Dans cet avis, l’Autorité de la concurrence analyse principalement les risques liés aux crédits cloud et frais de sortie des fournisseurs d’infrastructures IaaS et de plates-formes (PaaS) public et hybride qui affectent la concurrence. Et de rappeler qu’elle dispose d’outils efficaces pour protéger la concurrence au titre du droit de l’abus de position dominante, du droit des ententes, de l’abus de dépendance économique et du contrôle des concentrations.
Le 27 janvier 2022, l’Autorité de la concurrence annonçait s’être saisie d’office pour avis sur le fonctionnement concurrentiel du secteur de l’informatique en nuage, le « cloud ».
Après avoir publié un document intermédiaire durant l’été 2022 et consulté l’ensemble des parties prenantes, l’Autorité rend aujourd’hui son avis final.
Premier constat porté par l’Autorité, malgré une évolution en plein essor (avec une croissance annuelle prévue de son volume d’activité de 14 % d’ici 2025), l’adoption du cloud connaît un certain retard en France, la migration des petites et moyennes entreprises et des très petites entreprises étant plus lente que dans le reste de l’Union européenne.
Le secteur reste dominé par trois grands acteurs « hyperscalers » (Amazon Web Services, Google Cloud Platform et Microsoft Azure) qui ont respectivement capté 46 %, 8 % et 17 % des dépenses en infrastructures et applications de cloud public en France en 2021.
De par leur capacité financière et leur écosystème de services numériques, l’Autorité note qu’ils sont en mesure de pouvoir entraver le développement de la concurrence, dans un marché touché par une importante dynamique de concentration.
Proposition de grille d’analyse du marché
L’Autorité propose une grille d’analyse présentant de possibles marchés pertinents dans le secteur du cloud. La formulation des besoins des clients en services cloud pourrait s’effectuer par « charges de travail », ce qui correspond à l’ensemble des ressources informatiques ou des processus métier répondant à un besoin ou objectif spécifique du client.
B2CLOUD note à ce titre que ces « charges de travail » sont très fluctuantes par période et par entreprise, selon le modèle d’usage "Pay as you Go" ou "Pay as you Use" et qu’elles restent difficilement mesurables. Une segmentation fondée sur la certification SecNumCloud pourrait par ailleurs être envisagée. Sauf que cette certification est aujourd’hui réservée à un petit nombre d'acteurs. Avec comme risque principal de restreindre encore le nombre d’acteurs Cloud français sur le marché au profit des hyperscalers.
Les risques concurrentiels analysés par l’Autorité
La présence sur le marché d’acteurs incontournables peut rendre difficile la négociation des clauses des contrats par les clients. En outre, il peut être difficile pour les clients d’anticiper les coûts futurs du cloud compte tenu de la complexité des offres et du manque de lisibilité des tarifs. Deux pratiques tarifaires, déjà analysées dans l’avis 23-A-05 de l’Autorité sur le projet de loi visant à sécuriser et à réguler l’espace numérique, sont spécifiques au secteur et ont retenu l’attention de l’Autorité.
Les crédits cloud
Les crédits cloud sont synonymes de valeur ajoutée pour de nombreuses entreprises en particulier pour les startups, qui s’épargnent de lourds investissements susceptibles d’entraver leur développement, mais également pour les fournisseurs de services cloud qui, grâce à eux, diffusent et encouragent l’adoption de leur technologie.
L’Autorité considère toutefois que les offres ciblées d’accompagnement doivent faire l’objet d’une attention particulière. Les montants proposés parfois élevés (jusqu’à 200 000 $ sur deux ans), le vaste écosystème d’entreprises qu’elles concernent et leur durée de validité les distinguent significativement des essais gratuits qui peuvent être traditionnellement observés dans d’autres industries, et soulèvent des doutes quant à la capacité de tous les fournisseurs de services cloud à les proposer de manière rentable.
Des risques de verrouillage des clients existent compte tenu des développements longs et coûteux mis en œuvre pour mettre en place une architecture cloud chez un fournisseur spécifique. Ce verrouillage pourrait être renforcé par la présence de clauses ou pratiques limitant la possibilité de changer de fournisseur ou de recourir simultanément à plusieurs fournisseurs.
Les frais de sortie (« egress fees »)
Certains fournisseurs de services cloud, facturent à leurs clients leurs transferts de données vers un fournisseur concurrent, vers leur infrastructure sur site ou vers leurs utilisateurs finaux.
L’instruction a montré que ces "egress fees" sont potentiellement déconnectés des coûts directement supportés par les fournisseurs. Ils constituent une préoccupation majeure pour le secteur, en raison de leur structure de prix proportionnelle au volume de données transférées, les clients n’ayant pas la possibilité d’anticiper en amont un besoin futur en trafic de données et en usage de la bande passante.
Ces frais, dans leur structure actuelle, pourraient engendrer un risque de verrouillage de la clientèle sur un marché en pleine expansion, en rendant plus difficile pour les utilisateurs de cloud de quitter leur primo-fournisseur ou de recourir à plusieurs fournisseurs à la fois dans un environnement multi-cloud.
La réponse réglementaire : L’Autorité accueille favorablement le Data Act, qui est de nature à modifier positivement le fonctionnement concurrentiel du secteur. Elle considère qu’il est pertinent de distinguer le régime applicable aux egress fees des autres frais de migration, de réaliser une étude d’impact sur les crédits cloud et de préciser les mesures en faveur de la portabilité et de l’interopérabilité.
Les risques concurrentiels spécifiques
Ces risques concurrentiels sont liés à la migration des systèmes d’information sur site vers le cloud ou d’un fournisseur de cloud vers un autre. La migration des clients vers le cloud peut être complexe et coûteuse. L’instruction a mis en évidence des pratiques susceptibles de renforcer les freins au recours par un client à un autre fournisseur de services cloud, comme des clauses contractuelles restrictives, des ventes liées, des avantages tarifaires favorisant leurs produits ainsi que des restrictions techniques. Si elles étaient mises en œuvre par un opérateur en position dominante, ces pratiques pourraient constituer des pratiques abusives.
Des freins technologiques à la migration peuvent en effet apparaître à différents niveaux, liés en particulier aux spécificités de l’architecture et des solutions utilisées. En effet, la variété des produits et services PaaS, l’interconnexion des services informatiques et le manque de portabilité des données et des applications peuvent entraîner des coûts de migration non négligeables.
Au-delà des freins techniques, les fournisseurs peuvent mettre en place des obstacles techniques et commerciaux additionnels, augmentant les coûts de migration pour renforcer leur position. Cela pourrait être le cas, par exemple, d’une entreprise utilisant volontairement un format de données spécifique afin d’empêcher la portabilité des données d’un client vers un autre fournisseur de services cloud. Ces freins sont illustrés dans l’avis par des exemples comme les implications techniques de l’interopérabilité du service de stockage objet Amazon S3 (IaaS). Ou encore de l’interopérabilité avec les services PaaS et des bases de données nécessitant de réécrire la partie du code de l’application qui utilise ce service.
B2CLOUD considère à ce titre que la lecture des clauses contractuelles est plus que nécessaire avant de s’engager envers un fournisseur Cloud et qu’à l’instar du marché de la téléphonie, le point d’attention devrait être focalisé sur la portabilité et l’interopérabilité des données et services.
La réponse règlementaire : Des initiatives règlementaires sont en cours pour y remédier, comme en attestent l'adoption du DMA, et surtout de la proposition de règlement sur les données (« Data Act ») et du projet de loi susvisé. Dans son avis 23-A-05 du 20 avril 2023, l'Autorité formule plusieurs recommandations à cet égard.
Les risques liés aux marchés connexes du cloud
L’Autorité a également identifié des risques liés à la présence d’un fournisseur sur plusieurs marchés connexes du numérique, comme l’IA, l’Edge computing, le cloud gaming et la cyber sécurité, des risques liés à certaines pratiques commerciales et tarifaires mais aussi des risques liés aux conditions fixées par les fournisseurs pour l’accès à leurs places de marché cloud et à leur fonctionnement.
Les risques concurrentiels identifiés par l’Autorité pourraient être renforcés notamment par une politique d’acquisitions agressive de la part d’entreprises déjà présentes sur le secteur du cloud afin de renforcer leur position sur un marché du cloud identifié ou sur un marché connexe.
Les auditions menées par l’Autorité ont permis d’observer une dynamique de concentration dans le secteur du cloud notamment sur le marché français. Si l’Autorité reconnaît que les acquisitions peuvent permettre à un fournisseur d’améliorer son offre, de combler l’écart avec des concurrents déjà bien établis ou de se développer sur de nouveaux segments, l’Autorité rappelle que certaines concentrations peuvent avoir des effets négatifs sur la concurrence (réductions du nombre d’acteurs, potentielles ventes groupées ou liées, augmentation des prix, impact sur l’innovation…).
B2CLOUD note à ce titre que les hyperscalers ne sont pas les seuls à être concernés par ces risques de concentration, d’acquisitions externes et de pénétration de marchés connexes au cloud, à l’instar d’OVH avec la création de Symfonium (Cloud, cloud gaming, moteur de recherche etc.)
La réponse règlementaire : Il pourrait être envisagé d’utiliser les outils classiques de droit de la concurrence que sont l’abus de position dominante, et le contrôle des concentrations. L’entrée en vigueur du règlement sur les marchés numériques (« Digital Markets Act » ou « DMA ») devrait permettre aux autorités de concurrence et notamment à la Commission européenne de pouvoir contrôler de plus près ces acquisitions qui échappent souvent aux contrôles des concentrations, les entreprises acquises ayant souvent un chiffre d’affaires inférieur aux seuils de notification. De grands acteurs français pourraient aussi être impactés par ces règlementations, comme le contrôle des concentrations ou d’autres instruments du Livre IV du code de commerce, comme le droit des pratiques restrictives de concurrence.
Cloud de confiance
L’Autorité émet également un point de vigilance concernant la création d’entreprises communes de cloud, notamment en lien avec les offres « cloud de confiance ». Ces créations prennent la forme de co-entreprises et regroupent des acteurs majeurs du secteur qui ensemble proposent des offres spécialement conçues pour couvrir de nouveaux segments du marché. Or, ces entités peuvent regrouper des entreprises disposant déjà d’importants avantages concurrentiels, limitant, de facto, la capacité d’autres acteurs moins puissants de les concurrencer[1]
B2CLOUD note que ces partenariats permettent aussi à des acteurs français ayant peu de parts de marché, de pouvoir couvrir de nouveaux segments et de proposer de nouveaux avantages concurrentiels, alors même que l’Autorité reconnait dans son rapport que la probabilité qu’un nouvel acteur puisse être en mesure de gagner rapidement des parts de marché apparait limitée en-dehors d’acteurs d’ores et déjà puissants sur d’autres marchés. Et que cette probabilité pourrait encore diminuer à mesure que les entreprises réalisent leur migration vers le cloud et choisissent un écosystème.
Partenariat technologiques
Enfin, l’Autorité observe l’existence de partenariats technologiques entre des hyperscalers et des grands fournisseurs de logiciels (par exemple des accords lient AWS et Salesforce ou Microsoft et Oracle) ou des intégrateurs, etc. Or, les partenariats renforcés, entre fournisseurs de services cloud ou entre des fournisseurs de services cloud et des entreprises de logiciels, des intégrateurs ou les accords d’interopérabilité spécifiques entre certains acteurs du cloud et du SaaS, pourraient soulever des enjeux au regard du droit des ententes, qu’il s’agisse d’accords horizontaux ou verticaux.
B2Cloud note qu’en l’absence de ces partenariats, la plupart des CSPs français n’auraient que très peu de valeur de proposition à offrir à leurs clients et ne seraient pas en mesure de bâtir leurs offres et places de marchés
La réponse règlementaire : Il pourrait être envisagé d’utiliser les outils classiques de droit de la concurrence, telle que la lutte contre les ententes illicites
[1] . La Commission vient d’autoriser la création de l’entreprise commune Bleu, la co-entreprise de Capgemini et Orange fondée sur les technologies de Microsoft Azure.