SWIPO : Échec de la régulation du marché européen du cloud

25 novembre 2019 | ACTUALITÉS, Communiqués

#SWIPO – Le Cigref et ses adhérents ne peuvent pas reconnaître, à ce stade, la légitimité des documents (codes de conduite, descriptif de la future entité légale de gouvernance de ces codes) qui devraient être remis, le 26 novembre 2019, à Helsinki, aux ministres de la présidence finlandaise du Conseil de l’Union européenne.

Le Cigref fait le constat de l’échec du processus d’autorégulation du marché du cloud en Europe. Cet échec est essentiellement la conséquence d’une asymétrie systémique de compétences, de moyens et d’objectifs entre ceux de certains grands fournisseurs mondiaux de services cloud d’une part, qui défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients, et d’autre part ceux des utilisateurs dont le lobbying dans ce domaine n’est pas le métier. Aucune des propositions formulées par les membres du Cigref pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale n’a été prise en compte, au mépris des règles de gouvernance du SWIPO Working Group.

Communiqué de presse du Cigref

25 novembre 2019 English version

Télécharger en PDF

Le contexte

Le Cloud est devenu un élément essentiel des architectures techniques informatiques des grandes entreprises européennes. Le marché est actuellement très largement dominé par quelques acteurs américains qui imposent à leurs clients des conditions incompatibles avec les principes d’une concurrence libre et non faussée.

Le règlement 2018/1807 du Parlement européen et du Conseil européen, publié le 14 novembre 2018, a pour objectif de favoriser la libre circulation des données non personnelles en Europe. Son article 6 dispose que la Commission encourage et facilite l’élaboration de codes de conduite par autorégulation du marché du cloud en Europe.

L’objectif principal du règlement est de favoriser les mécanismes de libre circulation des données non personnelles :

  • par l’ouverture du marché aux petits fournisseurs ;
  • par la limitation de la concentration des acteurs ;
  • par l’amélioration de la liberté de choix des utilisateurs ;
  • par la suppression des dispositifs d’enfermement propriétaire ;
  • en favorisant l’interopérabilité logicielle et la portabilité des licences logicielles dans le cloud, par l’adoption de normes communes.

A cette fin, un groupe de travail, le « SWIPO Working Group » (SWItching cloud and POrting data) a été mis en place par la Commission européenne dès le mois d’avril 2018. Ce groupe de travail était censé être représentatif des principaux acteurs du cloud européen : fournisseurs de services cloud et utilisateurs. Dans les faits, si les principaux fournisseurs de taille mondiale ont été présents tout au long de ces travaux, la façon dont ils ont été menés a rendu plus difficile l’implication des utilisateurs, lesquels ne disposent pas de ressources dédiées, et représentatives de leur diversité, à y consacrer dans la durée.

Ce SWIPO Working Group avait pour objectif d’élaborer deux codes de conduite, l’un pour le marché du IaaS (Infratructure As A Service) et l’autre pour le marché du SaaS (Software As A Service), ainsi que les documents de définition de l’entité légale censée mettre en application et suivre l’évolution de ces codes de conduite.

Le règlement européen 2018/1807 a fixé la fin des travaux du SWIPO Working Group au 29 novembre 2019.

Les codes de conduite élaborés pour les marchés IaaS et SaaS, ainsi que les documents de définition de l’entité légale de gouvernance des codes de conduite sont censés être solennellement remis à la présidence finlandaise du Conseil de l’Union européenne le mardi 26 novembre 2019, à Helsinki, par les co-présidents du SWIPO Working Group et par la Commission européenne.

Le constat

Au terme des travaux du SWIPO Working Group, le Cigref est conduit à formuler les observations suivantes :

  • le code de conduite IaaS apparaît satisfaisant ;
  • contrairement aux affirmations formulées par certains de ses co-présidents et par la Commission européenne, le code de conduite SaaS et les documents de définition de l’entité légale n’ont pas recueilli de consensus du SWIPO Working Group. Le Cigref souhaite donc apporter un démenti à toute déclaration affirmant le contraire ;
  • aucune des propositions formulées par les membres du Cigref pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale n’a été prise en compte, au mépris des règles de gouvernance du SWIPO Working Group.

Le Cigref prend donc acte du dysfonctionnement du SWIPO Working Group et du refus des principaux fournisseurs de prendre en considération les propositions d’amendement formulées par les utilisateurs pour intégrer leurs attentes en matière de régulation du cloud, notamment en termes d’interopérabilité logicielle et de portabilité des licences logicielles. Ces attentes ont d’ailleurs été formalisées dans une motion de consensus présentée par une douzaine d’utilisateurs, que le groupe de travail n’a pas souhaité intégrer dans les délais impartis.

Le Cigref ne peut donc que faire, à ce stade, le constat de l’échec du processus d’autorégulation du marché du cloud en Europe.

Le Cigref estime que cet échec est essentiellement la conséquence d’une asymétrie systémique de compétences, de moyens et d’objectifs entre ceux de certains grands fournisseurs mondiaux de services cloud d’une part, qui défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients, et d’autre part ceux des utilisateurs dont le lobbying dans ce domaine n’est pas le métier.

Les propositions du Cigref

Les membres du Cigref réitèrent à la Commission européenne et au SWIPO Working Group leur disponibilité pour s’associer à la suite des travaux de la démarche d’autorégulation du marché du cloud en Europe, sous réserves, déjà présentées au SWIPO Working Group sous la forme d’une motion de consensus, que :

  • les codes de conduite IaaS et SaaS ainsi que les documents de définition de l’entité légale soient publiés, en tant que contributions publiques, sous licence Créative Common BY-SA 4.0 afin de s’affranchir de toute tentative de verrouillage ;
  • la Commission européenne diligente une mission – indépendante des fournisseurs – d’audit des codes de conduite et d’étude d’impact sur le marché du cloud en termes de bénéfice pour les utilisateurs, avant le 31 janvier 2020 ;
  • le comité de pilotage de l’entité légale soit composé de 1/3 de fournisseurs et de 2/3 d’utilisateurs afin d’établir un équilibre permettant de s’affranchir de l’asymétrie décrite ci-dessus ;
  • la Commission européenne s’engage sur l’élaboration, par les parties prenantes de la gouvernance de l’entité légale, d’une version 2 des codes de conduite IaaS et SaaS avant le 29 mai 2020, prenant notamment en compte les principales remarques des utilisateurs ;
  • la Commission européenne s’engage à élaborer une proposition de règlement dès le 29 mai 2020 si les versions 2 des codes de conduite n’avaient pu aboutir à un consensus.

En l’absence de ces dispositions, le Cigref et ses adhérents ne peuvent donc pas reconnaître la légitimité des documents qui devraient être remis, le 26 novembre 2019, à Helsinki, aux ministres de la présidence finlandaise du Conseil de l’Union européenne.

Enfin, et même si l’objectif n’est pas explicitement inscrit dans le règlement 2018/1807, le Cigref rappelle à la Commission européenne et aux acteurs du marché du cloud en Europe sa préoccupation relative à l’émergence d’une industrie européenne du cloud de confiance, offrant des garanties de sécurité, tant techniques que juridiques, permettant à ses clients européens de se protéger de l’extraterritorialité des législations auxquelles les principaux fournisseurs de services cloud sont aujourd’hui soumis. Le Cigref souhaite que cette ambition puisse être abordée, suivant des modalités à définir, dans le cadre des travaux ultérieurs du SWIPO Working Group.

Anticiper les cyberattaques : de la surveillance à la gestion de crise

Dans un monde de plus en plus connecté, les entreprises, grandes ou petites, se retrouvent désormais exposées à des cyberattaques de toutes sortes. La numérisation rapide des organisations a considérablement étendu leur surface d'attaque, créant ainsi un défi majeur...

Le Cigref et ses partenaires européens publient un Manifeste pour les élections européennes.

Nos quatre associations, Beltug en Belgique, Cigref en France, CIO Platform Nederland aux Pays-Bas et Voice en Allemagne, qui représentent collectivement plus de mille grandes entreprises européennes utilisatrices de technologies numériques, ont identifié quatre...

L’IA en entreprise : retours d’expérience et bonnes pratiques

Le Cigref a publié, au mois de juillet 2023, une première note d'information et d'actualité intitulée « Recommandations au sujet des IA génératives ». Un peu plus de six mois après, les évolutions particulièrement rapides des solutions intégrant ce type de...

L’IA en entreprise : retours d’expérience et bonnes pratiques

Le Cigref a publié, au mois de juillet 2023, une première note d'information et d'actualité intitulée « Recommandations au sujet des IA génératives ». Un peu plus de six mois après, les évolutions particulièrement rapides des solutions intégrant ce type de...

Les métavers : démystification et chemins à parcourir

Ce rapport sur les métavers, produit par le groupe de travail Cigref piloté par Malika Mir, Directrice des Systèmes d’Information du GROUPE BEL, et Olivier Le Garlantezec, Digital Tech Partnerships Director chez LVMH Group, explore les différents enjeux auxquels sont...