Data Act européen : ce qui change pour le cloud

Le Data Act (règlement sur les données) est la dernière pièce du puzzle réglementaire européen sur les données. Adopté en 2023 et applicable à partir de 2025, il vise à faciliter le partage et la portabilité des données, notamment dans le cloud. Quels impacts pour votre choix d'hébergeur ?

Découvrir l'hébergement Infomaniak

Le Data Act en bref

Le Data Act est un règlement européen qui complète le RGPD et le Data Governance Act. Ses objectifs :

Faciliter l'accès aux données générées par les produits connectés (IoT)
Équilibrer le partage de valeur autour des données industrielles
Faciliter le changement de fournisseur de services cloud
Protéger contre les transferts de données illicites vers des pays tiers

C'est sur les aspects cloud que nous nous concentrons dans cet article.

Ce qui change pour le cloud

Droit à la portabilité renforcé

Le Data Act impose aux fournisseurs de services cloud de faciliter la portabilité des données. Concrètement :

Export des données dans des formats standards, documentés, lisibles par machine
Interopérabilité : les fournisseurs doivent permettre la migration vers d'autres services
Délais raisonnables pour l'export des données

Fini les formats propriétaires qui verrouillent les clients. Les hyperscalers devront faciliter la sortie de leurs plateformes.

Suppression des frais de sortie

Les "egress fees" (frais de sortie de données) pratiqués par AWS, Azure et GCP sont souvent dissuasifs. Le Data Act prévoit leur suppression progressive :

À partir de 2027, les frais de sortie liés au changement de fournisseur seront interdits
Une période de transition avec réduction progressive des frais est prévue

C'est une excellente nouvelle pour les entreprises qui hésitaient à quitter les hyperscalers à cause des coûts de migration.

Contrats plus équilibrés

Le Data Act impose des exigences minimales dans les contrats cloud :

Information claire sur les conditions de résiliation
Préavis raisonnable en cas de modification des conditions
Assistance à la migration vers un autre fournisseur

Protection contre les transferts illicites

Le Data Act renforce la protection contre les demandes d'accès aux données par des autorités de pays tiers (comme les demandes basées sur le Cloud Act américain).

Les fournisseurs cloud devront :

Prendre des mesures raisonnables pour protéger les données contre les accès illicites
Notifier le client des demandes d'accès (quand c'est légalement possible)
Refuser les demandes qui entrent en conflit avec le droit européen

Limite importante

Le Data Act ne peut pas empêcher le Cloud Act américain de s'appliquer aux entreprises américaines. Mais il oblige ces entreprises à résister aux demandes et à informer leurs clients. La meilleure protection reste de choisir un hébergeur non soumis à ces lois.

Opportunité pour les clouds européens

Le Data Act nivelle le terrain de jeu entre les hyperscalers et les acteurs européens de taille plus modeste.

Fin du lock-in

Les pratiques de verrouillage qui favorisaient les géants du cloud (formats propriétaires, frais de sortie élevés, intégrations exclusives) sont désormais encadrées. Les entreprises peuvent plus facilement :

Tester des alternatives européennes
Migrer si l'alternative est meilleure
Répartir leurs données entre plusieurs fournisseurs

Argument de souveraineté renforcé

Avec les dispositions sur les transferts illicites, le Data Act renforce l'argument de la souveraineté des données. Les entreprises sont encouragées à évaluer les risques juridiques de leurs choix d'hébergement.

Un hébergeur suisse comme Infomaniak, non soumis au Cloud Act et bénéficiant de l'adéquation RGPD, devient encore plus attractif dans ce contexte.

Ce que le Data Act n'est pas

Pour éviter les malentendus, précisons ce que le Data Act ne fait pas :

Ce n'est pas un remplacement du RGPD – Les deux coexistent, le Data Act ne concerne pas les données personnelles de la même façon
Ce n'est pas une interdiction du cloud américain – Les entreprises restent libres de leurs choix, mais doivent être informées des risques
Ce n'est pas immédiat – Certaines dispositions entrent en vigueur progressivement jusqu'en 2027

Conséquences pratiques

Pour les entreprises utilisatrices de cloud

Évaluez votre dépendance à votre fournisseur actuel
Testez la portabilité : pouvez-vous exporter facilement vos données ?
Comparez les alternatives maintenant que la migration sera facilitée
Négociez vos contrats en vous appuyant sur les dispositions du Data Act

Pour les fournisseurs cloud

Mettez à jour vos outils d'export pour respecter les formats standards
Documentez vos API et formats de données
Revoyez votre politique de frais de sortie
Communiquez sur votre conformité pour rassurer vos clients

Infomaniak et le Data Act

Infomaniak est naturellement aligné avec l'esprit du Data Act :

Formats ouverts : kDrive stocke des fichiers standards, exportables facilement
Protocoles standards : IMAP, CalDAV, CardDAV pour la messagerie et les agendas
Pas de frais de sortie : Infomaniak n'a jamais pratiqué de frais de sortie abusifs
Hébergement suisse : Protection maximale contre les transferts illicites

Le Data Act ne change pas fondamentalement la donne pour Infomaniak, qui pratiquait déjà l'ouverture et la portabilité. Mais il renforce sa position face aux hyperscalers qui devront s'adapter.

Calendrier

2023 : Adoption du règlement
Septembre 2025 : Entrée en application générale
2027 : Suppression totale des frais de sortie cloud

Conclusion

Le Data Act est une bonne nouvelle pour la concurrence dans le cloud européen. En facilitant la portabilité et en encadrant les pratiques de verrouillage, il donne aux entreprises plus de liberté dans leurs choix d'hébergement.

C'est le moment d'évaluer vos options. Si vous êtes chez un hyperscaler et envisagiez une alternative européenne, les barrières à la migration s'abaissent. Des acteurs comme Infomaniak peuvent désormais se comparer plus équitablement aux géants américains.