L’Autorité de la Concurrence enfonce le cloud

L’Autorité de la Concurrence a rendu son avis très attendu sur « le fonctionnement concurrentiel de l'informatique en nuage ». Elle soulève plusieurs problématiques et prépare ses armes en vue d’ouvrir « une (ou plusieurs) enquête(s) contentieuse(s) » si cela était nécessaire. 

Il y a un an et demi, l’Autorité de la concurrence s’auto-saisissait pour examiner de près les acteurs du cloud et « procéder à une analyse globale du fonctionnement de la concurrence dans ce secteur ». Il était notamment question de dresser la liste « des acteurs sur les différents segments de la chaîne de valeur, ainsi que leurs relations contractuelles, dans un contexte où de multiples alliances et partenariats sont conclus pour la fourniture de services cloud ». Une procédure chaudement accueillie par plusieurs acteurs du secteur que nous avions contactés.

• Cloud : l’Autorité de la concurrence s’auto-saisit… sous vos applaudissements

« Le secteur est dominé par trois grands acteurs »

Hier, elle a rendu son avis, dans un document de près de 200 pages, accompagné d’un résumé de 18 pages. Elle commence par établir un état des lieux qui ne surprendra personne : « le secteur est dominé par trois grands acteurs, nommés "hyperscalers", que sont Amazon Web Services (AWS), Google Cloud Platform et Microsoft Azure. Ils représentent, en 2021, 80 % de la croissance des dépenses en infrastructures et applications de services cloud public en France […] Ces hyperscalers sont par leur force de frappe financière, et leurs écosystèmes de services numériques en mesure de pouvoir entraver le développement de la concurrence ».

L'Autorité considère en effet que « la probabilité qu’un nouvel acteur puisse être en mesure de gagner rapidement des parts de marché apparait limitée en-dehors d’acteurs d’ores et déjà puissants sur d’autres marchés ».

• Perdus face au cloud ? On vous explique les notions principales

Elle commence par proposer une grille d’analyse des marchés du cloud. Une première piste à suivre est la « charge de travail », c'est-à-dire l’ensemble des ressources informatiques. Une segmentation basée sur la certification SecNumCloud pourrait aussi être envisagée, mais diviser le marché « en fonction des secteurs d’activité ne semble pas, pour l’instant, pertinent ».

Trois marchés connexes à surveiller sont aussi évoqués : les services de colocation dans des datacenters, les logiciels sur site ainsi que « l’intermédiation du conseil et de l’intégration de solutions cloud ». Elle appelle aussi à veiller sur les effets sur des évolutions en cours, notamment la généralisation des grands modèles de langage, le développement de l’edge computing ou encore celui du jeu en ligne, de même que l’augmentation de l’empreinte environnementale et les enjeux de cybersécurité que chacun de ces éléments induit.

La difficile négociation des contrats et la complexité des offres

Premier constat que l’on retrouve souvent dans les cas de position dominante : puisque le secteur est principalement occupé par des acteurs incontournables, cela « peut rendre difficile la négociation des clauses des contrats par les clients, même puissants ».

L’Autorité pointe aussi du doigt « la complexité des offres et du manque de lisibilité des tarifs », rendant difficile pour les clients d’anticiper les coûts lorsqu’il faudra changer de crémerie. 

Des crédits cloud « assimilables à du dumping » ?

L’Autorité se penche ensuite sur les « crédits cloud ». Pour résumer, il s’agit pour les fournisseurs de proposer gratuitement ou à prix défiant toute concurrence leurs services à des entreprises, particulièrement les start-ups. Ces dernières « s’épargnent de lourds investissements susceptibles d’entraver leur développement », tandis que les fournisseurs de services « diffusent et encouragent l’adoption de leur technologie ».

Le sujet n’est pas nouveau, une question parlementaire en octobre 2021 le soulevait déjà : « les offres gratuites, ou "crédits cloud", soulèvent particulièrement une question, car elles sont assimilables à du dumping : proposées à très large échelle dans l’écosystème numérique européen, ces offres ne sont ni encadrées, ni limitées, ni sujettes à la fiscalité ou soumises à des obligations de transparence ».

Pour l’Autorité de la concurrence, ces crédits doivent faire l’objet d’une attention particulière : « Les montants proposés parfois élevés (jusqu’à 200 000 dollars sur deux ans), le vaste écosystème d’entreprises qu’elles concernent et leur durée de validité les distinguent significativement des essais gratuits qui peuvent être traditionnellement observés dans d’autres industries, et soulèvent des doutes quant à la capacité de tous les fournisseurs de services cloud à les proposer de manière rentable ».

Le risque est bien connu : après avoir passé des mois ou des années à se développer sur un service gratuit – et donc sans forcément chercher d’alternative – le risque de verrouillage est réel. Il est de plus « renforcé par la présence de clauses ou pratiques limitant la possibilité de changer de fournisseur ou de recourir simultanément à plusieurs fournisseurs ».

D’une certaine manière, cette situation est comparable au contrat open bar de Microsoft avec l’éducation nationale. Sauf que les « jeunes pousses » ne sont pas des collégiens/lycées/étudiants, mais des start-ups biberonnées au cloud d’un hyperscaler. Pas facile ensuite de changer de crémerie. 

Bonjour, c’est pour le check out… ha ouch !

Autre grief : les frais de sortie ou egress fees en anglais. « Certains fournisseurs de services cloud, en particulier les hyperscalers, facturent à leurs clients leurs transferts de données vers un fournisseur concurrent, vers leur infrastructure sur site ou vers leurs utilisateurs finaux ».

La facture peut rapidement grimper selon la quantité de données. Ces frais « pourraient engendrer un risque de verrouillage de la clientèle sur un marché en pleine expansion, en rendant plus difficile pour les utilisateurs de cloud de quitter leur primo-fournisseur ou de recourir à plusieurs fournisseurs à la fois dans un environnement multi-cloud ».

Hyperscaler, « un ami qui vous veut du bien » ?

Puisqu’on parle de la migration de ses données, l’Autorité pointe du doigt d’autres pratiques qui pourraient être abusives : « des clauses contractuelles restrictives, des ventes liées, des avantages tarifaires favorisant leurs produits ainsi que des restrictions techniques ». Plusieurs plaintes ont déjà été déposées à la Commission européenne, ajoute l’AdlC sans entrer dans les détails.  

Autre point qui pourrait nuire à la concurrence : qu’un fournisseur de service cloud utilise « volontairement un format de données spécifique afin d’empêcher la portabilité des données d’un client vers un autre fournisseur de services cloud ».

D’autres risques sont soulevés, notamment ceux « liés aux conditions fixées par les fournisseurs pour l’accès à leurs places de marché cloud et à leur fonctionnement ». De manière évidente, l’Autorité indique que « des freins volontairement mis en place pour entraver l’interopérabilité ne sont enfin pas exclus ».

L’Autorité place des espoirs dans le DMA et le Data Act 

La « politique d’acquisitions agressive » de la part des acteurs déjà présents sur le marché, afin de renforcer leur position, est également abordée. Le constat est sans appel : « si les hyperscalers ont tous réalisé des acquisitions au cours des dernières années, ce type d’acquisitions est plus rare de la part des acteurs européens ».

L’Autorité espère que l’entrée en vigueur du DMA (Digital Markets Act) » permettra « aux autorités de concurrence et notamment à la Commission européenne de pouvoir contrôler de plus près ces acquisitions qui échappent souvent aux contrôles des concentrations, les entreprises acquises ayant souvent un chiffre d’affaires inférieur aux seuils de notification ». Elle attend aussi que se concrétise la proposition de règlement sur les données, ou Data Act (un accord vient d’être signé entre le Parlement et le Conseil européens). 

• Le Digital Markets Act expliqué ligne par ligne
• Que va changer le Digital Markets Act en pratique ?
• Data Act : la Commission européenne dévoile son projet de règlement sur les données

Alors que le Data Act vient tout juste de terminer son trilogue, l’Autorité estime qu’il « n’est pas pertinent de formuler des propositions d’amélioration » pour le moment. Une évaluation par la Commission européenne est prévue dans trois ans, ce sera l’occasion de se pencher sur certains points : 

• distinguer le régime applicable aux egress fees des autres frais de migration ;
• réaliser une étude d’impact sur les crédits cloud ;
• préciser les mesures en faveur de la portabilité et de l’interopérabilité.

Cachez ce Gaia-X que je ne saurais voir 

L’Autorité émet aussi un « point de vigilance » sur les co-entreprises. Les yeux se tournent évidemment vers Bleu (Microsoft, Orange et Capgemini) dont la Commission européenne vient d’autoriser sa création et S3ns (Google et Thales). Dans le viseur, le fait que « ces entités peuvent regrouper des entreprises disposant déjà d’importants avantages concurrentiels, limitant, de facto, la capacité d’autres acteurs moins puissants de les concurrencer ». 

• Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance

Pour répondre à ces « défaillances » du marché, l’Autorité met en avant le recours à la régulation : « Par exemple, si des solutions techniques existent pour faciliter le changement de fournisseur ou recourir au multi-cloud, les hyperscalers ne sont pas nécessairement incités à développer des solutions performantes d’interopérabilité susceptibles d’éroder leurs parts de marchés. L’échec des initiatives conjointes visant par exemple à développer des standards communs est attribué par beaucoup d’acteurs au manque de volonté des hyperscalers ».

Toute ressemblance avec l’initiative Gaia-X n’est certainement pas fortuite. Annoncée en grandes pompes en 2020, elle misait notamment sur l’interopérabilité, le respect de la vie privée et la souveraineté. Au fil des mois, les inquiétudes sont montées et des portes ont été claquées. Aujourd’hui Gaia-X n’est plus qu’une ombre.  « Nous continuons à y croire et à y investir des ressources », nous expliquait OVHcloud en février. Un discours que l’hébergeur tient depuis des mois, mais on attend encore du concret de la part de Gaia-X. 

• Gaia-X : genèse et ambitions du projet européen
• Scaleway va quitter Gaia-X, Clever Cloud s'inquiète (nextinpact.com)
• Projet européen Gaia-X : « Il ne faut pas se moquer du monde »

Et maintenant, des enquêtes ?

Enfin, l’Autorité de la Concurrence dresse une liste des « armes » à sa disposition, comme pour préparer les acteurs à ce qui pourrait prochainement leur tomber dessus : abus de position dominante, lutte contre les ententes illicites, contrôle des concentrations et abus de dépendance économique. La DGCCRF pourrait aussi entrer dans la danse sur la question des pratiques restrictives de concurrence. Si « l'art de la guerre, c'est de soumettre l'ennemi sans combattre », l’AldC semble au contraire prête à prendre les armes à sa disposition. 

La conclusion ne laisse plus de place au doute : « S’il n’est juridiquement pas possible pour l’Autorité d’examiner ces questions dans le cadre d’un avis, le rapporteur général annonce que ses services vont procéder à un examen préliminaire des éléments rassemblés afin d’estimer s’il y a lieu d’ouvrir une (ou plusieurs) enquête(s) contentieuse(s) ». Reste une question : la temporalité avant d’ouvrir des enquêtes, puis la durée pour les terminer et remettre de l’ordre sur ce marché qui évolue à vitesse grand V. 

Nous avons demandé à plusieurs acteurs français leur avis sur cet avis et notamment s’ils estimaient qu’il restait des zones d’ombres. Clever Cloud est le premier à nous répondre. 

« L'avis de l'Autorité de la concurrente nous conforte totalement dans l'idée que les clients des acteurs dominants du cloud sont victimes de pratiques anticoncurrentielles qui limitent leurs possibilités de recourir à d'autres fournisseurs. Nous devons analyser l'avis, mais nous sommes satisfaits du fait que l'Autorité ait confirmé la nécessité d'encadrer les crédits cloud qui n'ont d'autre but que de verrouiller les clients à long terme, et de limiter les egress fees qui pénalisent les clients qui font sortir des données vers d'autres réseaux que celui de leur hébergeur », nous explique Clever Cloud. 

Autre point de satisfaction pour l’entreprise : « que l'AdlC identifie des risques latents liés aux alliances de circonstance visant à proposer des offres SecNumCloud basées sur les socles logiciels des hyperscalers, ou encore les abus liés aux pratiques de tarification de licences qui privent de plus en plus les utilisateurs du libre choix de l'hébergement de leurs solutions logicielles ». Enfin, pour Clever Cloud, cet avis de l’Autorité « conforte le projet de loi de Jean-Noël Barrot ».

Un appel pour « protéger nos entreprises de la concurrence déloyale »

Hasard (ou pas) du calendrier, une vingtaine de sociétés françaises (cloud, cyber, data, quantique…) ont lancé en début de semaine un appel dans La Tribune pour « protéger nos entreprises de la concurrence déloyale » :

« Alors que débute au Sénat le débat sur le projet de loi Barrot visant à "sécuriser et réguler l'espace numérique" (SREN), [ils] demandent aux parlementaires de soutenir ce texte. Ils le jugent essentiel pour rétablir une saine concurrence dans le cloud, secteur stratégique au cœur de la transformation numérique des entreprises et des révolutions technologiques en cours, notamment celle de l'IA qui repose sur l'exploitation en masse des données ».