Le 17 octobre 2023, l’Assemblée Nationale a adopté en première lecture, le projet de loi pour Sécuriser et Réguler l’Espace Numérique (SREN).
L’objectif : réguler le monde du numérique afin de mieux protéger les individus et les entreprises, notamment à travers une meilleure réglementation du cloud.
Quelles sont les mesures énoncées ? Comment ce projet de loi impacte-t-il les entreprises et le marché du numérique ? Nous faisons le point.
Qu’est-ce que la loi SREN ?
La loi SREN (Sécuriser et Réguler l’Espace Numérique) énonce d’abord une série de mesures afin de mieux protéger les internautes contre les dangers du web (filtre anti-arnaque, vérification d’âge, déréférencements de sites non conformes ou lutte contre la désinformation …).
Ce projet de loi sur l’espace numérique vise aussi à protéger les entreprises et les organisations. Voici les mesures destinées à protéger ces acteurs.
La fin de la dépendance aux fournisseurs de cloud
Aujourd’hui, le cloud computing (ou informatique dématérialisée) apparaît comme une solution de stockage incontournable pour gérer de grands volumes de données.
Cependant, les services de cloud se regroupent entre les mains des trois grands fournisseurs informatiques américains. Ce qui crée une dépendance des entreprises européennes vis-à-vis de ces géants numériques.
Le projet de loi SREN souhaite limiter cette dépendance grâce à 3 mesures phares :
- L’interdiction des frais de transfert de données : actuellement, toute entreprise souhaitant changer de fournisseurs de cloud doit payer des frais équivalant à 125% du coût d’abonnement annuel. Une mesure qui renforce la position des géants du numérique au détriment de la libre concurrence.
- Les crédits cloud ou avoirs commerciaux : ces pratiques seront limitées dans le temps.
- L’interopérabilité des services cloud : il s’agit de renforcer le droit à la portabilité. Ce qui permet aux entreprises de transférer plus facilement leurs données chez un autre fournisseur. Elles pourront même souscrire les services cloud auprès de plusieurs hébergeurs.
Ces différentes mesures permettent de prévenir les impacts du Data Act ; le règlement européen visant à harmoniser les règles d’accès aux informations et à utiliser les données de manière plus équitable.
Focus sur l’article 10 bis A
Parmi les différentes mesures du projet de loi SREN, l’article 10 bis A applique de nouvelles restrictions en faveur de la souveraineté numérique.
Ce chapitre impose de recourir à des fournisseurs européens pour l’hébergement des « données stratégiques et sensibles ».
L’idée est ici de créer un marché numérique échappant aux lois d’ingérence numériques américaines auxquelles sont soumises les GAFAM comme le Cloud Act, ou les articles du FISA (Foreign Intelligence Surveillance Act) ; des textes qui justifient les pratiques de surveillance et d’espionnage d’outre-Atlantique.
Depuis son vote à l’unanimité en juillet 2023, l’article 10 bis A a subiquelques rebondissements.
Le 21 septembre 2023, la commission spéciale sur le projet de loi SREN a voté plusieurs amendements. Parmi lesquels, la suppression de l’article 10 bis A.
Le 5 octobre 2023, les parlementaires ont déposé plusieurs amendements pour demander sa réintégration.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Finalement, le 12 octobre 2023, le texte a été largement réécrit. Le recours à des fournisseurs de cloud européen est toujours obligatoire pour les données sensibles de l’État et de ses opérateurs.
Mais, de nouvelles conditions ont été ajoutées. Ainsi, l’hébergement de ces données sur un cloud européen est obligatoire seulement si “ leur violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou la vie des personnes ou à la protection de la propriété intellectuelle “.
Une adaptation des règlements DSA et DMA
Au-delà des mesures prises pour les entreprises et les internautes, le projet de loi SREN se présente avant tout comme une adaptation aux règlements européens déjà existants comme :
- Le Digital Services Act (DSA) : pour réguler les services numériques pour protéger les internautes (comme avec les mesures visant à limiter le cyber-harcèlement, l’accès aux sites pornographiques par les mineurs, la lutte contre les fraudes, …).
- Le Digital Markets Act (DMA) : qui entend limiter les abus de position dominante des géants du numérique. C’est ici que le volet cloud entre en jeu.
En plus de transposer les différentes mesures de ces règlements européens, le projet de loi numérique redéfinit les rôles des autorités chargées de leur application.
C’est le cas de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) chargée de contrôler le dispositif DMA et de définir les conditions d’interopérabilité.
Quel est l’impact de la loi SREN sur les entreprises et le marché numérique ?
En régulant le marché du Cloud, la loi SREN impacte fortement les entreprises engagées dans une démarche de transformation digitale. Parmi celles qui utilisent les services cloud, 71 % font appel à Amazon, Microsoft ou Google.
Face aux géants américains, les fournisseurs d’infrastructure cloud français ou européens peinent à émerger.
Le projet de loi sur l’espace numérique permet ainsi de développer la filière sur le continent européen. À terme, cette loi devrait permettre d’équilibrer les rapports entre les prestataires leaders et les autres.
Il est d’autant plus important de privilégier les clouders européens que les fournisseurs américains sont soumis aux lois extra-territoriales.
Notamment la loi américaine d’espionnage FISA. Selon cette loi, toutes les entreprises américaines, peu importe leur localisation géographique, doivent communiquer les données récoltées aux services secrets américains. Et ce, sans en avertir préalablement les parties prenantes.
Cette loi est particulièrement problématique concernant les données sensibles qui touchent soit les fonctions politiques et administratives, soit la vie privée des individus notamment les données de santé.
Quel est le rôle de la loi sur l’archivage de données de santé ?
Le projet de loi SREN vise à renforcer la souveraineté numérique européenne en matière de sécurité des données sensibles.
C’est-à-dire les données de l’État et de l’administration publique, comme le secret défense ou les données de santé.
Pour ces dernières, un amendement prévoit l’archivage des données de santé avec des prestataires SecNumCloud. Les entreprises gérant ce type de données doivent migrer vers un hébergeur certifié SecNumCloud.
Découvrez nos solutions SaaS
Oodrive représente l’un des rares éditeurs français à proposer des solutions SaaS et des infrastructures qualifiées SecNumCloud. Nos solutions sont capables de répondre aux plus hauts niveaux de sécurité, de confiance et de conformité attendus.
Ce label délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information) permet d’attester du niveau de sécurité le plus élevé en matière de protection des données.
Pourquoi la loi sur l’espace numérique est-elle si importante ?
À travers le volet Cloud, le projet de loi SREN vise à :
- Renforcer la souveraineté numérique en Europe : il s’agit de limiter la suprématie des grands fournisseurs de cloud américains qui occupent des parts de marché toujours plus importantes.
- Faciliter la libre concurrence en Europe : les clouders européens pourront plus facilement trouver leur place sur un marché, aujourd’hui dominé par les géants américains.
- Maximiser le choix : la libre concurrence bénéficiera aussi aux entreprises recourant aux services des hébergeurs de cloud privé ou public. D’une part, parce qu’elles peuvent changer plus facilement de fournisseur grâce à la suppression des frais de transfert de données. D’autre part, parce qu’elles disposent d’un choix plus large en termes d’hébergeurs.
En tant que fournisseur de cloud européen certifié SecNumCloud, Oodrive vous aide à protéger vos données sensibles, tout en respectant vos obligations légales.