Le cloud représente l’ensemble des services mutualisés, accessibles via internet, à la demande, payés à l’usage et, par extension, certaines des infrastructures sous-jacentes. Malgré une évolution en plein essor (avec une croissance annuelle prévue de son volume d’activité de 14 % d’ici 2025), l’adoption du cloud connaît un certain retard en France, la migration des petites et moyennes entreprises et des très petites entreprises étant plus lente que dans le reste de l’Union européenne.
Le secteur est dominé par trois grands acteurs, souvent nommés « hyperscalers », que sont Amazon Web Services (AWS), Google Cloud Platform et Microsoft Azure ; ils ont capté respectivement 46 %, 8 % et 17 % des dépenses en infrastructures et applications de cloud public en France en 2021.
Ces hyperscalers sont par leur capacité financière et leur écosystème de services numériques en mesure de pouvoir entraver le développement de la concurrence, dans un marché touché par une importante dynamique de concentration. En France, en 2021, les trois entreprises précitées ont capté 80 % de la croissance des dépenses en infrastructures et applications de cloud public.
Pour ces raisons, l’Autorité de la concurrence rend son avis dans le cloud. Elle considère que la probabilité qu’un nouvel acteur puisse être en mesure de gagner rapidement des parts de marché apparait limitée en-dehors d’acteurs d’ores et déjà puissants sur d’autres marchés Cette probabilité pourrait encore diminuer à mesure que les entreprises réalisent leur migration vers le cloud et choisissent un écosystème.
Dans cet avis, l’Autorité se concentre sur le cloud public et le cloud hybride. Le cloud public correspond généralement à des offres commerciales permettant au client professionnel d’accéder directement à une multitude de services.
Suivant les définitions proposées par le National Institute of Standards and Technology, l’avis distingue trois grandes catégories de services qui correspondent chacune à différents partages de responsabilité entre le fournisseur de services cloud et l’entreprise cliente :
L’IaaS correspond au modèle le moins externalisé, dans lequel le fournisseur met à disposition de l’utilisateur les infrastructures informatiques, notamment des serveurs ou du stockage.
Le PaaS constitue un modèle intermédiaire. Il fournit un environnement permettant aux clients de bénéficier de logiciels et d’outils pour développer leurs applications sans avoir à créer ni entretenir l'infrastructure ou la plateforme associée au processus.
Le SaaS correspond au modèle le plus externalisé. Il permet à l’utilisateur d’accéder directement à des applications, gérées intégralement par le fournisseur, depuis tout appareil connecté.
L’analyse des marchés pertinents dans le secteur du cloud
L’Autorité propose une grille d’analyse présentant de possibles marchés pertinents dans le secteur du cloud. La formulation des besoins des clients en services cloud pourrait s’effectuer par « charges de travail », ce qui correspond à l’ensemble des ressources informatiques ou des processus métier répondant à un besoin ou objectif spécifique du client.
Une segmentation fondée sur la certification SecNumCloud pourrait par ailleurs être envisagée. En revanche, une segmentation en fonction des secteurs d’activité ne semble pas, pour l’instant, pertinente.
En outre, l’Autorité a analysé trois types de marchés connexes : le marché des services de colocation dans des centres de données, les marchés des logiciels sur site, sur lesquels certaines entreprises présentes sur les marchés du cloud sont également actives et les marchés de l’intermédiation du conseil et de l’intégration de solutions cloud.
Des effets de levier pourraient jouer sur les marchés du cloud, compte tenu de la position dominante de certains acteurs du logiciel également présents sur le cloud.
Les risques concurrentiels identifiés par l’Autorité
L’Autorité identifie des risques concurrentiels transversaux, met en lumière des scénarios comportant des risques concurrentiels spécifiques et s’intéresse enfin aux conséquences que peuvent induire les rapprochements entre entreprises.
Les risques concurrentiels transversaux
La présence sur le marché d’acteurs incontournables peut rendre difficile la négociation des clauses des contrats par les clients, même puissants.
En outre, il peut être difficile pour les clients d’anticiper les coûts futurs du cloud compte tenu de la complexité des offres et du manque de lisibilité des tarifs.
Deux pratiques tarifaires, déjà analysées dans l’avis 23-A-05 de l’Autorité sur le projet de loi visant à sécuriser et à réguler l’espace numérique, sont spécifiques au secteur et ont retenu l’attention de l’Autorité.
Les crédits cloud
Les crédits cloud sont synonymes de valeur ajoutée pour de nombreuses entreprises en particulier pour les startups, qui s’épargnent de lourds investissements susceptibles d’entraver leur développement, mais également pour les fournisseurs de services cloud qui, grâce à eux, diffusent et encouragent l’adoption de leur technologie.
L’Autorité considère toutefois que les offres ciblées d’accompagnement doivent faire l’objet d’une attention particulière. Les montants proposés parfois élevés (jusqu’à 200 000 $ sur deux ans), le vaste écosystème d’entreprises qu’elles concernent et leur durée de validité les distinguent significativement des essais gratuits qui peuvent être traditionnellement observés dans d’autres industries, et soulèvent des doutes quant à la capacité de tous les fournisseurs de services cloud à les proposer de manière rentable.
Des risques de verrouillage des clients existent compte tenu des développements longs et coûteux mis en œuvre pour mettre en place une architecture cloud chez un fournisseur spécifique. Ce verrouillage pourrait être renforcé par la présence de clauses ou pratiques limitant la possibilité de changer de fournisseur ou de recourir simultanément à plusieurs fournisseurs.
Les frais de sortie (« egress fees »)
Certains fournisseurs de services cloud, en particulier les hyperscalers, facturent à leurs clients leurs transferts de données vers un fournisseur concurrent, vers leur infrastructure sur site ou vers leurs utilisateurs finaux.
L’instruction a montré que ces egress fees sont potentiellement déconnectés des coûts directement supportés par les fournisseurs. Ils constituent une préoccupation majeure pour le secteur, en raison de leur structure de prix proportionnelle au volume de données transférées, les clients n’ayant pas la possibilité d’anticiper en amont un besoin futur en trafic de données et en usage de la bande passante.
Ces frais, dans leur structure actuelle, pourraient engendrer un risque de verrouillage de la clientèle sur un marché en pleine expansion, en rendant plus difficile pour les utilisateurs de cloud de quitter leur primo-fournisseur ou de recourir à plusieurs fournisseurs à la fois dans un environnement multi-cloud.
Les risques concurrentiels spécifiques
Les risques concurrentiels liés à la migration des systèmes d’information sur site vers le cloud
La migration des clients de solutions sur site vers le cloud est complexe et coûteuse, ce qui peut les inciter à se tourner vers leurs fournisseurs historiques de services informatiques, également fournisseurs de services cloud, lorsqu’il s’agit de choisir leurs services cloud.
L’instruction a mis en évidence des pratiques susceptibles de renforcer les freins au recours par un client à un autre fournisseur de services cloud, comme des clauses contractuelles restrictives, des ventes liées, des avantages tarifaires favorisant leurs produits ainsi que des restrictions techniques.
Si elles étaient mises en œuvre par un opérateur en position dominante, ces pratiques pourraient constituer des pratiques abusives.
Plusieurs plaintes sont en cours devant la Commission européenne sur le fondement de pratiques similaires.
Les risques concurrentiels spécifiques liés à la migration d’un fournisseur de services cloud à un autre
Les freins à la migration vers un autre fournisseur des charges de travail (c’est-à-dire des ressources informatiques répondant un besoin spécifique d’une entreprise) hébergées dans le cloud peuvent nuire au fonctionnement de la concurrence.
Des freins technologiques à la migration peuvent apparaître à différents niveaux, liés en particulier aux spécificités de l’architecture et des solutions utilisées. En effet, la variété des produits et services, notamment s’agissant des services PaaS, l’interconnexion des services informatiques et le manque de portabilité des données et des applications peuvent entraîner des coûts de migration non négligeables.
Au-delà des freins techniques, les fournisseurs peuvent mettre en place des obstacles techniques et commerciaux additionnels, augmentant les coûts de migration pour renforcer leur position. Cela pourrait être le cas, par exemple, d’une entreprise utilisant volontairement un format de données spécifique afin d’empêcher la portabilité des données d’un client vers un autre fournisseur de services cloud.
Les risques concurrentiels spécifiques liés aux barrières à l’expansion pour les concurrents des hyperscalers
Le secteur est marqué par des freins techniques relatifs notamment à l’interopérabilité. Ceux-ci affectent l’ensemble des concurrents et particulièrement les fournisseurs de taille modeste, compte tenu de l’attractivité des écosystèmes cloud au moment de choisir un primo-fournisseur.
Ces freins sont illustrés dans l’avis par des exemples concrets comme les implications techniques de l’interopérabilité en ce qui concerne le service de stockage objet Amazon S3 (IaaS).
L’interopérabilité avec les services PaaS est encore plus complexe. Par exemple, le changement d’un service PaaS de base de données nécessite de réécrire la partie du code de l’application qui utilise ce service.
L’Autorité a également identifié des risques liés à la présence d’un fournisseur sur plusieurs marchés connexes du numérique, des risques liés à certaines pratiques commerciales et tarifaires ainsi que des risques liés aux conditions fixées par les fournisseurs pour l’accès à leurs places de marché cloud et à leur fonctionnement. Des freins volontairement mis en place pour entraver l’interopérabilité ne sont enfin pas exclus.
Les rapprochements entre entreprises
Les risques concurrentiels identifiés par l’Autorité pourraient être renforcés notamment par une politique d’acquisitions agressive de la part d’entreprises déjà présentes sur le secteur du cloud afin de renforcer leur position sur un marché du cloud identifié ou sur un marché connexe.
Les auditions menées par l’Autorité ont permis d’observer une dynamique de concentration dans le secteur du cloud notamment sur le marché français. Si l’Autorité reconnaît que les acquisitions peuvent permettre à un fournisseur d’améliorer son offre, de combler l’écart avec des concurrents déjà bien établis ou de se développer sur de nouveaux segments, elle rappelle que certaines concentrations peuvent avoir des effets négatifs sur la concurrence (réductions du nombre d’acteurs, potentielles ventes groupées ou liées, augmentation des prix, impact sur l’innovation…).
L’Autorité observe par ailleurs, que pour le moment si les hyperscalers ont tous réalisé des acquisitions au cours des dernières années, ce type d’acquisitions est plus rare de la part des acteurs européens.
L’entrée en vigueur du règlement sur les marchés numériques (« Digital Markets Act » ou « DMA ») devrait permettre aux autorités de concurrence et notamment à la Commission européenne de pouvoir contrôler de plus près ces acquisitions qui échappent souvent aux contrôles des concentrations, les entreprises acquises ayant souvent un chiffre d’affaires inférieur aux seuils de notification.
L’Autorité émet également un point de vigilance concernant la création d’entreprises communes de cloud, notamment en lien avec les offres « cloud de confiance ». Ces créations prennent la forme de co-entreprises et regroupent des acteurs majeurs du secteur qui ensemble proposent des offres spécialement conçues pour couvrir de nouveaux segments du marché.
Or, ces entités peuvent regrouper des entreprises disposant déjà d’importants avantages concurrentiels, limitant, de facto, la capacité d’autres acteurs moins puissants de les concurrencer. La Commission vient d’autoriser la création de l’entreprise commune Bleu, la co-entreprise de Capgemini et Orange fondée sur les technologies de Microsoft Azure.
Enfin, l’Autorité observe l’existence de partenariats technologiques entre des hyperscalers et des grands fournisseurs de logiciels (par exemple des accords lient AWS et Salesforce ou Microsoft et Oracle) ou des intégrateurs, etc.
Or, les partenariats renforcés, entre fournisseurs de services cloud ou entre des fournisseurs de services cloud et des entreprises de logiciels, des intégrateurs ou les accords d’interopérabilité spécifiques entre certains acteurs du cloud et du SaaS, pourraient soulever des enjeux au regard du droit des ententes, qu’il s’agisse d’accords horizontaux ou verticaux.
Les outils de réponses
Le recours à la régulation
L'existence de défaillances de marché peut justifier le recours à la régulation. Par exemple, si des solutions techniques existent pour faciliter le changement de fournisseur ou recourir au multi-cloud, les hyperscalers ne sont pas nécessairement incités à développer des solutions performantes d’interopérabilité susceptibles d’éroder leurs parts de marchés.
L’échec des initiatives conjointes visant par exemple à développer des standards communs est attribué par beaucoup d’acteurs au manque de volonté des hyperscalers.
Des initiatives règlementaires sont en cours pour y remédier, comme en attestent l'adoption du DMA, et surtout de la proposition de règlement sur les données (« Data Act ») et du projet de loi susvisé. Dans son avis 23-A-05 du 20 avril 2023, l'Autorité formule plusieurs recommandations à cet égard.
L’Autorité accueille favorablement le Data Act, qui est de nature à modifier positivement le fonctionnement concurrentiel du secteur. Compte tenu de la conclusion du trilogue le 27 juin 2023, il n’est pas pertinent de formuler des propositions d’amélioration du texte actuel.
Cependant, la Commission devant mener un exercice d’évaluation dans trois ans, l’Autorité considère qu’il est pertinent de soumettre des points de vigilance aux parties concernées :
distinguer le régime applicable aux egress fees des autres frais de migration ;
réaliser une étude d’impact sur les crédits cloud ;
préciser les mesures en faveur de la portabilité et de l’interopérabilité.
Les outils à disposition de l’Autorité de la concurrence
Quand il peut intervenir suffisamment rapidement, le droit de la concurrence est un outil particulièrement efficace pour maintenir la dynamique concurrentielle de l’économie numérique.
C’est un droit souple et complet qui a démontré, notamment dans des affaires concernant les géants du numérique, sa capacité à se saisir de pratiques inédites et à adapter des solutions bien établies à des services nouveaux.
Afin de répondre aux enjeux du cloud, il pourrait être envisagé d’utiliser les outils classiques de droit de la concurrence que sont l’abus de position dominante, la lutte contre les ententes illicites, le contrôle des concentrations et l’abus de dépendance économique.
D’autres instruments du Livre IV du code de commerce, comme le droit des pratiques restrictives de concurrence pourraient éventuellement être mis en œuvre par la direction générale de la concurrence, de la consommation et de la répression des fraudes.
S’il n’est juridiquement pas possible pour l’Autorité d’examiner ces questions dans le cadre d’un avis, le rapporteur général annonce que ses services vont procéder à un examen préliminaire des éléments rassemblés afin d’estimer s’il y a lieu d’ouvrir une (ou plusieurs) enquête(s) contentieuse(s).