Plusieurs textes dont la loi SREN, le Data Act et la directive NIS 2 imposent directement de nouvelles obligations aux prestataires SaaS, qui les contraignent à revoir certaines pratiques et leurs modèles de contrats.

Les services d’informatique en nuage (ou « cloud ») se sont imposés comme un outil majeur de la transformation numérique. Ainsi, près de la moitié des entreprises européennes ont acheté des services cloud en 2023, et 95% de ces acheteurs de services cloud ont souscrit au moins à un service SaaS (« Software as a Service »)¹.

Les législateurs français et européens cherchent non seulement à encadrer la sécurité de ces services et des données traitées, mais aussi à limiter les déséquilibres concurrentiels sur le marché du cloud. Des obligations ont ainsi récemment été imposées aux prestataires SaaS par plusieurs textes, qui les contraignent à revoir certaines pratiques et leurs modèles de contrats.

 

Les points clés à retenir

• Le Data Act et la loi SREN structurent les conditions de changement de fournisseur, en encadrant les frais associés et en introduisant des obligations d’interopérabilité et de portabilité des services cloud.
• Les prestataires SaaS doivent assurer une transparence accrue sur la localisation et la protection des données.
• La loi SREN introduit des exigences spécifiques en France, notamment en matière environnementale et de souveraineté.
• La directive NIS 2 durcit les obligations de cybersécurité (gestion des risques, notification d’incidents).
• Les manquements exposent à des sanctions financières significatives, en plus des exigences contractuelles sectorielles (ex. DORA).

 

1. Les obligations et contraintes visant à renforcer la concurrence et la souveraineté des données

Le règlement européen 2023/2854 du 13 décembre 2023 (le Règlement sur les Données ou « Data Act ») et la loi française n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (la « Loi SREN ») imposent de nouvelles règles respectivement aux « fournisseurs de services de traitement de données » et aux « fournisseurs de services d’informatique en nuage ». Curieusement, ces notions sont définies de façon identique, et le Data Act prévoit expressément que cette définition couvre les services SaaS².

À noter que les obligations issues de la loi SREN ne concernent que les prestataires cloud établis en France ou hors de l’UE (pour respecter le principe européen de libre circulation des services)³.

1.1 Les règles visant à favoriser la concurrence sur le marché du cloud

Le Data Act et la loi SREN cherchent notamment à favoriser la concurrence sur le marché cloud, brigué par quelques prestataires dominants (présents sur toutes les couches du marché du cloud, y compris la couche SaaS) et dont les pratiques peuvent rendre leurs clients captifs⁴.

Ces textes encadrent ainsi les frais de changement de fournisseur (y compris en cas de recours simultané à plusieurs prestataires), et notamment les frais de transfert de données. Le Data Act prévoit que les frais de changement de fournisseur ne peuvent dépasser les coûts directement liés au processus de changement jusqu’au 12 janvier 2027, puis interdit complètement ces frais à compter de cette date⁵. Pour sa part, la loi SREN prévoit que, jusqu’au 12 janvier 2027, la facturation de frais de changement de fournisseur devra respecter un montant maximal de tarification fixé par arrêté⁶.

[note de l’APP] L’Arcep a officiellement transmis au Gouvernement sa proposition de fixer le montant maximal à 0 €⁷ pour les frais de transfert de données, anticipant ainsi l’interdiction totale prévue par le Data Act au 12 janvier 2027.

De plus, tant le Data Act (à partir du 12 septembre 2025) que la loi SREN (entre sa promulgation et le 12 janvier 2027) impose des obligations d’interopérabilité et de portabilité des données, en particulier via la mise à disposition par les prestataires cloud d’interfaces dédiées. Il est prévu que des spécifications d’interopérabilité seront publiées respectivement via un acte délégué de la Commission Européenne et par l’Arcep en France⁸.

[note de l’APP] L’Arcep a publié le 25 septembre 2025 une recommandation officielle relative à l’interopérabilité et à la portabilité des services cloud⁹, précisant les modalités d’application de ces obligations pour les prestataires.

Les prestataires cloud doivent en outre fournir à leurs clients, y compris dans leurs contrats et à travers leurs sites Internet, des informations sur les frais de changement de fournisseur¹⁰. Le Data Act impose des obligations d’information complémentaires significatives, et notamment des clauses contractuelles sur le changement de fournisseur et l’interopérabilité¹¹. Des clauses types reprenant ces éléments seront élaborées au niveau européen mais ne seront pas obligatoires¹².

La loi SREN comprend en outre plusieurs interdictions additionnelles, visant également à limiter les déséquilibres concurrentiels¹³. Ainsi, les prestataires cloud ne peuvent établir d’avoirs ayant une durée indéterminée (des durées acceptables seront fixées par décret et ne pourront dans tous les cas dépasser un an) ou assortis d’une condition d’exclusivité. Il est également interdit aux prestataires cloud de subordonner la vente d’un produit ou service à la souscription à un service cloud lorsque cela constitue une pratique commerciale déloyale¹⁴.

1.2 Les règles relatives aux transferts et à la souveraineté des données

Le Data Act et la loi SREN (jusqu’au 12 janvier 2027 pour cette dernière), afin de permettre aux clients de prendre une décision éclairée quant au choix de leurs prestataires, imposent aux prestataires cloud de publier sur leur site internet les juridictions dans lesquelles les données des services cloud pourraient être traitées ainsi qu’une description des mesures prises pour empêcher l’accès par des autorités publiques hors de l’UE à des données personnelles en conflit avec le droit applicable. Un changement contractuel additionnel est requis à cet égard, puisque les prestataires doivent lister les URL concernées dans les contrats avec leurs clients¹⁵.

De plus, la loi SREN incorpore dans la loi française les exigences qui figuraient dans les circulaires relatives à la doctrine « cloud au centre »¹⁶. Elle prévoit ainsi que les administrations et opérateurs de l’Etat, lorsqu’ils utilisent un service cloud qui traite des données d’une sensibilité particulière et dont la violation est susceptible de porter atteinte à certains droits ou intérêts, doivent s’assurer que ce service respecte des critères de sécurité et protection des données notamment pour éviter tout accès par des autorités étrangères¹⁷. Un projet de décret, notifié à la Commission européenne le 24 janvier 2025, impose le recours à un prestataire qualifié par l’Anssi (ou ayant une certification européenne équivalente). Le référentiel de qualification applicable sera très vraisemblablement du référentiel « SecNumCloud » visé dans les circulaires.

1.3 Une spécificité française : la fourniture d’information environnementale

Un autre ajout dans la loi SREN par rapport au Data Act est à noter : les prestataires cloud seront tenus de publier des « informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie ». Les délais et modalités d’application de cette obligation seront précisées par décret¹⁸.

 

2. Le renforcement des obligations de cybersécurité

La directive (UE) 2022/2555 du 14 décembre 2022 (la « directive NIS 2 ») accroît pour sa part les obligations de cybersécurité applicables aux prestataires SaaS par rapport à la directive « NIS 1 »¹⁹.

2.1 Champ d’application

La directive NIS 2 s’applique aux fournisseurs de services d’informatique en nuage (ces services comprenant entre autres « les logiciels services (SaaS) »)²⁰, essentiellement lorsqu’ils constituent des grandes ou des moyennes entreprises au sens du droit européen²¹. Ces entités seront, selon les règles prévues à l’article 3 de la directive, des entités « essentielles » ou « importantes ».

2.2 Obligations des prestataires SaaS au titre de la directive NIS 2

Les obligations des entités soumises à la directive NIS 2 doivent notamment être fixées dans les textes de transposition adoptées par les États membres. Bien que la transposition devait avoir lieu au plus tard le 17 octobre 2024²², l’adoption de la loi de transposition française est toujours attendue²³.

L’état d’avancement de la transposition en droit français

Le projet de loi de transposition a été voté au Sénat en mars 2025 (Rapport Sénat n° 393 (2024-2025) du 4 mars 2025) et a été examiné à l’Assemblée nationale en septembre 2025, avec une adoption attendue début 2026 (Ornisec, « Directive NIS 2 : vers une cybersécurité renforcée en Europe – Point de situation », juin 2025). En mai 2025, la Commission européenne a envoyé un avis motivé à la France pour défaut de notification de la transposition complète (Commission européenne, page de suivi de la transposition NIS 2 pour la France, mise à jour du 7 mai 2025), soulignant le retard pris par rapport à l’échéance du 17 octobre 2024.

Le mécanisme de guichet unique applicable aux fournisseurs de services numériques

La détermination de la loi de transposition applicable sera particulièrement importante pour les fournisseurs de services numériques, y compris les prestataires SaaS, pour lesquels la directive prévoit un mécanisme de « guichet unique ». Contrairement aux autres entités soumises à ce texte, qui peuvent relever de la compétence de plusieurs États membres²⁴, les fournisseurs de services numériques relèvent uniquement de la compétence de l’État membre dans lequel les fournisseurs ont leur établissement principal dans l’Union²⁵. La notion d’établissement principal a une signification particulière dans le cadre de la directive NIS 2, puisqu’elle est définie essentiellement en lien avec les mesures ou opérations en matière de cybersécurité²⁶.

L’obligation d’enregistrement auprès de l’autorité compétente

Les prestataires de services numériques seront notamment soumis à une obligation de déclaration auprès de l’État membre dans lequel se situe leur établissement principal. Bien que la directive prévoie que la première déclaration devait être effectuée au plus tard le 17 janvier 2025²⁷, les délais et modalités de déclaration seront en pratique fixées par les lois de transposition²⁸.

Les obligations européennes directement applicables : gestion des risques

Certaines obligations applicables aux prestataires SaaS sont pour leur part fixées au niveau européen (et non au niveau des lois de transposition). Ainsi, les mesures de gestion des risques en matière de cybersécurité devant être mises en œuvre par les fournisseurs de services numériques²⁹ sont définies dans le règlement d’exécution (UE) 2024/2690, qui est directement applicable dans tous les États membres de l’Union européenne depuis le 6 novembre 2024.

D’autres obligations devront être étudiées tant au niveau des textes européens que des lois de transposition : les prestataires cloud sont soumis à l’obligation de notification des incidents importants auprès de l’autorité compétente et le cas échéant des destinataires des services prévue à l’article 23 de la directive NIS 2 (telle qu’elle sera transposée par les États membres), étant précisé que le règlement d’exécution susmentionné définit les cas dans lesquels un incident relatif à un service cloud est considéré comme important.

 

Un nouvel environnement normatif structurant pour les prestataires SaaS

Les prestataires SaaS doivent mettre en œuvre les modifications techniques et contractuelles requises pour éviter des sanctions significatives (par exemple jusqu’à 3% du chiffre d’affaires mondial pour certains manquements à la loi SREN, jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires mondial en cas de manquements des entités essentielles à certaines dispositions de NIS 2, etc.). Ces contraintes leur étant directement applicables sont bien sûr sans préjudice des obligations pouvant leur être imposées contractuellement par leurs clients en vertu de nouvelles règlementations sectorielles les concernant (par exemple Dora³⁰).

 

Notes

[1] Eurostat, « Cloud computing – statistics on the use by enterprises ». ↩︎

[2] Considérant 81 du Data Act. ↩︎

[3] Article 35 de la loi SREN. ↩︎

[4] Étude d’impact de la loi SREN. ↩︎

[5] Article 29 du Data Act. ↩︎

[6] Article 27 de la loi SREN. ↩︎

[7] Décision n° 2025-0340 du 20 février 2025 de l’Arcep. ↩︎

[8] Articles 30, 34 et 35 du Data Act, articles 28 et 29 de la loi SREN. ↩︎

[9] Recommandation de l’Arcep du 25 septembre 2025 relative à l’interopérabilité et à la portabilité des services d’informatique en nuage. ↩︎

[10] Article 27 de la loi SREN, articles 25, 29.4 et 29.6 du Data Act. ↩︎

[11] Articles 25 et 26 du Data Act. ↩︎

[12] Article 41 du Data Act ; voir aussi la FAQ de la Commission sur le Data Act. ↩︎

[13] Basées sur l’avis de l’Autorité de la concurrence du 29 juin 2023 dédié au marché cloud. ↩︎

[14] Nouvel article L. 442-12 du Code de commerce, créé par l’article 26 de la loi SREN. ↩︎

[15] Article 28 du Data Act et article 33 I de la loi SREN. ↩︎

[16] Circulaire n° 6282-SG du 5 juillet 2021 et circulaire n° 6404/SG du 31 mai 2023. ↩︎

[17] Article 31 de la loi SREN. ↩︎

[18] Article 33 II de la loi SREN. ↩︎

[19] Les règles prévues pour les « fournisseurs de services numériques » par le Règlement d’exécution 2018/151 étaient en particulier moins développées. ↩︎

[20] Annexe I section 8 et considérant 33. ↩︎

[21] Article 2.1 de la directive, qui fait référence à la recommandation 2003/361/CE du 3 mai 2003. Voir notamment les dispositions de la recommandation, ainsi que le considérant 16 de la directive, sur les entreprises partenaires et liées à prendre en compte pour le calcul des seuils. A noter également les articles 2.2 b) à f) ou 2.3 sur les autres entités pouvant être soumises à NIS 2. ↩︎

[22] Article 41. ↩︎

[23] La France n’est pas le seul pays concerné, par exemple le projet de loi de transposition n° 8364 étant également toujours en suspens au Luxembourg. ↩︎

[24] Article 26.1 et considérant 113. ↩︎

[25] Article 26.1 b). Voir également les règles pour les prestataires étrangers à l’article 26.3. ↩︎

[26] Article 26.2 et considérant 114. ↩︎

[27] Article 27.2. ↩︎

[28] Par exemple, la loi de transposition belge du 26 avril 2024 prévoyait une date limite d’enregistrement au 18 décembre 2024. ↩︎

[29] Article 21. ↩︎

[30] A noter toutefois que pour certains prestataires TIC critiques Dora leur sera applicable directement. ↩︎