Le 29 juin dernier, l’Autorité de la Concurrence (ci-après « l’Autorité ») a rendu un avis sur le fonctionnement concurrentiel du secteur du Cloud1 (ci-après l’« Avis »), qui s’inscrit dans un mouvement réglementaire tendant à encadrer les marchés numériques et amorcé notamment par le Digital Market Act (« DMA ») et du futur Data Act.
Le cloud (informatique en nuage) représente l’ensemble des services mutualisés (réseaux, serveurs, stockages, applications et services), accessibles via Internet, à la demande, payés à l’usage et, par extension, certaines des infrastructures sous-jacentes (centres de données notamment), proposés par des fournisseurs de services cloud (ci-après « Fournisseur(s) ») à des entreprises clientes (ci-après « Client(s) »).
Selon l’Avis, la croissance de ce secteur sera fulgurante en France d’ici 2025, au point de générer un chiffre d’affaires de 27 milliards d’euros.
Aujourd’hui, trois acteurs majeurs et déjà connus dans le paysage du numérique se partagent le marché (appelés « Hyperscalers ») : Amazon Web Services (AWS), Google Cloud Platform et Microsoft Azure.
Concernant son architecture, le cloud est divisé en trois grandes catégories de services, dénommées IaaS (« Infrastructure as a Service »), PaaS (« Platform as a Service ») et SaaS (« Software as a Service »), qui correspondent à différents partages de responsabilité entre le Fournisseur et le Client. L’Autorité se concentre sur les deux derniers qui sont principalement destinés aux professionnels.
Ces clients professionnels sont soit des acteurs issus du secteur public qui amorcent une utilisation du cloud en méthode principal d’hébergement des services de l’État, soit des entreprises privées qui se subdivisent entre celles ayant choisi de migrer leurs services vers ce système informatique et celles s’étant construites directement dans ce modèle (appelées les « Cloud Native »).
Enfin, l’Autorité propose plusieurs pistes pour définir les marchés pertinents liés à ces services de cloud, en fonction d’une part des besoins spécifiques des Clients (« charge de travail ») et d’autre part de l’offre proposée par les Fournisseurs.
La « charge de travail » (ou « Workload ») correspond à la solution informatique à l’ensemble des ressources (applications, données, services) développées par le Fournisseur pour répondre à un besoin spécifique exprimé par le Client : les charges de travail pourraient alors être substituables lorsqu’elles répondent à un même besoin.
Par ailleurs, il pourrait être tenu compte des écosystèmes cloud ou hors cloud pour déterminer le marché pertinent et ainsi considérer comme concurrents sur un même marché l’ensemble des fournisseurs pouvant répondre à une demande d’offres groupées.
Enfin, une segmentation fondée sur la certification SecNumCloud (ou « cloud de confiance ») pourrait être pertinente, cette dernière représentant un référentiel de plus en plus recherché par les Clients pour son niveau de sécurité élevé.
Tout d’abord, l’Autorité relève la forte concentration du marché français des services cloud, qui pourrait ainsi faire obstacle à l’entrée de nouveaux acteurs.
Les hyperscalers disposent en effet d’un avantage considérable pour capter les revenus de ce nouveau secteur, du fait de leur clientèle préexistante et de leur capacité d’investissement qui leur permettent de développer un « écosystème » répondant à l’ensemble des besoins des Clients et contribuant ainsi à réduire les possibilités de multi-domiciliation.
Également, l’Autorité identifie des risques concurrentiels transversaux (a) et spécifiques (b).
Deux types de pratiques tarifaires risquent de déséquilibrer les rapports entre Fournisseurs et Clients et de verrouiller le marché :
Les crédits clouds, sous forme de tests, sont accordés par la quasi-totalité des Fournisseurs et peuvent s’élever de quelques dizaines d’euros à un millier d’euros, pour une durée pouvant aller jusqu’à trois mois et peuvent avoir un caractère fréquent ou récurrent, un fournisseur de services cloud pouvant proposer des nouveaux crédits cloud à chaque fois qu’il propose un nouveau service. Les crédits clouds, sous forme de programmes d’accompagnement, sont proposés principalement par des fournisseurs de services cloud plus importants à destination d’utilisateurs à fort potentiel d’innovation, tels que les startups, couvrent des montants beaucoup plus importants (des centaines de milliers d’euros par exemple) et peuvent durer plusieurs années ;
Les Egrees Fees (utilisés principalement par les hyperscalers), consistent à facturer les transferts de données du Client, que ce soit vers un Fournisseur concurrent, vers sa propre infrastructure sur site ou vers leurs utilisateurs finaux. L’impossibilité pour les Clients d’anticiper le volume des données à transférer, et donc les coûts à supporter, et la difficulté à quitter son-primo-fournisseur ou à se tourner vers des Fournisseurs concurrents sont autant d’enjeux concurrentiels identifiés par l’Autorité.
L’Avis envisage trois scénarios :
En conclusion, tout en rappelant que les risques identifiés dans son Avis peuvent être appréhendés au titre des pratiques anticoncurrentielles ou restrictives de concurrence, l’Autorité évoque la régulation pour répondre aux défaillances du marché, comme le DMA ou l’adoption future du Data Act.
Par ailleurs, elle rappelle l’arsenal juridique dont elle dispose aujourd’hui, à savoir les outils classiques du droit de la concurrence tels que l’abus de position dominante, le droit des ententes, le contrôle des concentrations, et l’abus de dépendance économique, mais également les outils procéduraux tels que les mesures conservatoires.
Elle se réfère également à la DGCCRF, qui pourra mettre en œuvre ses propres instruments tels que le droit des pratiques restrictives de concurrence du Livre IV du code de commerce.
Enfin, la pratique décisionnelle des autorités de concurrence pourrait par ailleurs servir de base à la construction d’une réelle jurisprudence en la matière2.
2 L’Autorité, dans son Avis, fait notamment référence à l’affaire Google Shopping de 2021, Nespresso de 2014 ou encore Microsoft de 2007.
