Le 29 juin 2023, l’Autorité de la concurrence (ADLC) a rendu un avis portant sur le fonctionnement concurrentiel de l’informatique en nuage (« cloud ») (Avis 23-A-08 du 29 juin 2023).
C’est l’aboutissement d’une démarche initiée dès le 27 janvier 2022, lorsque l’Autorité débuta une enquête sectorielle relative aux conditions du fonctionnement du secteur du Cloud computing (Cloud), ou informatique en nuages. Les services d’instruction de l’ADLC ont ainsi interrogé de nombreux acteurs du secteur et, en juillet 2022, une consultation publique a été menée afin de recueillir les observations des parties prenantes.
L’avis publié fin juin 2023 à la suite de cette consultation, comporte divers enseignements, disséminés tout au long de ses 200 pages, ce qui en fait un format de rapport plus que d’un avis. L’ADLC met en lumière l’évolution soutenue du secteur, caractérisé par sa croissance économique et un encadrement juridique innovant.
De ce dernier point de vue, il s’agit notamment de l’entrée en vigueur du « Digital Markets Act » (DMA) le 16 novembre 2022, de la réglementation « Digital Operational Resilience Act » (DORA) pour le secteur financier, du processus d’adoption en cours du « Data Act », ou encore, en France, d’un projet de loi visant à sécuriser et réguler l’espace numérique actuellement voté en 1re lecture à l’Assemblée nationale le 7 juillet 2023 (sur lequel l’ADLC avait formulé plusieurs recommandations dans un avis n°23-A-05 en date du 20 avril 2023).
Il ressort de cette enquête, sans que cela ne soit une découverte, que le secteur du Cloud est dominé par trois grands acteurs, nommés « hyperscalers », qui sont les principaux fournisseurs de services Cloud et qui disposent de capacités importantes et en expansion : Amazon Web Service (AWS), Google Cloud Platform et Microsoft Azure. Pour l’ADLC, ces hyperscalers, tous américains, seraient en mesure d’’entraver le développement de la concurrence par leur force de frappe financière et leurs écosystèmes de services numériques (Communiqué de presse de l’ADLC du 29 juin 2023).
L’avis n°23-A-08 détaille plus particulièrement les solutions de services d’infrastructure (« Infrastructure-as-a-Service » ou « IaaS », c’est-à-dire la mise à disposition, par le fournisseur, d’infrastructures informatiques telles que des serveurs ou du stockage pour l’utilisateur) ainsi que les solutions de services de plateforme (« Platform-as-a-Service » ou « PaaS », c’est-à-dire la fourniture d’environnements tels que des bases de données ou d’analyse de données permettant aux utilisateurs de bénéficier de logiciels ou d’outils pour développer leurs applications sans avoir à créer ni entretenir l’infrastructure ou la plateforme associée au processus). Les services de logiciels (« Software-as-a-Service » ou « Saas » permettant à l’utilisateur d’accéder directement à des applications gérées intégralement par le fournisseur) sont également envisagés lorsque cela est pertinent pour l’analyse de la concurrence du secteur.
L’étude est cantonnée au Cloud « public » (c’est-à-dire accessible par et mutualisé entre différents utilisateurs) et à l’analyse des relations entre les fournisseurs de services Cloud et leurs clients professionnels exclusivement.
L’ADLC propose une grille d’analyse, sans formuler de position précise, quant aux possibles marchés pertinents dans le secteur du Cloud, ainsi que relativement aux différentes pratiques que l’ADLC a identifié comme étant mises en œuvre ou susceptibles d’être mises en œuvre dans ce secteur et qui pourraient avoir pour effet de restreindre la concurrence.
Les possibles marchés pertinents dans le secteur du cloud
En synthèse, dans son avis, l’ADLC formule diverses propositions de marchés pertinents pour l’analyse de la concurrence. Elle souligne que ses propositions ne sont que des pistes de réflexion, n’ayant pas vocation à être figées, le Cloud étant un secteur récent et particulièrement dynamique.
On observera que l’ADLC ne s’arrête pas particulièrement sur le lien entre l’offre de services adaptés (en particulier en PaaS) et la détermination du marché pertinent, alors que nombre d’utilisateurs (clients) estiment qu’il n’y a pas véritablement de substituabilité des offres, du moins pour certaines d’entre elles.
Les pratiques susceptibles d’être mises en œuvre dans le secteur du Cloud
Au cours de son enquête sectorielle, l’ADLC a identifié plusieurs pratiques susceptibles d’être mises en œuvre dans le secteur du Cloud qui pourraient porter atteinte à la concurrence sur ce marché. D’une part, des risques concurrentiels transversaux, et, d’autre part, des risques plus spécifiques, liés à des scénarios particuliers.
S’agissant des risques anticoncurrentiels transversaux identifiés par l’ADLC, les risques suivants ont notamment été relevés.
Des risques transversaux liés au déséquilibre des relations entre les hyperscalers et leurs clients
Sur ce thème, et là encore sans surprise, l’avis met en avant les risques liés au déséquilibre des relations entre les hyperscalers et leurs clients. Il s’agit ici de la négociation difficile des contrats, ces contrats étant le plus souvent des contrats standards non-négociés, soit des contrats d’adhésion, conclus par l’acceptation de conditions générales de services.
Cela rejoint ce qui a déjà été mis en avant par la CNIL dès 2012 s’agissant des difficultés soulevées par le Cloud en matière de protection des données personnelles. L’ADLC évoque également la difficulté d’une anticipation des coûts futurs des prestations du Cloud pour les clients compte tenu de la complexité des offres et du manque de lisibilité des tarifs.
Selon l’ADLC, ce déséquilibre serait susceptible d’engendrer un verrouillage des marchés ou, a minima, l’exclusion de certains fournisseurs si les hyperscalers exploitaient ce déséquilibre de manière à attirer les clients vers leurs offres ou en augmentant les barrières à l’entrée, notamment pour des acteurs plus petits.
Des risques transversaux liés aux pratiques de crédit Cloud et de frais de sortie
Pour l’ADLC, les pratiques de crédit Cloud (c’est-à-dire les offres d’essai prenant la forme d’allocations de services proposés par un fournisseur, octroyant un accès gratuit à un client dans un délai défini) et des frais de sortie (Data egress fees) , c’est-à-dire la facturation des transferts de données lorsque le transfert est réalisé vers un autre fournisseur de services Cloud ou vers les infrastructures et sur site de l’entreprise) doivent faire l’objet d’une surveillance renforcée du point de vue du droit de la concurrence.
La question du transfert des données, vers un autre fournisseur, ou vers le client lui-même, soulève l’épineuse interrogation de la « réversibilité » des données. En effet, s’agissant des crédit Cloud, si l’ADLC admet en synthèse que ceux-ci revêtent une utilité réelle et seraient même synonymes de valeur ajoutée pour de nombreuses entreprises, elle relève cependant que cela pourrait constituer des barrières à l’entrée ou au développement de fournisseurs concurrents au moins aussi efficaces (notamment en raison du montant des crédits Cloud proposés par les hyperscalers et des investissements requis pour fournir une offre de cette nature.).
S’agissant ensuite des frais de sortie, l’ADLC semble considérer que la structure et les niveaux des frais de sortie facturés par les hyperscalers à leurs clients ne reflètent pas, de manière transparente et prévisible pour ces derniers, les coûts directement supportés pour le transfert de données.
Dans son avis, l’ADLC indique toutefois que le « Data Act » ainsi que le projet de loi français visant à sécuriser l’espace numérique contiennent des dispositions visant, à terme, à supprimer ces frais de sortie et à encadrer les crédit Cloud.
Des scenarios pour évaluer le niveau de concurrence
S’agissant des risques plus spécifiques, l’ADLC envisage trois scenarios distincts.
Scenario 1
Dans ce premier cas, le renforcement des freins techniques et organisationnels liés à la primo-migration des systèmes d’information des clients vers le Cloud sont susceptibles d’inciter les entreprises à avoir recours à des fournisseurs historiques.
Lors de son enquête, l’ADLC a relevé des pratiques susceptibles de renforcer les freins, pour les entreprises souhaitant migrer vers le Cloud de recourir à un fournisseur alternatif de services. Ces pratiques les incitent à utiliser les services de leur fournisseur historique de solutions informatiques proposant également des services de Cloud (clauses contractuelles restrictives, ventes liées, avantages tarifaires favorisant les produits des fournisseurs historiques de solutions informatiques, restrictions techniques, etc.).
Pour l’ADLC, si ces pratiques étaient mises en œuvre par un opérateur en position dominante, elles pourraient constituer des pratiques abusives.
Scenario 2
Second cas de figure : les fournisseurs de services mettraient en place des freins susceptibles de limiter le choix du fournisseur en cas de migration.
Selon l’ADLC, des freins de nature technique ou volontairement mis en place par les fournisseurs de services Cloud peuvent empêcher un client de changer de fournisseur, nuisant ainsi à la concurrence sur le marché (restrictions contractuelles au libre choix du fournisseur, pratiques de ventes liées ou d’avantages tarifaires, restrictions techniques, etc.).
D’ailleurs, comme le souligne l’ADLC, plusieurs plaintes sont devant la Commission européenne sur le fondement de pratiques similaires.
Scenario 3
Enfin, l’ADLC relève différents facteurs propres au secteur du Cloud susceptibles d’en restreindre la concurrence, liés notamment à la migration d’un fournisseur de services Cloud vers un autre.
Selon elle, il peut s’agir de freins purement techniques affectant les concurrents des hyperscalers et particulièrement les fournisseurs de taille modeste. Cela peut être, par exemple, les coûts, non négligeables, de la migration ou, encore, le manque de portabilité des données et des applications.
Il peut en outre s’agir de pratiques de verrouillage. Par exemple, le fait pour un fournisseur en position dominante d’utiliser volontairement un format de données spécifique afin d’empêcher la portabilité des données d’un client vers un fournisseur de services Cloud alternatif.
Enfin, selon l’ADLC, il peut s’agir de freins à l’expansion des concurrents des hyperscalers, comme l’impossibilité pour un fournisseur concurrent de répliquer à l’identique les offres de crédit Cloud ou, encore, entre autres, les risques concurrentiels liés aux conditions fixées par les fournisseurs de services Cloud pour l’accès aux places de marché. L’ADLC n’exclut pas que certains de ces freins soient volontairement mis en place par les hyperscalers afin d’entraver l’interopérabilité (par exemple, en empêchant ou en restreignant l’accès à des informations essentielles permettant d’assurer l’interopérabilité des produits ou services).
L’Autorité en conclut, adoptant une formule quelque peu sibylline, que « le fonctionnement concurrentiel du secteur du Cloud se caractérise par une concurrence pour le marché plus que sur le marché ».
En effet, selon l’ADLC, les fournisseurs cherchent à conquérir des clients lors du choix de leur premier fournisseur Cloud, mais une fois ces clients captés, l’Autorité estime que les fournisseurs adopteront un statu quo, avec besoins des clients répartis, et que seules de faibles variations de parts de marché seront ensuite observées. Cette situation serait caractéristique d’un faible degré de concurrence.
Convergent avec cette observation, le Haut Comité Juridique de la Place Financière de Paris, dans un rapport sur le Cloud bancaire de mai 2021 qualifiait le marché du Cloud de marché oligopolistique, relevant notamment l’état de dépendance des banques face au faible nombre de prestataires de Cloud présents sur ce marché en particulier (services aux banques). Face à ce risque, important, de faible concurrence, l’ADLC rappelle que des outils efficaces existent en droit interne afin de maintenir la concurrence sur ce marché (droit de l’abus de position dominante, droit des ententes, abus de dépendance économique et contrôle des concentrations, droit des pratiques restrictives de concurrence).
