Posted by Episode 6 : Mise en conformité des contrats de services de traitement de données pour permettre le changement de fournisseur
Eleonore Scaramozzino, Avocate -Constellation Avocats
Le Chapitre VI du règlement sur les données est consacré au changement de services de traitement de données. Les articles 23 à 32 et 34 à 35 du chapitre VI du Data Act s’appliquent aux fournisseurs de services de traitement de données (STD).
Que faut-il entendre par service de traitement des données ?
La définition d’un service de traitement de données est énoncée à l’article 2(8) et reflète les définitions courantes des services de cloud computing
| « service de traitement de données »: un service numérique qui est fourni à un client et qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services Considérant 81 Le concept générique de « services de traitement de données » couvre un nombre important de services ayant un très large éventail de finalités, de fonctionnalités et de configurations techniques différentes. Comme généralement compris par les fournisseurs et les utilisateurs et conformément aux normes largement utilisées, les services de traitement de données relèvent d’un ou de plusieurs des trois modèles de fourniture de services de traitement de données suivants: l’infrastructure à la demande (IaaS), la plateforme à la demande (PaaS),le logiciel à la demande (SaaS). Ces modèles de fourniture de services représentent une combinaison spécifique de ressources TIC proposées par un fournisseur de services de traitement de données. Ces trois modèles de base de fourniture de services de traitement de données sont complétés par de nouvelles variantes, chacune comprenant une combinaison distincte de ressources TIC, telles que : le « stockage à la demande » et ;la « base de données à la demande ». Les services de traitement de données peuvent être classés de manière plus fine et répartis dans une liste non exhaustive d’ensembles de services de traitement de données qui : partagent le même objectif principal et les mêmes fonctionnalités principales ,ainsi que le même type de modèles de traitement de données, qui ne sont pas liés aux caractéristiques opérationnelles du service (même type de services). Les services relevant du même type de service peuvent partager le même modèle de service de traitement de données, toutefois, deux bases de données pourraient sembler partager le même objectif principal, mais après examen : de leur modèle de fourniture de traitement de données, de leur modèle de distribution et ; des cas d’utilisation qu’ils ciblent, ces bases de données pourraient relever d’une sous-catégorie plus fine de services similaires. Des services du même type de service peuvent présenter des caractéristiques différentes et concurrentes, telles que : la performance, la sécurité, la résilience, la qualité du service |
Le Data Act ne fait pas de distinction entre les différents types de SaaS et s’applique donc à tous les types de SaaS présentant les caractéristiques énumérées dans la définition des services de traitement de données :
- Ils permettent
- l’accès aux ressources informatiques, notamment aux réseaux, aux serveurs, au stockage, aux applications et aux services ;
- un accès au réseau à la demande, ce qui signifie qu’un client peut provisionner unilatéralement ces ressources informatiques qui sont disponibles sur le réseau et via des mécanismes standards, par exemple via des téléphones portables, des ordinateurs portables ou des postes de travail ;
- Ils peuvent être rapidement provisionnés et libérés avec un minimum d’effort de gestion ou d’interaction avec le fournisseur de services, ce qui implique que la fourniture unilatérale peut être effectuée sans intervention significative du fournisseur de services et peut être déployée rapidement, permettant aux organisations de commencer à utiliser les ressources presque immédiatement ;
- Ils sont flexibles et les solutions s’adaptent facilement à l’évolution des besoins. Les clients peuvent adapter leur demande à la hausse ou à la baisse.
Un autre élément pertinent de la définition d’un « service de traitement de données » (STD)est qu’il doit être fourni à un client.
L‘article 2(30) définit le « client » comme
| « une personne physique ou morale qui a noué une relation contractuelle avec un fournisseur de services de traitement de données dans le but d’utiliser un ou plusieurs services de traitement de données». |
Il est donc important de déterminer si l’utilisateur est un client et s’il utilise un service de traitement de données en tant que tel ou une fonctionnalité activée par un service de traitement de données, comme écouter de la musique ou regarder des vidéos.
Un fournisseur dont l’offre de services présente ces caractéristiques doit se conformer aux dispositions du Data ACT pour permettre le changement de service de traitement de données.
Ces services doivent mettre à disposition des API ouvertes, veiller à ce que les données soient exportées dans un format structuré, couramment utilisé et lisible par machine.
- Données exportables : voir épisode 1
La notion de « données exportables » couvre les données d’entrée et de sortie. Elle inclut également les métadonnées générées directement ou indirectement, ou co-générées, par l’utilisation par le client du service de traitement de données concerné. Ces notions excluent les données protégées au titre de la propriété intellectuelle et les secrets commerciaux du fournisseur ou d’un tiers.
- Les actifs numériques définis à l’article 2 (32) du Data Act
« actifs numériques« : des éléments en format numérique, y compris des applications, pour lesquels le client est titulaire du droit d’utilisation, indépendamment de la relation contractuelle que le client a avec le service de traitement de données qu’il a l’intention de quitter;
Il s’agit des éléments dont le client a besoin pour exploiter efficacement ses données dans l’environnement d’un nouveau fournisseur de services vers lequel il a changé.
Les actifs numériques englobent donc d’autres types de métadonnées, par exemple celles relatives
- à la configuration des paramètres,
- à la sécurité,
- à la gestion des droits d’accès et de contrôle.
Les applications ainsi que les technologies de virtualisation (par exemple, les machines virtuelles et les conteneurs) peuvent également être considérées comme des actifs numériques.
Dans le cadre du processus de changement, les actifs numériques peuvent être transférés d’un fournisseur source vers un fournisseur de destination si le client a le droit d’utiliser ces actifs, indépendamment de sa relation contractuelle avec le fournisseur de services de traitement de données duquel le client a l’intention de changer.
Obligation du fournisseur de STD de supprimer des obstacles à un changement de fournisseur STD (article 23)
Les fournisseurs de services de traitement de données prennent les mesures prévues aux articles 25, 26, 27, 29 et 30 afin de permettre aux clients de changer de fournisseur pour
- passer à un service de traitement de données, couvrant le même type de service, qui est fourni par un fournisseur de services de traitement de données différent,
- ou passer à une infrastructure TIC sur site,
- ou, le cas échéant, recourir simultanément à plusieurs fournisseurs de services de traitement
Obligations techniques du Fournisseur STD d’aider au changement : respect du principe de proportionnalité (article 24)
- Responsabilité limitée des fournisseurs source de STD aux services de traitement, contrats ou pratiques commerciales
Cette disposition limite la portée des obligations techniques d’un fournisseur source pour faciliter le basculement (article 30).
| (92.) Les fournisseurs de services de traitement de données devraient être tenus, – dans les limites de leurs capacités et proportionnellement à leurs obligations respectives, – d’offrir toute l’assistance et le soutien nécessaires pour que le processus de changement de fournisseur de services de traitement de données soit -fructueux, – efficace et -sûr. Le règlement n’impose pas aux fournisseurs de services de traitement de données de développer de nouvelles catégories de services de traitement de données, y compris au sein ou sur la base de l’infrastructure TIC de fournisseurs de services de traitement de données différents afin de garantir une équivalence fonctionnelle dans un environnement autre que leurs propres systèmes. Un fournisseur d’origine de services de traitement de données n’a pas accès à l’environnement du fournisseur de destination de services de traitement de données ou n’a pas d’informations sur celui-ci. L’équivalence fonctionnelle ne devrait pas être interprétée comme obligeant le fournisseur d’origine de services de traitement de données à reconstruire le service en question au sein de l’infrastructure du fournisseur de destination de services de traitement de données. Le fournisseur de services de traitement de données d’origine devrait, en revanche, prendre toutes les mesures raisonnables en son pouvoir pour faciliter le processus de réalisation de l’équivalence fonctionnelle en fournissant des capacités, des informations, une documentation, une assistance technique adéquates et, le cas échéant, les outils nécessaires. |
Conformément à l’article 30(1),
- Obligation de faciliter l’équivalence fonctionnelle applicable qu’aux prestataires sources d’IaaS. Le considérant 92 explique que cette obligation se limite à l’environnement de service du fournisseur source.
- obligation des fournisseurs sources de PaaS et de SaaS à mettre à disposition des interfaces ouvertes, à exporter les données dans un format structuré, couramment utilisé et lisible par machine, ainsi qu’à rendre leurs services compatibles avec les normes harmonisées ou les spécifications d’interopérabilité ouvertes publiées dans le répertoire commun de l’Union. Les obligations imposées aux fournisseurs sources de PaaS et de SaaS sont inférieures à l’obligation de faciliter l’équivalence fonctionnelle.
Les limites des obligations des fournisseurs sources d’IaaS s’appliquent également aux fournisseurs sources PaaS et SaaS.
Le Data Act n’impose pas à un fournisseur STD source la responsabilité d’aider le client à reconstruire son STD dans l’environnement du fournisseur de destination.
Mise en conformité des contrats de STD : Clauses contractuelles concernant le changement de fournisseur (article 25)
Le Data Act oblige les fournisseurs de STD à adapter le Contrat de fourniture de STD conformément aux dispositions de l’article 25, dans le cadre d’un changement de fournisseur STD ou, le cas échéant, le passage à une infrastructure TIC sur site.
Le fournisseur de services de traitement de données doit énoncer dans un contrat écrit les droits du client et ses obligations en qualité de fournisseur de services de traitement de données. Il doit mettre le contrat à la disposition du client avant la signature du contrat d’une manière qui permet à ce dernier de le stocker et de le reproduire.
2. Sans préjudice de la directive (UE) 2019/770, relative à certains aspects concernant les contrats de fournitures de contenus numériques et de services numériques, le contrat visé l’article 25 au paragraphe 1 comporte au moins les éléments suivants:
a) des clauses permettant au client, sur demande,
- de passer à un service de traitement de données proposé par un fournisseur de services de traitement de données différent ou
- de porter toutes les données exportables et tous les actifs numériques vers une infrastructure TIC sur site,
sans retard injustifié et, en tout état de cause, pas après la période transitoire maximale obligatoire de trente jours calendaires prenant effet au terme du délai de préavis maximal de 2 mois, période pendant laquelle le contrat de fourniture de service reste applicable et durant laquelle le fournisseur STD:
b) Clause relative à l’Obligation de concourir à la stratégie de sortie du client
Une obligation pour le fournisseur de STD de concourir à la stratégie de sortie du client concernant les services couverts par le contrat, y compris en communiquant toutes les informations pertinentes;
c) Clause de Résiliation
Une clause précisant que le contrat est considéré comme étant résilié et que la résiliation est notifiée au client dans l’un des cas suivants:
d) Clause de Fixation d’un délai de préavis maximal
Un délai de préavis maximal pour le lancement du processus de changement de fournisseur, qui ne dépasse pas deux mois ;
e) Clause déterminant le champ d’application de la portabilité :
une spécification exhaustive de toutes les catégories de données et d’actifs numériques qui peuvent être portées pendant le processus de changement de fournisseur, y compris, au minimum, toutes les données exportables;
f) Exclusion des catégories de données exportables
une spécification exhaustive des catégories de données spécifiques au fonctionnement interne du service de traitement de données du fournisseur qui doivent être exclues des données exportables lorsqu’il existe un risque de violation des secrets d’affaires du fournisseur, à condition que ces exclusions n’entravent ni ne retardent le processus de changement de fournisseur ;
g) Clause sur la Période de récupération des données
Une période minimale d’au moins trente jours calendaires pour la récupération des données, débutant après la fin de la période transitoire convenue entre le client et le fournisseur de services de traitement de données;
h) Clause relative à l’Effacement des données portables et des actifs numériques générés par le client
une clause garantissant l’effacement intégral de toutes les données exportables et de tous les actifs numériques générés directement par le client,ou se rapportant directement au client, après l’expiration de la période de récupération ou après l’expiration d’une autre période convenue à une date postérieure à la date d’expiration de la période de récupération, à condition que le processus de changement de fournisseur soit achevé avec succès;
i) Clause relative à Facturation des frais de changement
les frais de changement de fournisseur pouvant être facturés par les fournisseurs de services de traitement de données.(voir ci-dessous)
| Précision le délai de préavis commence à courir dès que le client notifie au prestataire de services de traitement de données son souhait de changer de prestataire ou d’infrastructure TIC sur site. Le changement doit être finalisé avant la fin de la période de transition, qui débute après la fin du délai de préavis (maximum deux mois) .Le client a le droit de remplacer la période de transition de 30 jours par une période plus longue. Le fournisseur ne peut prolonger la période de transition que s’il peut prouver, dans les 14 jours du préavis, qu’une période de transition de 30 jours maximum serait techniquement irréalisable. Dans ce cas, la période de transition peut durer au maximum 7 mois |
Clauses relatives aux mesures à la fin du délai de préavis
Le contrat de fournitures de STD comprend notamment des clauses prévoyant que le client peut notifier au fournisseur STD sa décision de prendre une ou plusieurs des mesures suivantes à la fin du délai de préavis maximal :
a)passer à un fournisseur de services de traitement de données différent, auquel cas le client fournit les renseignements nécessaires concernant ce fournisseur;
b) passer à une infrastructure TIC sur site;
c)effacer ses données exportables et ses actifs numériques.
4. Lorsqu’il est techniquement impossible de respecter la période transitoire maximale obligatoire prévue au paragraphe 2, point a), le fournisseur de services de traitement de données en informe le client dans un délai de quatorze jours ouvrables à compter de la présentation de la demande de changement de fournisseur, motive dûment l’impossibilité technique et indique une autre période transitoire, qui ne peut excéder sept mois. Conformément au paragraphe 1, la continuité du service est assurée tout au long de l’autre période transitoire.
Clause de prolongation de la période transitoire : 7 mois maximum
le contrat contient des clauses accordant au client le droit de prolonger la période transitoire une fois pour une durée que le client juge plus appropriée à ses propres fins.
| Quel est le lien entre le délai de préavis et la période de transition ? L’article 25 de la loi sur les données prévoit que le délai de préavis commence à courir dès que le client notifie au prestataire de services de traitement de données son souhait de changer de prestataire ou d’infrastructure TIC sur site. Le changement doit être finalisé avant la fin de la période de transition, qui débute après la fin du délai de préavis (maximum deux mois). Durant la période de transition (maximum 30 jours calendaires), le fournisseur doit réaliser les actions nécessaires pour permettre le changement de fournisseur du client – en étroite collaboration avec le client lui-même et, le cas échéant, avec le nouveau fournisseur du client. Le client a le droit de remplacer la période de transition de 30 jours par une période plus longue. Le fournisseur ne peut prolonger la période de transition que s’il peut prouver, dans les 14 jours du préavis, qu’une période de transition de 30 jours maximum serait techniquement irréalisable. Dans ce cas, la période de transition peut durer au maximum 7 mois. |
Obligation d’information des fournisseurs de STD (article 26)
Le fournisseur STD fournit au client :
a) des informations sur les procédures disponibles pour le changement de fournisseur et le portage vers le service de traitement de données, y compris des informations sur les méthodes et formats de changement de fournisseur et de portage disponibles, ainsi que sur les restrictions et les limitations techniques connues du fournisseur de services de traitement de données;
b) une référence à un registre en ligne à jour et hébergé par le fournisseur de services de traitement de données, avec des informations détaillées sur toutes les structures de données et tous les formats de données ainsi que les normes pertinentes et les spécifications d’interopérabilité ouvertes, dans lequel les données exportables sont disponibles.
Le considérant 95 apporte des précisions sur les informations que le fournisseur STD doit communiquer aux clients souhaitant changer des fournisseurs STD
| Ces informations : – pourraient appuyer la stratégie de sortie des clients. – devraient comprendre : les procédures à suivre pour entamer le changement de services de traitement de données;les formats de données lisibles par machine vers lesquels les données de l’utilisateur peuvent être exportées; les outils destinés à exporter les données, dont des interfaces ouvertes, ainsi que les informations sur la compatibilité avec les normes harmonisées ou les spécifications communes fondées sur des spécifications d’interopérabilité ouvertes; des informations sur les restrictions et les limites techniques connues qui pourraient influer sur le processus de changement de fournisseur; et le temps considéré comme nécessaire pour achever ledit processus de changement |
Obligation de bonne foi de rendre le processus de changement de fournisseur effectif (Article 27)
Le considérant 97 précise qu’ « Afin de faciliter le changement de services de traitement de données, toutes les parties concernées, y compris les fournisseurs d’origine et de destination de services de traitement de données, devraient coopérer de bonne foi en vue de rendre efficace le processus de changement de fournisseur, et de permettre un transfert sécurisé et en temps utile des données nécessaires dans un format couramment utilisé, lisible par machine, et au moyen d’interfaces ouvertes, tout en évitant les perturbations du service et en assurant la continuité des services ».
Clause de coopération de bonne foi
Toutes les parties impliquées, y compris les fournisseurs de destination de services de traitement de données, coopèrent de bonne foi pour rendre le processus de changement de fournisseur effectif, permettre le transfert en temps utile des données et maintenir la continuité du service de traitement de données.
Obligations contractuelles en matière de transparence concernant l’accès et le transfert internationaux (Article 28)
Clause de transparence : énumération des sites internet dans les contrats STD
Les fournisseurs de services de traitement de données mettent à disposition et tiennent à jour sur leur site internet les informations suivantes:
| les juridictions dont dépend l’infrastructure TIC déployée pour le traitement des données de leurs différents services; b)une description générale des mesures techniques, organisationnelles et contractuelles adoptées par le fournisseur de services de traitement de données afin d’empêcher l’accès international des autorités publiques aux données à caractère non personnel détenues dans l’Union ou le transfert international de ces données lorsque cet accès ou ce transfert risque d’être en conflit avec le droit de l’Union ou le droit de l’État membre concerné. |
Ces sites internet sont énumérés dans les contrats STD
Facturation des frais de changement limités aux coûts engagés de commutation jusqu’au 12.01.2027 (Article 29)
Informations claires sur les frais de service et les pénalités
Avant de conclure un contrat avec un client, les fournisseurs de services de traitement de données fournissent au client potentiel des informations claires sur les frais de service standard et les pénalités liées à la résiliation anticipée qui pourraient lui être facturés, ainsi que sur les frais de changement de fournisseur réduits qui pourraient lui être facturés pendant le délai visé au paragraphe 2.
- .Le cas échéant, les fournisseurs de services de traitement de données communiquent à un client des informations sur les services de traitement de données pour lesquels un changement de fournisseur est très complexe ou coûteux ou pour lesquels il est impossible de changer de fournisseur sans qu’il y ait une interférence significative portant sur les données, les actifs numériques ou l’architecture des services ;
- Le cas échéant, les fournisseurs de services de traitement de données mettent les informations visées aux paragraphes 4 et 5 à la disposition des clients publiquement au travers d’une section spécifique de leur site internet ou par tout autre moyen facilement accessible.
La Commission est habilitée à adopter des actes délégués conformément à l’article 45 pour compléter le présent règlement en mettant en place un mécanisme de suivi permettant à la Commission de suivre les frais de changement de fournisseur imposés par les fournisseurs de services de traitement de données sur le marché afin de garantir que la suppression et la réduction des frais de changement de fournisseur en vertu des paragraphes 1 et 2 du présent article sont réalisées dans les délais prévus aux mêmes paragraphes.
Respect des Aspects techniques du changement de fournisseur (Article 30)
Quels sont les fournisseurs STD d’origine réglementés par le Data Act (art 30.1)
.Les fournisseurs STD qui concernent des ressources informatiques modulables et variables limitées à des éléments d’infrastructure tels que
- les serveurs,
- les réseaux ?
- les ressources virtuelles nécessaires à l’exploitation de l’infrastructure, sans donner accès aux services, logiciels et applications d’exploitation qui sont stockés, autrement traités ou déployés sur ces éléments d’infrastructure.
Quelles sont les obligations de ces fournisseurs de services ?
Ces fournisseurs de STD d’origine prennent, conformément à l’article 27, toutes les mesures raisonnables en leur pouvoir afin de faciliter une équivalence fonctionnelle pour le client dans l’utilisation du service de traitement de données de destination, après qu’il soit passé à un service couvrant le même type de service.
Le fournisseur d’origine STD facilite le processus de changement de fournisseur en fournissant
- des capacités,
- les informations adéquates,
- la documentation,
- une assistance technique et,
- le cas échéant, les outils nécessaires.
Quelles sont les obligations des fournisseurs STD autres que ceux visés au 30.1 ?
.Les fournisseurs STD, autres que ceux visés à l’article 30§1,
- mettent gratuitement et dans la même mesure à la disposition de tous leurs clients et des fournisseurs de destination de STD concernés des interfaces ouvertes afin de faciliter le processus de changement de fournisseur. Ces interfaces contiennent des informations suffisantes sur le service concerné pour permettre le développement de logiciels capables de communiquer avec les services, aux fins de la portabilité et de l’interopérabilité des données.
- assurent la compatibilité avec les spécifications communes fondées sur des spécifications d’interopérabilité ouvertes ou les normes harmonisées d’interopérabilité au moins douze mois après que les références à ces spécifications communes ou à ces normes harmonisées pour l’interopérabilité des services de traitement des données ont été publiées dans le répertoire central des normes de l’Union pour l’interopérabilité des services de traitement de données à la suite de la publication des actes d’exécution sous-jacents au Journal officiel de l’Union européenne conformément à l’article 35, paragraphe 8 ;
- mettent à jour le registre en ligne visé à l’article 26, point b), conformément aux obligations qui leur incombent au titre de l’article 30 §3.
En cas de changement de services du même type de service, pour lequel des spécifications communes ou des normes harmonisées pour l’interopérabilité visées à l’article 30 §3 n’ont pas été publiées dans le répertoire central des normes de l’Union pour l’interopérabilité des STD conformément à l’article 35§8, le fournisseur STD exporte, à la demande du client, toutes les données exportables, dans un format structuré, couramment utilisé et lisible par machine.
Les fournisseurs STD ne sont pas tenus
- de développer de nouvelles technologies ou de nouveaux services,
- ou de divulguer ou transférer des actifs numériques qui sont protégés par des droits de propriété intellectuelle ou qui constituent un secret d’affaires, à un client ou à un fournisseur de STD différent ou
- de compromettre la sécurité et l’intégrité du service du client ou du fournisseur.
Régime spécifique applicable à certains services de traitement de données (art 31)
Les exigences imposées aux services de traitement de données en vertu du chapitre VI ne s’appliquent pas toutes au SaaS. En particulier, le concept d’équivalence fonctionnelle énoncé à l’article 30(1) ne s’applique qu’aux fournisseurs d’IaaS, tandis que les articles 30(1) et 30(2) s’appliquent aux fournisseurs de PaaS et de SaaS.
En outre, l’article 31(2) exclut du champ d’application du chapitre VI les services de traitement de données fournis à des fins de test et pour une durée limitée. Bien qu’aucune de ces deux exemptions ne vise spécifiquement le SaaS, il est possible qu’une solution SaaS spécifique réponde à ces critères et bénéficie ainsi d’un régime plus souple.
Des fournisseurs de PaaS et de SaaS doivent mettre à disposition des interfaces ouvertes et se conformer aux spécifications d’interopérabilité ouvertes et aux normes harmonisées publiées dans un référentiel de l’UE.
Exception aux obligations imposées aux services de traitement de données
| des STD sur mesure et non proposés à grande échelle commerciale, |
| des STD fournis en version test/bêta |
Services de traitement de données conçus sur mesure non proposés à grande échelle
Les obligations prévues à l’article 23, point d), à l’article 29 et à l’article 30, paragraphes 1 et 3, ne s’appliquent pas aux services de traitement de données dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux besoins spécifiques d’un client particulier ou dont tous les composants ont été développés pour les besoins d’un client particulier, et lorsque ces services de traitement de données ne sont pas proposés à grande échelle sur le plan commercial par l’intermédiaire du catalogue de services du fournisseur de services de traitement de données.
Exclusion des services de traitements de données à des fins d’essai
Les obligations prévues dans le présent chapitre ne s’appliquent pas aux services de traitement de données fournis en tant que version non destinée à la production à des fins d’essai et d’évaluation et pour une durée limitée.
Obligation d’information
Avant la conclusion d’un contrat pour la fourniture de services de traitement de données « bénéficiant d’un régime spécifique », le fournisseur de services de traitement de données informe le client potentiel des obligations non applicables, cependant les autres obligations telles que la mise à disposition des interfaces ouvertes, exportabilité de données dans un format structuré, couramment utilisé et lisible par machine, restent quant à elles applicables.
A SUIVRE …EPISODE 7
