Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le 11 juillet 2022 par Charles de Laubier

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @

Bataille du cloud : la Commission européenne pressée par OVH et Nextcloud d’enquêter sur Microsoft et d’autres

Publié le 28 mars 2022 par Charles de Laubier

Après l’allemand Nextcloud, membre d’Euclidia, c’est au tour du français OVH, dont un dirigeant préside le Cispe, de faire savoir qu’il a aussi déposé plainte en 2021 auprès de la Commission européenne contre Microsoft accusé de favoriser ses services sur son cloud Azure. Margrethe Vestager va-t-elle lancer une enquête ?

Le groupe français OVH a porté plainte auprès de la direction générale de la concurrence (DG Competition) de la Commission européenne contre l’américain Microsoft pour abus de position dominante avec son service de cloud Azur. C’est ce qu’a révélé le 16 mars le Wall Street Journal (1), information confirmée le même jour, notamment auprès d’Euractiv (2). Le français du cloud n’est pas le seul à accuser la firme de Redmond de favoriser ses propres logiciels, dont la suite Office, dans son infrastructure nuagique Azur et de ne pas les rendre optimaux sur des plateformes de cloud concurrentes.
Selon les constations de Edition Multimédi@, OVH – société fondée en 1999 à Roubaix, dans le Nord de la France, par Octave Klaba (photo de gauche), son actuel président et principal actionnaire – est membre fondateur de l’association des fournisseurs de services d’infrastructure cloud en Europe (Cispe), où l’on retrouve parmi ses vingt-cinq membres le géant Amazon Web Service (AWS), le français Outscale (Dassault Systèmes), le finlandais UpCloud, le néerlandais Altus Host, l’italien Aruba.it ou encore l’espagnol Gigas. Cette coalition Cispe est présidée depuis sa création en octobre 2016 par Alban Schmutz, vice-président d’OVH en charge du développement et des affaires publiques. Elle est aussi par ailleurs membre fondateur de GaiaX, le cloud souverain européen.

Porter plainte présente des risques de représailles
Pour autant, ni le Wall Street Journal ni Euractiv ne mentionnent l’exitence de ce lobby Cispe, basé à Bruxelles, lequel prend acte le 17 mars des révélations du quotidien économique et financier américain concernant la plainte d’OVH mais, curieusement, sans nommer OVH ni dire qu’il est l’un des membres fondateurs de Cispe et qu’Alban Schmutz en est le président depuis près de six ans. De plus, la plainte d’OVH auprès de la Commission européenne remonte à l’été 2021 et n’est révélée que mi-mars et elle n’est pas la seule à avoir été déposée contre Microsoft car d’autres prestataires de cloud européens – dont les noms ne sont pas dévoilés – l’on fait de leur côté. Pourquoi tant de discrétion ? « Le communiqué du 17 mars ne mentionne aucun membre. OVHcloud, un des plaignants dans l’action en concurrence intentée à l’égard de Microsoft, est effectivement membre de notre organisation. Quant aux autre membres fournisseurs d’infrastructure en nuage européens qui auraient aussi déposé plainte, ils ont dû faire une demande express à la Commission européenne pour ne pas être cités. Du coup, il ne nous est pas possible de dévoiler leur identité. La crainte de représailles commerciales – à leur égard ou à l’encontre de leurs clients – semble être la raison motivant cette demande », nous a répondu le secrétaire exécutif du Cispe, Francisco Mingorance.

Microsoft, mais aussi Oracle et SAP
Des nuages noirs se forment et menacent le marché du cloud en Europe. « Il y a une tempête qui se prépare depuis un certain temps sur l’utilisation injuste des licences de logiciels par certains éditeurs de logiciels historiques pour contrôler le marché de l’infrastructure cloud. (…) Des recherches menées par des experts renommés, les professeurs Jenny (3) et Metzger (4), ont également mis en évidence la façon dont les sociétés de logiciels historiques, dont Microsoft, utilisent des conditions injustes pour restreindre le choix et augmenter les coûts, ce qui nuit aux clients et menace les propres fournisseurs d’infrastructures de cloud en Europe », a déclaré la coalition Cispe (5). Celle-ci a adressé le 7 février dernier à la vice-présidente de la Commission européenne en charge notamment du numérique, Margrethe Vestager, une lettre ouverte intitulée « Pourquoi le DMA [le Digital Markets Act, dont les négociations ont abouti le 24 mars, ndlr] ne protège pas (encore) le marché du cloud de l’UE ». La quarantaine de signataires tirent la sonnette d’alarme : « Sans clarification dans la DMA, il en résultera la poursuite des pratiques déloyales des contrôleurs de logiciels monopolistiques [monopoly software gatekeepers, dans le texte en anglais], y compris Microsoft, Oracle et SAP » (6).
Dans son communiqué du 17 mars, le Cispe souligne le fait que la plainte d’OVH est la troisième contre Microsoft à se faire connaître en dix-huit mois et la deuxième en un an, mais n’en cite aucun. Pourtant, outre le français OVH, l’un des deux autres plaignants ayant attaqué Microsoft s’est déjà fait connaître publiquement l’an dernier. Il s’agit Nextcloud. Dans une déclaration fin novembre 2021, ce prestataire de cloud allemand, basé à Stuttgart, a annoncé avoir été rejoint par « une coalition d’entreprises européennes de logiciels et de cloud » pour porter plainte formellement devant la Commission européenne afin de dénoncer « le comportement anticoncurrentiel de Microsoft en ce qui concerne son offre OneDrive (cloud) » et le fait que «Microsoft regroupe ses OneDrive, Teams et autres services avec Windows et pousse de façon agressive les consommateurs à s’inscrire et de remettre leurs données à Microsoft ». Résultat de cette pratique dite de self-preferencing : « Cela limite le choix des consommateurs et crée un obstacle pour les autres entreprises qui offrent des services concurrents » (7), s’insurgent les plaignants de cette « coalition pour un terrain de jeu équitable » emmenés par Nextcloud. Près d’une trentaine d’entreprises (8) ont répondu à l’appel de ce dernier, parmi lesquelles le français Linagora. Contacté par Edition Multimédi@, le PDG fondateur de Nextcloud, Frank Karlitschek (photo de droite), a confirmé que son entreprise fait par ailleurs partie d’une association différente de Cispe : « Nous sommes membre d’Euclidia (European Cloud Industrial Alliance), ainsi que de GaiaX et de l’Open Forum Europe. Quant à la plainte de la coalition, elle progresse bien. Il y aura des nouvelles bientôt ». Est-ce à dire que Margrethe Vestager va lancer prochainement une enquête autour des pratiques dans le cloud, notamment de la part de Microsoft ? « Je ne peux pas le confirmer malheureusement », nous a-t-il répondu.
Nextcloud, qui offre une plateforme de collaboration basée sur du logiciel libre et utilisant des solutions grand public comme Dropbox et Google Drive, s’inquiète des agissements de Microsoft dans le cloud qui rappellent l’éviction de la concurrence dans les années 2000 des navigateurs web concurrents d’Internet Explorer. « Nous demandons aux autorités antitrust en Europe de faire en sorte que les règles du jeu soient équitables, de donner aux clients le libre choix et de donner une chance équitable à la concurrence », exhorte la coalition menée par Nextcloud qui a déposé une plainte auprès de la DG Concurrence et « discute d’une plainte en France avec ses membres de la coalition ». Ce n’est donc pas un hasard si, en janvier 2022, l’Autorité de la concurrence s’est auto-saisie (9). Début 2021, l’entreprise de Frank Karlitschek avait également déposé auprès de l’autorité antitrust allemande, le Bundeskartellamt, une demande d’enquête contre Microsoft. Google et Amazon concernés eux aussi L’alliance Euclidia, basée à Bruxelles et réunissant une trentaine d’organisations (10), fait partie – avec European Digital SME Alliance (11), The Document Foundation (12), la Free Software Foundation Europe (13) – de la coalition ralliée à Nextcloud. « Euclidia soutient l’action en justice de Nextcloud pour mettre fin au comportement anticoncurrentiel de Microsoft sur le marché européen, et appelle à mettre fin à des comportements similaires par d’autres acteurs prédateurs comme Google et Amazon », avait déclaré le 26 novembre 2021 cette alliance, en mentionnant bien l’un de ses membres (Nextcloud) à l’origine de la plainte – contrairement au Cispe qui a tu le nom d’OVH. @

Charles de Laubier

Règles éco-énergétiques : les data centers doivent passer des salles blanches aux « salles vertes »

Publié le 31 janvier 2022 par Charles de Laubier

Les gestionnaires de centres informatiques (data centers), qui n’apprécient déjà pas le dispositif « Eco Energie Tertiaire » de 2019, sont maintenant vent debout contre le durcissement règlementaire du « verdissement » du numérique. Cela risque de « plomber » leur compétitivité face aux GAFAM.

Par Déborah Boussemart, avocate en droit de l’immobilier

Tandis que la mise en œuvre du dispositif « Eco Energie Tertiaire » – anciennement « décret Tertiaire » (1) de 2019 – par les gestionnaires de centres de données informatiques s’avère inadaptée et paralysée, de nouvelles mesures de « verdissement » des data centers entrent en vigueur : d’une part, avec l’introduction d’un principe de « promotion de centres de données et des réseaux moins énergivores » inscrit dans la loi du 15 novembre 2021 visant à réduire l’empreinte environnementale du numérique en France, loi dite « Reen » (2), et, d’autre part, l’attribution à l’Arcep d’un nouveau pouvoir de régulation environnementale dans le secteur numérique par la loi du 23 décembre 2021 visant à renforcer la régulation environnementale du numérique.

Une équation à deux inconnues
Si les grands axes du dispositif « Eco Energie Tertiaire » sont connus et le compte-à-rebours lancé, les gestionnaires de data centers sont encore dans l’expectative des arrêtés dits « Valeur absolue II et III » annoncés par le gouvernement. Dans cette attente, la mise en œuvre du dispositif est paralysée et pose un problème de prévisibilité du droit dans ce secteur immobilier qui a besoin d’une stabilité juridique dès lors qu’il mobilise d’importants capitaux et nécessite de longues durées de retour sur investissements.
Soumis au dispositif « Eco Energie Tertiaire » modifié et recodifié (3) par la loi « Climat résilience » (4), les gestionnaires (propriétaires et le cas échéant les locataires) de data centers sont appelés à plus de sobriété énergétique. Ils sont tenus, pour tout bâtiment (ou tout ensemble de bâtiments situés sur un même site ou unité foncière) hébergeant – exclusivement ou non – des activités tertiaires sur une surface de plancher supérieure ou égale à 1.000 m2, d’atteindre pour chacune des années 2030, 2040 et 2050 les objectifs suivants :
• soit un niveau de consommation d’énergie finale réduit, respectivement, de 40 %, 50 % et 60 % par rapport à une consommation énergétique de référence qui ne peut être antérieure à 2010 ;
• soit un niveau de consommation d’énergie finale fixé en valeur absolue, en fonction de la consommation énergétique des bâtiments nouveaux de leur catégorie. Le gouvernement a rappelé son attachement à ces objectifs dans sa feuille de route « Numérique & Environnement » (5) de février 2021.
Pourtant, dans la mesure où les data centers fonctionnent en permanence, avec leurs « salles blanches » (aux particules et températures maîtrisées), nous verrons plus loin que les professionnels consultés dénoncent le caractère inadapté du dispositif de « verdissement ». Les actions destinées à atteindre ces objectifs portent notamment sur la performance énergétique des bâtiments, l’installation d’équipements performants et de dispositifs de contrôle et de gestion active de ces équipements, les modalités d’exploitation des équipements, et l’adaptation des locaux à un usage économe en énergie et le comportement des occupants. Le comportement de l’utilisateur est pris en compte (6). Conscient que ces actions peuvent se révéler coûteuses et/ou se confronter à des obstacles techniques, le législateur a prévu des modulations – sous réserve d’établir un dossier technique et une étude énergétique – et des déductions.
A titre d’exemple, une modulation est possible lorsque les coûts des actions apparaissent manifestement disproportionnés par rapport aux avantages attendus en termes de consommation d’énergie finale. Une autre modulation est également possible en cas de contraintes techniques, architecturales ou patrimoniales.

Plateforme Operat : saisir avant le 30 septembre
En outre, deux hypothèses de déduction sont acceptées afin de suivre au plus juste la consommation d’énergie réelle du bâtiment. D’une part, lorsque la chaleur fatale (7) est autoconsommée par le bâtiment tertiaire, cette chaleur peut être déduite de la consommation. D’autre part, en présence de véhicules électriques et hybrides rechargeables dans le bâtiment tertiaire, la consommation d’énergie liée à la recharge est déduite (8). Les données relatives à l’année 2020 doivent être saisies par les assujettis au plus tard le 30 septembre 2022 sur la plateforme « Operat » (9), laquelle est gérée par l’Agence de la transition écologique (Ademe). Puis, chaque année à partir de 2022 seront transmises, au plus tard le 30 septembre, les données relatives à l’année précédente (10). La première vérification par l’Ademe est fixée au 31 décembre 2031 (11). Les responsabilités sont partagées entre les propriétaires et les locataires, le législateur leur laissant le soin de s’organiser contractuellement. Dans la perspective de développer un immobilier plus vert, l’attestation annuelle générée par la plateforme Operat est annexée aux documents de vente et de location (12). Enfin, une notation « Eco Energie Tertiaire » annuelle est mise en place. Quant au préfet, il demande de justifier d’un plan d’actions. A défaut, il peut sévir en recourant au « Name & Shame » ou à des amendes administratives (13).

Arrêtés « Valeur absolue » en vue
S’agissant des valeurs à retenir pour les data centers, le dispositif est incomplet (14). Le 17 juin 2021, le gouvernement a indiqué travailler sur deux arrêtés :
• un arrêté « Valeur absolue II » devant présenter la totalité de la segmentation des activités tertiaires et préciser les objectifs en valeur absolue pour un grand nombre d’activités en métropole (15) ;
• un arrêté « Valeur absolue III », dont la publication est prévue en mai 2022, devant préciser les objectifs exprimés en valeur absolue pour les dernières activités pour lesquels les travaux sont en cours et intégrer les valeurs spécifiques pour les départements d’outremer (16).

Des voix se sont élevées pour dénoncer le caractère inadapté et imprévisible de ce cadre réglementaire. Une association professionnelle rassemblant les principaux acteurs de cette filière, France Data Center, a rappelé l’importance pour la France de conserver en permanence la maîtrise opérationnelle du numérique. Afin de gagner en compétitivité, son président Olivier Micheli (17) a souligné qu’il est essentiel de réfléchir à la création de champions du numérique européens pour faire face aux champions américains (GAFAM) et asiatiques (BATX).
Enfin, il a ajouté que « le décret “Tertiaire” n’est pas du tout adapté aux data centers puisqu’il vise à réduire le nombre de kilowattheures consommés dans les data centers, ce qui est impossible. Il n’est pas possible de supprimer des serveurs du jour au lendemain pour atteindre un objectif en valeur absolue défini par décret » (18). Dans le même sens, le Groupement des industries de l’équipement électrique (Gimelec), syndicat des entreprises de la filière électro-numérique française, a souligné que la régulation de la performance énergétique des data centers pourrait « plomber » la compétitivité des acteurs et les « mettre en irrégularité » sans garantie de gain énergétique (19). Espérons que les arrêtés à paraître prendront acte de ces critiques et fixeront un cadre adapté au secteur. Il est toutefois permis d’en douter car, dans cette attente, le législateur entend désormais faire converger transition numérique et écologie, et a adopté en urgence de nouvelles mesures tendant à promouvoir des data centers plus vertueux. Sans nous livrer à une exégèse exhaustive de ses dispositions, soulignerons que la loi « Reen », qui vise à réduire l’impact du numérique sur l’environnement, se fait le relai de la Convention citoyenne pour le climat de 2020 (20).
Longtemps qualifié d’angle mort des politiques environnementales, le numérique – dont son parc immobilier matérialisé par les data centers – est aujourd’hui dans le viseur du législateur qui ambitionne de « faire du numérique un accélérateur de la transition écologique à l’empreinte environnementale soutenable » (21). Une étude réalisée à la demande du Sénat en juin 2020 (22) a confirmé ce qui était déjà pressenti depuis longtemps. Le numérique est susceptible de représenter près de 7 % de l’empreinte carbone des Français en 2040, tandis que les data centers consommeraient déjà à eux seuls 10 % de l’électricité mondiale (23).

Dans ce contexte, la loi « Reen » entend désormais « promouvoir des centres de données et des réseaux moins énergivores ». Le texte renforce les conditionnalités environnementales qui s’appliqueront, dès 2022, au tarif réduit de la taxe intérieure de consommation finale d’électricité (TICFE) applicable aux data centers. Les opérateurs de communications électroniques devront, quant à eux, publier des indicateurs clés récapitulant leurs engagements en faveur de la transition écologique (24). L’Arcep, elle, désormais régulateur environnemental de tout l’écosystème numérique, a désormais le pouvoir de collecter des données en vue de dresser le bilan de l’empreinte environnementale.

Verdissement aux forceps et à risques
Pour conclure, rappelons que derrière les échanges, les partages et les stockages dématérialisés des services de cloud, il existe un univers bien matériel fait de câbles, de serveurs, de bâtiments climatisés énergivores que le législateur entend verdir en urgence, eu égard aux enjeux climatiques et au calendrier législatif. Gageons que le verdissement aux forceps des data centers ne se fasse pas au détriment de la compétitivité et de la souveraineté numérique. @

Mis à part Google et YouTube, le groupe Alphabet va-t-il gagner de l’argent avec ses « autres paris » ?

Publié le 18 octobre 2021 par Charles de Laubier

« Other bets » : ce sont les investissements d’Alphabet dans d’autres domaines d’innovation que les services de Google (YouTube compris). Si leur revenus sont embryonnaires, ils s’acheminent petit à petit vers le milliard de dollars de chiffre d’affaires. Mais leur déficit est encore abyssal.

« Alphabet est un ensemble d’entreprises – dont la plus grande est Google – que nous déclarons sous deux segments : Google Services et Google Cloud. Nous déclarons toutes les entreprises non- Google collectivement en tant qu’”autres paris”. Ces other bets comprennent des technologies à un stade plus précoce, qui sont plus éloignées de notre cœur de métier Google. Nous adoptons une vision à long terme et gérons le portefeuille des “autres paris” avec la discipline et la rigueur nécessaires pour générer des rendements à long terme », assure la maison mère de Google, dirigée par Sundar Pichai (photo) depuis décembre 2019.

Diversification encore très déficitaire
Si 92,3 % du chiffre d’affaires 2020 du groupe Alphabet dépend des revenus de la galaxie « Google » (Google Search, YouTube, Android, Chrome, Google Maps, Google Play ou encore Google Network), et même 99,5 % si l’on inclut Google Cloud, le reliquat est généré par les « autres paris » d’Alphabet à hauteur de 657 millions de dollars. C’est une goutte d’eau pour la firme de Mountain View (Californie), mais elle espère en tirer des bénéfices au cours des prochaines années. Bien que la croissance des recettes générées par ces other bets n’ait pas été au rendez-vous entre 2019 et 2020 (- 0,3 %), le premier semestre de l’année 2021 (au 30 juin) fait meilleure figure avec un bond de 37,8 % du chiffres d’affaires des « autres paris », à 390 millions de dollars sur six mois, par rapport à la même période un an auparavant.
Selon les prévisions de la banque américaine Goldman Sachs, qui a annoncé mi-septembre la couverture du titre Alphabet (1), les « autres paris » pourraient frôler à fin 2022 la barre du milliard de dollars de chiffre d’affaires (à savoir 910 millions de dollars l’an prochain, contre une estimation supérieure à 800 millions cette année). Pour autant, Alphabet doit en contrepartie consentir à d’importantes pertes opérationnelles sur ses « autres paris » : plus de 2,5 milliards de pertes sur les six premiers mois de cette année (aggravé de 13,6 % sur un an), alors que l’année 2020 dans son ensemble accusait déjà plus de 4,4 milliards de dollars de déficit opérationnel dans ces other bets (mais cette fois en amélioration de 7,2 % par rapport à 2019). Cela dit, Alphabet consacre beaucoup d’argent annuellement à sa R&D : plus de 15 % de chiffre d’affaires global, soit 27,5 milliards de dollars en 2020 (et rien que sur le premier semestre 2021 une enveloppe de 15,1 milliards de dollars). Et au cas où cela ne suffirait pas, notamment pour faire de nouvelles acquisitions stratégiques et de start-up, Alphabet dispose en plus (au 30 juin 2021) de 135,9 milliards de cash disponible (2). Pour l’heure, le « G » de GAFA fondé par Larry Page et Sergey Brin – restructuré en octobre 2015 sous la holding Alphabet (3) – tient à rassurer sur ses coûteux et risqués investissements diversifiés – dont certains ont été abandonnés, nous le verrons, faute de viabilité. « L’investissement d’Alphabet dans notre portefeuille “autres paris” comprend des entreprises émergentes à divers stades de développement, allant de celles en phase de recherche et développement à celles qui en sont aux premiers stades de commercialisation, et notre objectif est qu’elles deviennent prospères, à moyen et à long terme. Bien que ces entreprises en démarrage connaissent naturellement une grande incertitude, certaines d’entre elles génèrent déjà des revenus et font d’importants progrès dans leurs industries », tente de rassurer Alphabet dans son rapport annuel 2020.
Quatre filiales sont le plus avancées dans leur développement et réalisation ; elles sont aussi les seules filiales de la nébuleuse « autres paris » à être mentionnées dans ses tout derniers rapport financiers (annuel 2020 et semestriel 2021), sans pour autant mentionner de résultats pour chacune d’elle.

Des acquisitions et des levées de fonds
Waymo travaille à rendre les transports plus sécurisés et plus faciles pour tous, en particulier avec la voiture autonome ; Verily élabore des outils et des plateformes pour améliorer les résultats en matière de santé ; Fitbit, dont l’acquisition annoncée il y a près deux ans pour 2,1 milliards de dollars a été finalisée en janvier dernier, est présent sur le marché des objets connectés d’activités physiques ou wearables ; DeepMind Technologies, société britannique et consacrée à la recherche en intelligence artificielle et en réseaux neuronaux pour imiter la mémoire du cerveau humain, a été créée en 2010 et est devenue quatre ans après une filiale d’Alphabet. Parmi elles, la filiale de véhicules autonomes Waymo, qui fait circuler depuis 2017 des robotaxis sans chauffeur à Phoenix (Arizona) et depuis février dernier à San Francisco (Californie), appuie sur l’accélérateur après avoir levé en juin 2,5 milliards de dollars – après les 3 milliards obtenus l’an dernier. D’autres actifs moins connus sont dans le portefeuille d’investissement d’Alphabet tels que la filiale Calico (Calico Life Sciences) spécialisée dans le contrôle biologique du vieillissement humain pour permettre aux gens de mener une vie plus longue et en bonne santé (4).

Des échecs aussi : Loon, Makani, Quayside…
La start-up Wing, elle, est spécialisée dans les drones de livraison et existe en tant que société depuis 2018 après avoir été incubée en tant qu’un des projets « X » – de l’ex-Google X – il y a près de dix ans. Autre filiale d’Alphabet : Intrinsic, issue elle aussi des projets X, est devenue une société en juillet dernier pour poursuivre le développement et la commercialisation de solutions de robotique industrielle boostées au machine learning et à l’IA, flexibles et à prix abordables. Dans l’urbanisme et les smart cities, la filiale newyorkaise Sidewalk Labs créée en 2010 œuvre, elle, à l’amélioration de l’infrastructure urbaine pour réduire le coût de la vie dans le transport, le parking et la consommation d’énergie.
Mais les paris peuvent se traduire par des échecs, c’est le jeu : en janvier dernier, Alphabet a annoncé la fermeture sa filiale Loon – créé en 2018 après être sortie du laboratoire Google X, et l’abandon de son projet d’apporter l’accès Internet à haut débit dans les zones les plus reculées du globe à l’aide de ballons stratosphériques. L’opérateurs télécoms du Kenya en avait été le premier et seul client. Alphabet a aussi jeté l’éponge en fermant en février 2020 sa filiale Makani Technologies, société californienne créée en 2006, acquise en 2013, et spécialisée dans la fabrication d’éoliennes aéroportées – des « cerfs-volants énergétiques » qui devaient être destinés au plus grand nombre (les codes et les brevets ayant néanmoins été mis dans le domaine public).
Du côté de la filiale newyorkaise Sidewalk Labs, le projet « Quayside » de futur quartier intelligent et durable créé ex-nihilo dans la ville canadienne de Toronto, a dû être abandonné en mai 2020 – soit au bout de trois ans de gestation – car jugé trop technologique et peu viable économiquement. Plus récemment, Google a confirmé fin septembre avoir renoncé à lancer Plex, un projet de banque en ligne avec Citigroup (Citi) ou la Banque de Montréal (BMO) comme partenaires.
D’autres projets sont encore en gestion dans l’incubateur X Development (ex-Google X) qui encourage les moonshots, comprenez les rêves impossibles, les grandes ambitions :
• Mineral met au point de nouvelles technologies pour aider à bâtir un système alimentaire plus durable, plus résilient et plus productif (foodtech) ;
• Tidal développe un système de caméras sous-marines doté d’outils de perception et de visibilité des écosystèmes océaniques pour mieux les comprendre et les protéger ;
• le Everyday Robot Project fabrique des robots qui peuvent fonctionner en toute sécurité dans le quotidien des humains grâce au machine learning ;
• Taara teste dans des zones rurales d’Inde et d’Afrique une technologie d’accès haut débit à Internet qui utilise des faisceaux lumineux ;
• Glass Enterprise Edition est le développement (par l’ex-Google X) et la fabrication (par Foxconn) de lunettes de réalité augmenté pour le monde professionnel (au-delà donc des Google Glass grand public lancées en 2013 puis arrêtées en 2015) ;
• Malte construit une technologie de stockage d’énergie (gridscale) qui stocke l’électricité à partir de sources d’énergie renouvelables sous forme de chaleur à l’intérieur de grands réservoirs de sel fondu ;
• Project Foghorn cherche à créer du carburant propre à partir de l’eau de mer ;
• Dandelion (qui veut dire pissenlit) veut réduire les coûts de chauffage et les émissions de carbone grâce à l’énergie géothermique ;
• BrainBrain vise à apporter les avantages de l’IA et de l’apprentissage automatique à tous ;
• Chronique consiste à aider les entreprises à trouver et à arrêter les cyberattaques.
Cet inventaire à la Prévert de la diversification d’Alphabet est, depuis septembre dernier, présenté et censé être actualisé sur le nouveau site web de la société X Development (5) et non plus sur le blog de la « Team X » (6). La filiale « X » d’Alphabet recrute à tour de bras, surtout des ingénieurs, des scientifiques et des inventeurs pour ses différents actifs incubés (7). A condition que les candidats aient la culture « moonshot », afin de repousser les limites de l’impossible.

Google reste la vache-à-lait d’Alphabet
Pendant ce temps-là, la galaxie « Google » a profité de la crise sanitaire pour être plus que jamais la vache à lait d’Alphabet : Goldman Sachs table sur un chiffre d’affaires mondial du géant du Net dans son ensemble (« autres paris » compris) pour cette année 2021 dépassant la barre des 200 milliards de dollars, à plus de 206,3 milliards, contre 182,5 milliards l’an dernier (8) où le bénéfice net était de 40,2 milliards de dollars. Ce qui permet donc à Sundar Pichai de faire par ailleurs des paris risqués et onéreux. @

Charles de Laubier

Le groupe français OVH veut surfer en Bourse sur le marché ouvert du « cloud souverain » dans le monde

Publié le 4 octobre 2021 par Charles de Laubier

La souveraineté nationale et/ou européenne de l’informatique en nuage (cloud) est à géométrie variable, mais elle constitue un marché prometteur pour les fournisseurs comme le français OVHcloud qui va faire son entrée en Bourse. Mais les américains et les chinois veulent aussi leur part du gâteau.

« Souveraineté des données » (50 fois), « cloud souverain » (2 fois), mais aussi « cloud souverain européen », « souveraineté des données en Europe », « souveraineté numérique de l’Europe », « cloud de données sécurisées et souveraines », « souveraineté et de sécurité des données », « bases de données souveraines » : le document d’enregistrement boursier du groupe OVH (alias OVHcloud), approuvé le 17 septembre 2021 par l’Autorité des marchés financiers (AMF), montre que la « souveraineté » est devenue le leitmotiv dans le nuage.

Cloud et souveraineté : deux concepts flous
La souveraineté numérique appliquée au cloud et aux données est cependant un concept flou, dont on ne sait pas trop s’il s’agit d’un protectionnisme national ou d’une préférence européenne, voire extra-européenne. Une chose est sûre : tout en voulant se développer en Amérique du Nord, en Asie et en Inde, le groupe français OVH assure vouloir être « le champion européen du cloud », même si « Microsoft et Orange ont récemment annoncé leur intention de former un partenariat offrant des solutions de cloud souverain de données qui pourraient [le] concurrencer ». Tout comme Oodrive et Outscale.
La souveraineté s’avère compatible avec les GAFAM. OVHcloud, lui, a annoncé en novembre 2020 un partenariat avec Google et sa plateforme logicielle Anthos pour « propose[r] aux clients européens une offre garantissant la souveraineté des données ». Le groupe d’Octave Klaba (photo), fondateur de la société, son président actuel et son actionnaire majoritaire avec sa famille, est en outre l’un des membres fondateurs de Gaia-X. Ce consortium de « cloud de confiance » franco-allemand, lancé en 2020, entend favoriser « la souveraineté numérique de l’Europe » face aux « hyperscalers » américains (1). Pour autant, Gaia-X – basé à Bruxelles (2) – compte parmi ses plus de 300 membres non seulement des européens mais aussi les américains Amazon, Google, Microsoft (3) et Palantir (proche de la CIA), les chinois Huawei, Alibaba et Haier. Autant dire que le « cloud souverain » est portes et fenêtres grandes-ouvertes. OVHcloud indique exploiter à ce jour 33 centres de données dans le monde entier sur douze sites différents, en France, en Europe, en Amérique du Nord, à Singapour et en Australie, soit un total de plus de 400.000 serveurs. « A l’avenir, OVHcloud pourrait envisager d’ajouter des centres de données dans des pays tels que l’Inde », mentionne le prospectus financier. La société créée en 1999, dont le siège social se situe toujours à Roubaix (Nord de la France), devient internationale : si plus de la moitié (52 %) des 632 millions d’euros de chiffre d’affaires de l’année 2020 est réalisée en France, 28 % proviennent d’autres pays en Europe et 20 % d’ailleurs dans le monde. Car le cloud n’a pas de frontières.
Si la « souveraineté » est floue, l’informatique en nuage l’est tout autant. Le cloud computing désigne les technologies permettant l’utilisation à distance de ressources de calcul, de stockage et de réseaux, fournies à la demande et automatiquement, via l’Internet. Le cloud est à géométrie variable : « hybride » (combinant cloud public et cloud privé), « privé » (serveur chez un seul client), « public » (serveur chez un seul client) (4), « web » (hébergement de sites Internet). Pour satisfaire ses clients, OVH fournit ainsi des services numériques à la demande, que cela soit du « Cloud-as-a-Service » (CaaS), de l’« Infrastructure-as-a-Service » (IaaS), du « Platform-asa- Service » (PaaS), du « Datacenter-as-a-Service » (DCaaS) ou encore du « Software-as-a-Service » (SaaS). C’est selon. « Il n’existe pas de définition standard des marchés sur lesquels OVHcloud opère, ce qui rend difficile la prévision de la croissance et la comparaison de l’activité d’OVHcloud avec celle de ses concurrents », prévient le prospectus au chapitre des risques. Difficile donc de connaître la part de marché d’OVH. Seules une estimation du marché mondial des services cloud d’infrastructure et de plateforme logicielle est avancée : de 100 à 120 milliards d’euros en 2020. Le groupe OVH veut lever jusqu’à 400 millions d’euros en Bourse, mais il reste à connaître le calendrier d’introduction. @

Charles de Laubier

ZOOM

OVH Groupe veut faire le poids
• Sur le segment de marché du « cloud privé », le groupe OVH en revendique 10 % à 15 % en Europe continentale, comme son rival IBM Cloud – tous les deux devançant l’allemand Hetzner, l’américain Rackspace et le néerlandais Leaseweb.
• Sur le segment du « cloud public », il ne dépasse pas 1% sur l’Europe continentale, largement préempté par les « hyperscalers » que sont Amazon Web Services, Google Cloud Platform et Microsoft Azure, suivis d’IBM Cloud et d’Alibaba Cloud.
• Sur le segment du PaaS, il indique ne pas disposer d’une part de marché significative face aux « hyperscalers » (Amazon, Google, Microsoft, Alibaba), Salesforce, Oracle, IBM et SAP. • Sur le segment du « cloud web » (hébergement de sites Internet et de domaines), estimé en 2020 de 3,5 à 4 milliards d’euros au niveau mondial et de 1 à 1,5 milliard euros en Europe, « dont environ 100 millions d’euros pour la France » où il revendique 65 % de part de marché (par ailleurs 16 % en Espagne et 10 % en Pologne).
• Sur le segment du SaaS, il développe son « usine à logiciels » pour développeurs et éditeurs. Les plateformes logicielles, elles, sont dominées par Salesforce, Oracle, IBM et SAP. @