La loi Sécuriser et Réguler l’Espace numérique a été adoptée le 10 avril 2024 et promulguée le 21 mai 2024. Un aspect de la loi comporte des dispositions transitoires concernant les services informatiques Cloud. À partir du 12 janvier 2027, le règlement européen sur les données (Data Act) entrera en vigueur et remplacera les dispositions de la loi SREN relatives aux frais de transfert.
La loi SREN prévoit des mesures nationales pour garantir un espace numérique plus sûr pour les internautes et plus équitable pour les acteurs du numérique. Ce texte adapte deux règlements européens dans le droit français: le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA). Plusieurs thèmes sont régulés : la protection des mineurs contre la pornographie, la lutte contre la haine et la désinformation en ligne, ou encore la répartition des pouvoirs de contrôle. Dans cette fiche, nous allons nous concentrer sur les dispositions visant à accompagner et sécuriser les entreprises dans leur transition numérique (article 26 à 39).
| POINTS CLÉS | CLARIFICATION |
|---|---|
| Réduction de la dépendance aux fournisseurs cloud | Le fournisseur cloud ne peut octroyer un crédit cloud que pour une durée limitée et ne pourra être assortie d’aucune condition d’exclusivité. Le fournisseur cloud ne peut pas subordonner la vente d’un produit ou d’un service à la conclusion en parallèle, d’un contrat de services cloud. La fournisseur cloud ne peut pas appliquer des frais dissuasifs lors du changement de prestataire. |
| Renforcement de l’interopérabilité et de la portabilité | Les fournisseurs de services cloud doivent assurer l’interopérabilité et la pLes fournisseurs de services cloud doivent assurer l’interopérabilité et la portabilité de leurs services. |
| Protection des données d’une «sensibilité particulière» et stratégiques | Une donnée sensible relève de secrets protégés par la loi, et des données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes. Le prestataire privé gérant des données sensibles devra mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisés par le droit de l’Union européenne. |
« La loi SREN incarne une vision du cloud qui refuse le faux dilemme entre souveraineté et performance technologique. En créant un cadre juridique, technique et économique favorable à l’émergence d’alternatives crédibles, elle pose les fondations d’un écosystème cloud diversifié où les organisations peuvent accéder à des services numériques avancés sans compromettre leurs intérêts stratégiques ni leur sécurité. »
Les modalités de mise œuvre de ces articles seront précisées par décret dans un délai de 6 mois à compter de la date de promulgation de la loi SREN.