

Le risque de lock-in 

En écono­mie, la dépen­dance au four­nis­seur (égale­ment appe­lée verrouillage proprié­taire ou verrouillage du client – lock-in en anglais) est un scéna­rio dans lequel un client devient dépen­dant d’un four­nis­seur pour des produits et des services, parce qu’il n’est pas capable de chan­ger de four­nis­seur sans efforts, ni coûts prohi­bi­tifs. 

Sur le plan tech­nique, le verrouillage peut venir de l’uti­li­sa­tion de tech­no­lo­gies proprié­taires ou de stan­dards spéci­fiques à un four­nis­seur. Par exemple, certains four­nis­seurs de cloud déve­loppent des formats de données et des inter­faces de program­ma­tion d’ap­pli­ca­tions (API) qui sont uniques à leur envi­ron­ne­ment. Cela signi­fie que les données et les appli­ca­tions déve­lop­pées sur une plate­forme spéci­fique peuvent néces­si­ter une réécri­ture substan­tielle pour fonc­tion­ner sur une plate­forme diffé­rente. Cette spéci­fi­cité engendre des coûts élevés de tran­si­tion, dissua­dant les clients de migrer leurs appli­ca­tions et leurs données vers un nouveau four­nis­seur de cloud. 

Les archi­tec­tures cloud modernes encou­ragent l’uti­li­sa­tion de micro­ser­vices et de fonc­tions inté­grées, qui peuvent créer des dépen­dances complexes entre les diffé­rents services d’un même four­nis­seur. Par exemple, une entre­prise peut utili­ser à la fois l’hébergement de données, les fonc­tions de calcul, et les services d’ana­ly­tique d’un seul four­nis­seur. La migra­tion d’une partie de cet écosys­tème vers un autre four­nis­seur devient alors non seule­ment tech­ni­que­ment complexe mais aussi coûteuse, en raison de l’in­ter­dé­pen­dance des services qui néces­sitent d’être migrés ensemble pour main­te­nir la fonc­tion dans sa globa­lité. 

Sur le plan contrac­tuel, les four­nis­seurs de cloud peuvent impo­ser des condi­tions qui compliquent encore davan­tage la migra­tion. Les contrats peuvent inclure des durées d’en­ga­ge­ment longues avec des péna­li­tés pour rési­lia­tion anti­ci­pée, des clauses de renou­vel­le­ment auto­ma­tique, des frais élevés pour l’ex­por­ta­tion des données ou des limi­ta­tions sur la fréquence de ces expor­ta­tions. Ils peuvent aussi volon­tai­re­ment omettre de prévoir toute assis­tance visant à permettre au client de récu­pé­rer ses données ou de les migrer sur un autre cloud. 

La tari­fi­ca­tion 

De manière géné­rale, la struc­ture tari­faire des services cloud est souvent consi­dé­rée comme opaque, voire arti­fi­cielle. Les four­nis­seurs de services cloud utilisent des modèles de tari­fi­ca­tion basés sur une multi­tude de variable, qui sont diffi­ciles à appré­hen­der. Au-delà de cet aspect, certaines pratiques spéci­fiques inté­ressent plus parti­cu­liè­re­ment les auto­ri­tés de la concur­rence. 

Les rabais combi­nés (« commit­ted spend discounts ») sont offerts par des four­nis­seurs de cloud d’une certaine impor­tance en échange d’un enga­ge­ment de dépense mini­mum de la part du client et/​ou l’achat de plusieurs services combi­nés. Bien que cela puisse réduire les coûts pour les clients, ces rabais incitent égale­ment à rester avec un seul four­nis­seur pour tous leurs besoins en cloud, même lorsque d’autres four­nis­seurs pour­raient offrir des services de meilleure qualité ou plus adap­tés aux besoins spéci­fiques du client. 

Les « crédits cloud » sont utili­sés comme une forme d’in­ci­ta­tion par laquelle des four­nis­seurs de cloud offrent à leurs clients des services gratuits à titre d’es­sai dans un délai défini, géné­ra­le­ment de 6 à 12 mois. Même s’ils offrent des oppor­tu­ni­tés de déve­lop­pe­ment inté­res­santes pour les start-ups et les nouvelles entre­prises notam­ment, ils peuvent encou­ra­ger les entre­prises à s’en­ga­ger davan­tage dans des archi­tec­tures et des services spéci­fiques, rendant diffi­cile toute migra­tion future vers des solu­tions concur­rentes.  

Les frais de sortie (« egress fees ») sont impo­sés par des four­nis­seurs de cloud pour le trans­fert de données hors de leur envi­ron­ne­ment. Ils peuvent engen­drer des coûts supplé­men­taires signi­fi­ca­tifs pour les clients qui doivent dépla­cer des données entre diffé­rents four­nis­seurs ou qui souhaitent simple­ment ré-inter­na­li­ser leurs données ou chan­ger de four­nis­seur. Ces frais sont parti­cu­liè­re­ment criti­qués. Tant l’étude fran­çaise que l’étude anglaise indiquent que les coûts factu­rés sont sans rapport avec les coûts incré­men­taux de la four­ni­ture du service. 

Finalement, certains four­nis­seurs de services cloud peuvent profi­ter d’une situa­tion de lock-in pour agir sur leurs tarifs. Une fois qu’un client est profon­dé­ment inté­gré dans l’en­vi­ron­ne­ment d’un four­nis­seur de cloud, chan­ger de four­nis­seur devient non seule­ment tech­ni­que­ment complexe mais aussi coûteux pour le client. Le four­nis­seur peut alors choi­sir de capi­ta­li­ser sur cette dépen­dance en augmen­tant dras­ti­que­ment et sensi­ble­ment ses tarifs. Dans son rapport « Magic Quadrant 2021 » concer­nant les offres d’infrastructures de cloud public, Gartner indi­quait à ce propos que des clients d’Amazon Web Services avaient subi des pres­sions à l’occasion du renou­vel­le­ment de leurs contrats. En pratique, il n’est, en effet, pas rare que des four­nis­seurs décident à ce moment d’aug­men­ter leurs tarifs précé­dents, parfois même en allant jusqu’à les multiplier.

Les clauses d’exclusions ou de limi­ta­tion de respon­sa­bi­lité 

Il est fréquent dans le secteur des services cloud que les four­nis­seurs imposent des clauses qui excluent ou qui limitent toute respon­sa­bi­lité du four­nis­seur et de ses sous-trai­tants. En droit suisse, de telles clauses sont géné­ra­le­ment valables. Seuls les dommages causés par dol, faute grave ou négli­gence grave du four­nis­seur ne peuvent pas être exclus (art. 100 al. 1 CO). Rien n’empêche non plus le four­nis­seur de s’exonérer de toute respon­sa­bi­lité pour ses propres sous-trai­tants (art. 101 al. 2 CO). La situa­tion est néan­moins diffé­rente dès lors qu’on se situe dans le domaine de la protec­tion des données. En sa qualité de sous-trai­tant du respon­sable du trai­te­ment, le four­nis­seur de services cloud demeure respon­sable des trai­te­ments qu’il confie à son tour à des tiers et ne peut donc pas s’exonérer des respon­sa­bi­li­tés prévues par la loi (cf. le texte très clair de l’OPDo par rapport au fait qu’il s’adresse tant au respon­sable du trai­te­ment qu’à son sous-traitant).

Même si aucune partie n’aime voir la respon­sa­bi­lité de son co-contrac­tant exclue ou limi­tée, de telles clauses ne sont pas forcé­ment le signe d’un contrat léonin. Dans le secteur du cloud, la limi­ta­tion de respon­sa­bi­lité est une ques­tion de scala­bi­lité. Un logi­ciel à CHF 50’000.- peut être utilisé pour conce­voir un système de plusieurs centaines de millions de francs ou pour gérer un porte­feuille d’ac­tifs de plusieurs milliards. En cas de dysfonc­tion­ne­ment, le même logi­ciel peut ruiner son usager. Le four­nis­seur ne pour­rait cepen­dant pas faire des affaires si chaque vente impli­quait un risque réel de respon­sa­bi­lité équi­valent à plusieurs centaines de millions, voire de milliards, de francs. 

C’est pour­quoi la respon­sa­bi­lité des four­nis­seurs de services cloud est presque toujours limi­tée aux dommages directs et plafon­née à un montant global (cap). Bien que cette méthode soit globa­le­ment accep­tée, le montant du cap doit néan­moins être validé par chaque partie en tenant compte de la pres­ta­tion four­nie, des tarifs fixés et des dommages poten­tiels en cas de mauvaise exécu­tion. Les contrats cloud peuvent, certes, ne pas être soumis à une obli­ga­tion de résul­tat. Mais une clause d’exclusion de respon­sa­bi­lité qui va jusqu’à libé­rer une partie de faire préci­sé­ment ce qu’elle s’engage à faire, y compris en termes de dili­gence, est problé­ma­tique et ne devrait pas être accep­tée sans autre. 

Les hyper­sca­lers 

Le marché du cloud est large­ment dominé par un petit nombre d’ac­teurs majeurs, à l’image d’Amazon, Microsoft, et Google. Leur capa­cité à offrir des écosys­tèmes inté­grés de services, couplée à leur puis­sance finan­cière et à leur base de clients exis­tante, leur confère des avan­tages concur­ren­tiels signi­fi­ca­tifs. Ces acteurs peuvent ainsi exer­cer une influence consi­dé­rable sur les struc­tures de marché en ayant recours à des pratiques de ventes liées, en englo­bant des services non-dési­rés dans des offres grou­pées ou en offrant des avan­tages tari­faires que des concur­rents de taille moindre ne pour­raient jamais propo­ser. 

En raison des infra­struc­tures (IaaS) et des plate­formes (PaaS) dont ils disposent, les hyper­sca­lers colla­borent souvent dans le cadre de parte­na­riats stra­té­giques avec des « Independant Software Vendrors » (ISVs). Ces derniers béné­fi­cient alors de l’in­fra­struc­ture massive et de la portée des hyper­sca­lers pour offrir leurs propres logi­ciels (SaaS). Ces colla­bo­ra­tions peuvent entraî­ner des inno­va­tions et des services amélio­rés pour les clients. Cependant, elles peuvent aussi créer des risques, si elles débouchent sur des pratiques exclu­sives ou des ententes sur les prix, les terri­toires de vente ou les clients cibles, ou si les hyper­sca­lers favo­risent certaines ISVs par rapport à d’autres. 

Les outils du droit de la concur­rence 

Pilier de la régu­la­tion écono­mique, le droit de la concur­rence compte plusieurs instru­ments permet­tant d’intervenir contre les pratiques anti-concur­ren­tielles. La loi sur les cartels (LCart ; RS 251) a pour but d’empêcher les consé­quences nuisibles d’ordre écono­mique ou social impu­tables aux cartels et aux autres restric­tions à la concur­rence. Elle repose sur trois piliers :  

En premier lieu, la LCart inter­dit les accords entre entre­prises occu­pant des éche­lons du marché iden­tiques ou diffé­rents, dans la mesure où ils visent ou entraînent une restric­tion à la concur­rence (art. 4 al. 1 et 5 LCart). Cela peut notam­ment concer­ner les alliances stra­té­giques et les parte­na­riats renfor­cés, entre four­nis­seurs de services cloud ou les accords d’interopérabilité spéci­fiques entre certains acteurs du cloud et du SaaS. Paradoxalement, des solu­tions de stan­dar­di­sa­tion, qui favo­risent à première vue l’interopérabilité et donc le chan­ge­ment de four­nis­seur, peuvent, dans certains cas, deve­nir problé­ma­tiques en empê­chant l’émergence de solu­tions alter­na­tives et en para­ly­sant l’innovation par le biais de pratiques de verrouillage tech­nique. 

En deuxième lieu, la loi sanc­tionne les entre­prises qui abusent d’une posi­tion domi­nante, parce qu’elles sont à même, en matière d’offre ou de demande, de se compor­ter de manière essen­tiel­le­ment indé­pen­dante par rapport aux autres parti­ci­pants du marché (art. 4 al. 2 et 7 LCart). En été 2023, la Commission euro­péenne a ouvert sur ce fonde­ment une enquête formelle afin de déter­mi­ner si Microsoft avait profité d’une posi­tion domi­nante avec son produit de commu­ni­ca­tion et de colla­bo­ra­tion Teams. La Commission cherche à déter­mi­ner a) si, en ne donnant pas aux consom­ma­teurs le choix d’in­clure ou non l’ac­cès à Teams lors­qu’ils acquièrent Office ou Microsoft 365, Microsoft accorde ou non à ce produit un avan­tage en matière de distri­bu­tion et b) si Microsoft limite l’in­te­ro­pé­ra­bi­lité entre son produit et les offres des concur­rents en matière d’outils colla­bo­ra­tifs. Dans une autre affaire datant de 2007, le Tribunal de l’Union euro­péenne a confirmé la déci­sion de la Commission euro­péenne selon laquelle le refus de Microsoft de divul­guer des infor­ma­tions en matière d’interopérabilité consti­tuait un abus de posi­tion domi­nante (Arrêt du Tribunal de première instance du 17 septembre 2007 – Microsoft/​Commission, Affaire T‑201/​04). Windows équi­pant à cette époque 90% des ordi­na­teurs indi­vi­duels dans le monde, la Commission esti­mait que Microsoft devait donner à ses concur­rents un accès à un certain nombre de données tech­niques rela­tives à Windows afin de leur permettre de déve­lop­per des logi­ciels compa­tibles. 

Un cran en dessous de l’abus de posi­tion domi­nante, l’abus de dépen­dance écono­mique repré­sente une autre voie d’in­ter­ven­tion, lorsqu’une entre­prise béné­fi­cie d’un pouvoir de marché rela­tif. Elle sanc­tionne l’ex­ploi­ta­tion abusive par une entre­prise de la situa­tion de dépen­dance dans laquelle se trouvent ses parte­naires commer­ciaux, faute de possi­bi­lité suffi­sante et raison­nable de se tour­ner vers d’autres entre­prises (art. 4 al. 2bis et 7 LCart). Contrairement à l’abus de posi­tion domi­nante, la situa­tion de dépen­dance écono­mique ne s’apprécie pas par rapport à la posi­tion d’une entre­prise sur un marché donné, mais au regard des spéci­fi­ci­tés de la rela­tion commer­ciale qu’elle entre­tient avec ses parte­naires. Ce méca­nisme peut, par exemple, se révé­ler perti­nent pour appré­hen­der des cas où des four­nis­seurs de services cloud imposent des condi­tions contrac­tuelles ou tari­faires parti­cu­liè­re­ment agres­sives à des clients se trou­vant en situa­tion de lock-in.  

En troi­sième lieu, la LCart prévoit que les concen­tra­tions impli­quant de grandes entre­prises soient soumises à l’examen de la Commission de la concur­rence (COMCO) afin d’établir si elles vont créer ou renfor­cer une posi­tion domi­nante capable de suppri­mer une concur­rence effi­cace (art. 4 al. 3 et 10 LCart). Les scena­rios expo­sés ci-dessus peuvent, en effet, être renfor­cés par une poli­tique d’acquisitions agres­sive de la part d’entreprises déjà présentes sur le secteur du cloud afin de renfor­cer leur posi­tion sur le marché. 

Perspectives 

Il est loin le temps où il était encore possible d’acheter une licence perpé­tuelle sur un logi­ciel stan­dar­disé. Aujourd’hui, la plupart des éditeurs de logi­ciels privi­lé­gient des modèles d’abon­ne­ment modu­lables, grâce auxquels ils conservent inté­gra­le­ment la main sur les produits qu’ils vendent et sur les reve­nus qu’ils en retirent. Cette situa­tion crée toute­fois un envi­ron­ne­ment où la loyauté des clients est moins le résul­tat d’une satis­fac­tion ou d’une préfé­rence volon­taire que d’une contrainte écono­mique et tech­nique. 

Le droit de la concur­rence, on l’a vu, prévoit certains outils capables de régu­ler des pratiques jugées anti-concur­ren­tielles. Mais il est rare­ment utilisé, car c’est un droit diffi­cile à manier et qui permet unique­ment d’appréhender une situa­tion a poste­riori. Conscient des lacunes de cette approche, le légis­la­teur euro­péen travaille à mettre en place des solu­tions ex ante via des textes modernes et ambi­tieux. 

Le règle­ment du 14 septembre 2022 sur les marchés numé­riques (Digital Markets Act ; DMA) vise à lutter contre les pratiques anti­con­cur­ren­tielles des géants du Net et à corri­ger les déséqui­libres de leur domi­na­tion sur le marché numé­rique euro­péen. Il cible les plate­formes numé­riques consi­dé­rées comme « gate­kee­pers », celles qui ont une influence domi­nante sur le marché. Le DMA impose à ces entre­prises diffé­rentes obli­ga­tions pour éviter les compor­te­ments anti­con­cur­ren­tiels, notam­ment le fait de ne pas impo­ser ou favo­ri­ser leurs propres solu­tions, de rendre inter­opé­rables certaines fonc­tion­na­li­tés de base de leurs services, de parta­ger certaines de leurs données de perfor­mance marke­ting ou publi­ci­taire, ou encore de permettre la désins­tal­la­tion des logi­ciels préins­tal­lés. 

Le règle­ment du 25 novembre 2022 sur les données (Data Act ; DA) a pour objec­tif d’assurer une meilleure répar­ti­tion entre les acteurs de l’économie de la donnée. Il complète notam­ment le champ d’action du DMA en impo­sant des exigences de nature contrac­tuelle, commer­ciale et tech­nique aux four­nis­seurs de services cloud afin de permettre le passage d’un service à l’autre. Le DA prévoit notam­ment un renfor­ce­ment de la porta­bi­lité des données, des appli­ca­tions et des autres actifs numé­riques, la suppres­sion progres­sive des frais de trans­ferts de données et de migra­tion ainsi que la mise en place de moyens tech­niques favo­ri­sant ces chan­ge­ments. Concrètement, à comp­ter du 11 janvier 2024 et jusqu’au 12 janvier 2027, les four­nis­seurs peuvent unique­ment impo­ser des frais de chan­ge­ment de four­nis­seur équi­va­lant aux coûts effec­tifs du proces­sus de chan­ge­ment. À comp­ter du 12 janvier 2027, ils ne pour­ront plus impo­ser aucun frais de chan­ge­ment de four­nis­seur. 

Finalement, le règle­ment sur la rési­lience opéra­tion­nelle numé­rique du secteur finan­cier (cf. https://​swiss​pri​vacy​.law/​2​85/) adresse aussi cette problé­ma­tique pour les enti­tés finan­cières. Il encou­rage, en parti­cu­lier, l’adoption d’une stra­té­gie multi-cloud afin d’éviter les situa­tions de lock-in. Il oblige aussi à insé­rer dans les contrats passés entre une entité finan­cière et un four­nis­seur de services cloud des dispo­si­tions garan­tis­sant de récu­pé­rer les données confiées dans un format faci­le­ment acces­sible et assu­rant, pour certaines caté­go­ries de services, une période de tran­si­tion adéquate en cas de chan­ge­ment de four­nis­seur. 

Difficile de prédire quel sera l’impact de ces textes en Suisse. S’il n’est pas tota­le­ment exclu que les four­nis­seurs de services cloud actifs au niveau euro­péen décident d’appliquer ces mêmes règles à la Suisse, rien ne les y oblige pour autant. Quant aux four­nis­seurs de services cloud suisses, leur soumis­sion volon­taire à ces mêmes règles ne va pas de soi non plus. Dès lors, le légis­la­teur suisse serait bien inspiré d’envisager l’adoption de règles équi­va­lentes.