Loi SREN, fair share et cadre DORA/NIS2
Sur ce sujet, le corpus mêle deux débats distincts mais liés : d'un côté la loi SREN comme instrument national de souveraineté du cloud et de protection des données ; de l'autre la question du « fair share », c'est-à-dire la contribution des grandes plateformes au financement des réseaux. Plusieurs intervenants convergent sur un constat : l'Europe légifère abondamment mais applique mal. Michel Paulin (M. Michel Paulin) en donne l'exemple concret : « à peine le règlement sur les marchés numériques (DMA) avait-il été adopté, qu'une exception a été accordée dès 2022 pour trois acteurs dominants, AWS, Google Cloud et Microsoft Azure ». Il plaide donc pour « d'abord faire respecter » l'existant (RGPD, DMA, loi SREN) : selon lui, la loi SREN « a clairement identifié que les crédits cloud et les egress fees [...] représentent des freins. La loi les interdit, il faut la faire appliquer » — seuls manquent les décrets d'application. Le président Latombe (Mme Stéphanie Schaer) partage cette logique du recours au « dur » de la loi : « il a fallu que le législateur inscrive le principe dans le dur de la loi pour que les administrations bougent. »
La loi SREN est aussi présentée comme un cadre plus exigeant que le socle européen sur les données sensibles. Laurent Vilbœuf (M. Laurent Vilboeuf, Health Data Hub) justifie la sortie d'Azure vers un cloud souverain pour se protéger « contre les risques [...] liés aux lois extraterritoriales et aux pressions exogènes de toute nature ». Hela Ghariani (Mme Hela Ghariani) affirme que la France n'utilisera pas la dérogation de l'EHDS autorisant l'hébergement chez des acteurs soumis à des lois étrangères, « la loi Sren ayant déjà fixé notre cadre ». Elle nuance toutefois la portée européenne : seule la localisation des données a été gagnée (« une victoire symbolique »), pas les exigences cloud, et le conflit de normes entre États plus ou moins exigeants se réglera par la jurisprudence. Face au projet Omnibus, elle préfère généraliser les données synthétiques plutôt qu'« alléger le cadre réglementaire ».
Le clivage le plus net porte sur le fair share. Christel Heydemann (Mme Christel Heydemann, Orange) réclame un mécanisme contraignant : les grandes plateformes « génèrent 50 % à 70 % du trafic sur nos réseaux [et] ne sont toujours pas tenues de contribuer à due proportion », d'autant que la neutralité du net interdit aux opérateurs de brider ce trafic. Elle formule le paradoxe européen : « l'Europe proclame sa souveraineté numérique, mais elle élabore simultanément des textes qui fragilisent les acteurs qui financent les infrastructures dont cette souveraineté dépend. » À l'inverse, Meredith Whittaker (Mme Meredith Whittaker, Signal) refuse l'assimilation aux GAFAM : Signal paie déjà « des millions de bande passante » et ne peut opérer autrement qu'en over-the-top, catégorie que le député Bothorel (Mme Meredith Whittaker) rappelle définir les acteurs s'appuyant sur les infrastructures des opérateurs.
Qui en parle
- Christel Heydemann (Orange, Mme Christel Heydemann) : porte-voix du fair share ; réclame une contrainte financière sur les plateformes (50-70 % du trafic) et dénonce le paradoxe réglementaire européen.
- Michel Paulin (OVHcloud / CSF, M. Michel Paulin) : appliquer l'existant avant d'empiler ; egress fees et crédits cloud déjà interdits par la SREN mais en attente de décrets.
- Hela Ghariani (Health Data Hub, Mme Hela Ghariani) : la France plus exigeante que le socle européen ; refus de la dérogation EHDS, préférence pour les données synthétiques, jurisprudence à venir.
- Laurent Vilbœuf (Health Data Hub, M. Laurent Vilboeuf) : sortie d'Azure vers un cloud souverain pour se protéger de l'extraterritorialité.
- Meredith Whittaker (Signal, Mme Meredith Whittaker) : refus d'assimiler les acteurs OTT aux GAFAM sur le fair share.
- Philippe Latombe (président, Mme Stéphanie Schaer) : seule la loi « dans le dur » contraint réellement les administrations.