L’Autorité de la Concurrence va examiner s’il faut ouvrir des enquêtes contentieuses dans le Cloud

L’Autorité de la Concurrence a rendu son avis sur le fonctionnement de la concurrence dans le secteur du Cloud, le 29 juin. Stanislas Martin, rapporteur général de l’Autorité de la concurrence annonce que ses services vont procéder à un examen  préliminaire des éléments rassemblés afin d’estimer s’il y a lieu d’ouvrir des enquêtes contentieuses. La liste des péchés des acteurs du Cloud apparaît particulièrement longue tout au long de l’avis publié.

Utiliser les outils classiques du droit de la concurrence

L’Autorité parle de points de vigilance et liste de multiples risques pouvant affecter la concurrence dans le Cloud. Elle indique les outils dont elle dispose pour remettre de l’ordre et appelle la Commission européenne à être vigilante. L’Autorité indique qu’il pourrait être envisagé d’utiliser les outils classiques du droit pour protéger la concurrence que sont l’abus de position dominante, la lutte contre les ententes illicites, le contrôle des concentrations et l’abus de dépendance économique.

D’autres instruments du Livre IV du code de commerce, comme le droit des pratiques restrictives de concurrence pourraient éventuellement être mis en œuvre par la direction générale de la concurrence, de la consommation et de la répression des fraudes et constituer une réponse adaptée à certaines situations. Dans l’avis de l’Autorité, le fonctionnement des offres Cloud est particulièrement détaillé, ainsi que leurs multiples pièges (crédits Cloud gratuits, frais de sortie, verrouillage technologique et commercial, absence d’intéropérabilité). Tout cela est usuellement déjà connu des DSI, des directeurs juridiques ou des directeurs des achats mais mérite d’être rappelé.

L’Autorité identifie des « défaillances » de marché susceptibles d’être appréhendées par les règlementations en cours de discussion tels que la proposition européenne de règlement sur les données (« Data Act ») ou le projet de loi du gouvernement français visant à sécuriser et réguler l’espace numérique.

Trois grands acteurs, AWS, Microsoft et GCP

L’Autorité décrit le secteur du Cloud qu’elle a étudié comme étant dominé par 3 grands acteurs, des « hyperscalers », Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP). Elle indique qu’ils ont capté respectivement 46 %, 17 % et 8 % des dépenses en infrastructures et applications de Cloud public en France en 2021.

L’Autorité observe que ces hyperscalers sont par leur capacité financière et leur écosystème de services numériques en mesure d’entraver le développement de la concurrence, dans un marché touché par une importante dynamique de concentration. En France, en 2021, les trois entreprises précitées ont capté 80 % de la croissance des dépenses en infrastructures et applications de Cloud public.

Pour ces raisons, l’Autorité considère que la probabilité qu’un nouvel acteur puisse être en mesure de gagner rapidement des parts de marché apparait limitée en-dehors d’acteurs d’ores et déjà puissants sur d’autres marchés (On peut penser à Alibaba). Cette probabilité pourrait encore diminuer à mesure que les entreprises réalisent leur migration vers le Cloud et choisissent l’écosystème d’un fournisseur.

Les crédits Cloud et les frais de sortie affectent la concurrence

Certains risques affectent globalement la concurrence dans le secteur. L’Autorité cite les crédits Cloud ou les frais de sortie (« egress fees »). D’autres risques s’inscrivent dans des scénarios spécifiques, avec des risques pour les entreprises lors de leur première migration vers le Cloud, lorsqu’elles développent directement leur système informatique à partir du Cloud et en cas de migration d’un fournisseur de services Cloud vers un autre. L’Autorité examine aussi les risques liés aux freins à l’expansion des concurrents des hyperscalers.

L’Autorité constate que plusieurs évolutions ont potentiellement un impact sur le fonctionnement concurrentiel du secteur. Elle mentionne les grands modèles de langages (« LLM » comme ChatGPT), le calcul à la périphérie de réseau (« edge computing »), le jeu en ligne (« Cloud gaming »), les enjeux de cybersécurité ou l’empreinte environnementale. Elle demande que les autorités de concurrence veillent à ce que les acteurs établis n’entravent pas le développement de plus petits ou de nouveaux acteurs à partir de ces technologies.

Dans son avis, l’Autorité se concentre sur le Cloud public et le Cloud hybride. Elle distingue trois grandes catégories de services qui correspondent chacune à différents partages de responsabilité entre le fournisseur de services Cloud et l’entreprise cliente. Il y a l’IaaS (Infrastructure as a service) qui correspond au modèle le moins externalisé, dans lequel le fournisseur met à disposition de l’utilisateur les infrastructures informatiques, notamment des serveurs ou du stockage.

Le Paas est un modèle intermédiaire

Le PaaS (Platform as a service) constitue un modèle intermédiaire. Il fournit un environnement permettant aux clients de bénéficier de logiciels et d’outils pour développer leurs applications sans avoir à créer ni entretenir l’infrastructure ou la plateforme associée au processus. Le SaaS (Software as a service) correspond au modèle le plus externalisé. Il permet à l’utilisateur d’accéder directement à des applications, gérées intégralement par le fournisseur, depuis tout appareil connecté.

L’Autorité explique que les besoins des clients en services Cloud se formulent par « charges de travail » ou « workload », ce qui correspond aux ressources informatiques ou aux processus métier répondant à un besoin ou objectif spécifique du client. D’autre part, l’Autorité a analysé trois types de marchés connexes. Il s’agit du marché des services de colocation dans des centres de données, les marchés des logiciels sur site, sur lesquels certaines entreprises présentes sur les marchés du Cloud sont également actives et les marchés du conseil et de l’intégration de solutions Cloud.

L’Autorité estime que la présence d’acteurs incontournables peut rendre difficile la négociation des clauses des contrats par les entreprises clientes, même puissantes. De plus, elle ajoute qu’il peut être difficile pour les clients d’anticiper les coûts futurs du Cloud car les offres sont complexes et les tarifs manquent de lisibilité. Deux pratiques tarifaires ont été analysées dans l’avis 23-A-05 de l’Autorité sur le projet de loi visant à sécuriser et à réguler l’espace numérique. Elles ont retenu l’attention de l’Autorité.

Les crédits Cloud apportent de la valeur

L’impact des crédits Cloud est analysé. L’Autorité accorde que ces crédits Cloud sont synonymes de valeur ajoutée pour de nombreuses entreprises dont en particulier les startups et pour les fournisseurs. Les premières peuvent s’épargner des coûts d’investissement importants. Les seconds dopent l’adoption de leur technologie.

L’Autorité souhaite toutefois une attention particulière sur ce dispositif. Les montants proposés en crédits Cloud sont parfois élevés, jusqu’à 200 000 $ sur deux ans. L’Autorité déclare que le vaste écosystème d’entreprises qu’ils concernent et leur durée de validité les distinguent des essais gratuits que l’on peut rencontrer habituellement. Elle doute que tous les fournisseurs de services Cloud puissent proposer ces crédits de manière rentable.

Les crédits Cloud peuvent aboutir à verrouiller un client. Il est bien connu que le développement dans un Cloud spécifique crée le risque de ne plus pouvoir migrer vers un autre fournisseur. L’Autorité de la concurrence souligne que des risques de verrouillage des entreprises clientes existent compte tenu des développements longs et coûteux mis en œuvre pour mettre en place une architecture Cloud chez un fournisseur spécifique. Elle relève que ce verrouillage pourrait être renforcé par la présence de clauses ou de pratiques limitant la possibilité de changer de fournisseur ou de recourir simultanément à plusieurs fournisseurs.

Facturation des transferts de données

L’Autorité s’intéresse d’autre part aux frais de sortie (« egress fees »). Elle décrit que certains fournisseurs de services Cloud, en particulier les « hyperscalers », facturent à leurs clients leurs transferts de données vers un fournisseur concurrent, vers leur infrastructure sur site ou vers leurs utilisateurs finaux. L’enquête menée par l’Autorité a montré que ces « egress fees » sont potentiellement déconnectés des coûts directement supportés par les fournisseurs.

Ces frais constituent une préoccupation majeure pour le secteur, en raison de leur structure de prix proportionnelle au volume de données transférées, les clients n’ayant pas la possibilité d’anticiper en amont un besoin futur en trafic de données et en usage de la bande passante. L’Autorité indique que ces frais, dans leur structure actuelle, pourraient engendrer un risque de verrouillage de la clientèle sur un marché en pleine expansion, en rendant plus difficile pour les utilisateurs de Cloud de quitter leur premier fournisseur ou de recourir à plusieurs fournisseurs à la fois dans un environnement multi-Cloud.

Autre situation, l’Autorité de la concurrence a étudié la phase de migration vers le Cloud. Cette migration est coûteuse et complexe. Elle pense que cela peut inciter les entreprises à se tourner vers leurs fournisseurs historiques de services informatiques, également fournisseurs de services Cloud, lorsqu’il s’agit de choisir leurs services Cloud. L’Autorité indique que son instruction a mis en évidence des pratiques susceptibles de renforcer les freins au recours par un client à un autre fournisseur de services Cloud.

Des clauses contractuelles restrictives; des ventes liées, etc.

Les pratiques mises en cause sont des clauses contractuelles restrictives, des ventes liées, des avantages tarifaires favorisant les produits du fournisseur et des restrictions techniques. L’Autorité déclare que si ces pratiques étaient mises en œuvre par un opérateur en position dominante, elles pourraient constituer des pratiques abusives. Elle précise que plusieurs plaintes sont en cours devant la Commission européenne sur le fondement de pratiques similaires.

Autre grand classique, l’Autorité s’est intéressée aux freins à la migration vers un autre fournisseur de « charges de travail » hébergées dans le Cloud. Des freins technologiques à la migration peuvent apparaître à différents niveaux, liés en particulier aux spécificités de l’architecture et des solutions utilisées. Des coûts de migration non négligeables peuvent provenir de la variété des produits et services, notamment s’agissant des services PaaS, de l’interconnexion des services informatiques et du manque de portabilité des données et des applications.

Au-delà des freins techniques, l’Autorité décrit que les fournisseurs peuvent mettre en place des obstacles techniques et commerciaux additionnels, augmentant les coûts de migration pour renforcer leur position. Cela pourrait être le cas, par exemple, d’un fournisseur utilisant volontairement un format de données spécifique afin d’empêcher la portabilité des données d’un client vers un autre fournisseur de services Cloud.

Des freins liés à l’intéropérabilité

L’Autorité de la concurrence constate que le secteur du Cloud est marqué par des freins techniques relatifs notamment à l’interopérabilité. Ceux-ci affectent l’ensemble des concurrents et particulièrement les fournisseurs de taille modeste, compte tenu de l’attractivité des écosystèmes Cloud au moment de choisir un primo-fournisseur.

Ces freins sont illustrés dans l’avis par des exemples concrets comme les implications techniques de l’interopérabilité en ce qui concerne le service de stockage objet Amazon S3 (IaaS). L’interopérabilité avec les services PaaS est encore plus complexe. Par exemple, le changement d’un service PaaS de base de données nécessite de réécrire la partie du code de l’application qui utilise ce service.

L’Autorité a également identifié des risques liés à la présence d’un fournisseur sur plusieurs marchés connexes du numérique, des risques liés à certaines pratiques commerciales et tarifaires ainsi que des risques liés aux conditions fixées par les fournisseurs pour l’accès à leurs places de marché Cloud et à leur fonctionnement. L’Autorité écrit que des freins volontairement mis en place pour entraver l’interopérabilité ne sont pas exclus.

Une dynamique de concentration dans le Cloud

L’Autorité constate que les risques sur la concurrence pourraient être renforcés notamment par une politique d’acquisitions agressive de la part de fournisseurs Cloud afin de renforcer leur position. Les auditions menées par l’Autorité lui ont permis d’observer une dynamique de concentration dans le secteur du cloud notamment sur le marché français. L’Autorité rappelle que certaines concentrations peuvent avoir des effets négatifs sur la concurrence (réductions du nombre d’acteurs, potentielles ventes groupées ou liées, augmentation des prix, impact sur l’innovation…).

L’Autorité pense que l’entrée en vigueur du règlement sur les marchés numériques (« Digital Markets Act » ou « DMA ») devrait permettre aux autorités de concurrence et notamment à la Commission européenne de pouvoir contrôler de plus près ces acquisitions qui échappent souvent aux contrôles des concentrations, les entreprises acquises ayant souvent un chiffre d’affaires inférieur aux seuils de notification.

L’Autorité émet également un point de vigilance concernant la création d’entreprises communes de Cloud, notamment en lien avec les offres « cloud de confiance ». Or, ces entités peuvent regrouper des entreprises disposant déjà d’importants avantages concurrentiels, limitant, de facto, la capacité d’autres acteurs moins puissants de les concurrencer. La Commission vient d’autoriser la création de l’entreprise commune Bleu, la co-entreprise de Capgemini et Orange fondée sur les technologies de Microsoft Azure.

Des accords soulevant des enjeux du droit des ententes

Enfin, l’Autorité observe des partenariats entre des hyperscalers et des grands fournisseurs de logiciels ou des intégrateurs. Elle cite des accords qui lient AWS et Salesforce ou Microsoft et Oracle. Ces accords pourraient soulever des enjeux au regard du droit des ententes, qu’il s’agisse d’accords horizontaux ou verticaux.