Directive sur l’efficacité énergétique, référentiel SecNumCloud, CSRD... La réglementation à laquelle les datacenters doivent se conformer est abondante. Gros plan sur cet aspect parfois méconnu de l’écosystème des centres de données.
Les datacenters sont soumis, comme de très nombreuses entreprises du secteur IT, à un environnement législatif très riche. Efficacité énergétique, protection des données personnelles, souveraineté numérique, QSE... La réglementation qui s’applique présente de multiples facettes.
La directive DEE / EED pour l’efficacité énergétique
Pour s’en convaincre, il suffit par exemple de consulter la nouvelle version de la directive européenne sur l'efficacité énergétique (en français DEE, pour Directive sur l’efficacité énergétique, ou EED en anglais, pour Energy Efficiency Directive). Cette nouvelle mouture a été adoptée par le Conseil de l’Union européenne le 25 juillet 2023 et officiellement publiée au Journal officiel de l’Union européenne le 20 septembre 2023, soit onze ans après la publication de sa version initiale (2012) et cinq ans après sa première révision (2018).
Les datacenters d’une puissance totale supérieure à 1 MW devront valoriser la chaleur fatale
Les datacenters sont directement concernés par la version revisitée de cette réglementation. En 2018, leur consommation d’énergie dans l’Union européenne s’élevait à 76,8 TWh. Ce chiffre devrait atteindre 98,5 TWh d’ici à 2030, soit une augmentation de 28 %. Cette augmentation en valeur absolue est également observée en termes relatifs : au sein de l’UE, les centres de données représentaient 2,7 % de la demande d’électricité en 2018 et atteindront 3,21 % d’ici à 2030, si l’évolution se poursuit sur la trajectoire actuelle, selon les chiffres de la Commission européenne.
La directive européenne DEE/EED prévoit que les nouvelles installations ou les rénovations substantielles de datacenters d’une puissance totale supérieure à 1 MW devront valoriser la chaleur fatale, à travers par exemple un réseau de chaleur, sauf en cas d’impossibilité technique ou économique. La chaleur fatale correspond à l’énergie thermique indirectement produite par les serveurs et autres équipements présents dans le centre de données.
Les datacenters d’une puissance supérieure à 500 kW seront par ailleurs dans l’obligation de fournir annuellement des informations sur leur performance énergétique au public et ce, dès le mois de mai 2024. Ces données couvriront notamment la superficie, la puissance installée, la consommation d’énergie et l’utilisation de la chaleur fatale.
Il est intéressant de noter que les membres du Climate Neutral Data Center Pact (CNDCP), organisation professionnelle qui regroupe 90 % des opérateurs de datacenters européens, se sont engagés auprès de la Commission européenne à limiter leur consommation d’eau à 400 ml d’eau par kWh informatique consommé, d’ici 2040.
Le référentiel SecNumCloud au cœur des enjeux de souveraineté
Autre enjeu majeur pour les acteurs spécialisés dans les centres de données : la souveraineté numérique, qui soulève des préoccupations tant au niveau national qu'international. Un certain nombre de lois extra-européennes, comme le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act), peuvent en effet faire peser des risques sur les données hébergées au sein de datacenters utilisant des solutions fournies par des acteurs américains.
La version 3.2 du référentiel SecNumCloud permet de se prémunir contre les lois extra-européennes
En France, le référentiel SecNumCloud - élaboré en 2016 par l’ANSSI - permet la qualification de prestataires de services cloud, quelle que soit leur spécialisation : SaaS (Software-as-a-Service), PaaS (Plateform-as-a-Service) et IaaS (Infrastructure-as-a-Service). Il propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d’exigence d’un point de vue technique et opérationnel.
Dans sa version 3.2, publiée en mars 2022, ce référentiel respecte les exigences européennes relatives à la protection des données personnelles. Il se conforme aux suites de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. Cet arrêt a rappelé l’exigence de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) quand des données personnelles de citoyens européens sont transférées hors de l’Union européenne. Le référentiel permet également de répondre aux exigences de la doctrine « Cloud au centre » de l’État qui impose aux administrations le recours à des solutions hautement sécurisées pour l’hébergement de données sensibles.
Notons que la décision de la Cnil d’autoriser l’hébergement sur le cloud de Microsoft d'un entrepôt de données de santé (EMC2) suscite de nombreuses inquiétudes quant aux risques d'application des lois américaines à portée extra-territoriale (Cloud Act, FISA / Foreign Intelligence Surveillance Act…). L’EMC2 est un projet européen mené par l’Agence européenne des médicaments (EMA). Il prévoit d’utiliser le traitement automatisé des données pour faire avancer la recherche pharmaco-épidémiologique.
NIS 2 : un renforcement des exigences de sécurité
La directive « Sécurité des réseaux et de l’information », dite « NIS 1 » (Network and Information System Security), qui date de 2016, va se transformer en NIS 2 au deuxième semestre 2024. Afin de faire face à des pirates toujours plus efficaces, elle élargit son périmètre d’action et intègre un mécanisme de proportionnalité distinguant deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).
NIS 2 étend également le nombre de secteurs concernés. Alors que la directive NIS 1 concernait 19 secteurs d’activité, NIS 2 en englobe 35, dont l’industrie, l’agroalimentaire, la fabrication et la gestion des déchets. Les entreprises ciblées sont celles employant plus de 50 salariés et dont le chiffre d’affaires dépasse le million d’euros.
NIS 2 renforce par ailleurs les sanctions qui pourront être infligées aux entités ne respectant pas ses règles. Les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les EE, et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les EI.
La CSRD pour mettre en valeur l’information extra-financière
La directive européenne CSRD (Corporate Sustainability Reporting Directive), applicable depuis le 1er janvier 2024, définit de nouvelles obligations de reporting extra-financier pour les grandes entreprises et les PME cotées en bourse. Elle succède à la directive sur la publication d'informations non financières (2014) et a pour objectif d’harmoniser le reporting extra-financier des entreprises européennes.
Les données de l'entreprise qui rentrent dans le périmètre de la directive CSRD sont ses données ESG (Environnement, Social et Gouvernance) :
- Données environnementales : atténuation et adaptation au changement climatique, biodiversité, utilisation des ressources naturelles...
- Données sociales : égalité des chances, conditions de travail et respect des droits de l'homme et des libertés fondamentales...
- Gouvernance : rôle des organes d'administration, activités de lobbying, gestion des relations avec les partenaires commerciaux...
Découvrez l’offre de PHOCEA DC, fournisseur de datacenters souverains et éco-responsables. Phocéa DC est établi à Marseille. Son centre de données occupe une superficie de 1 700 m² pour une puissance de 1,2 MW. Conforme à la norme Tier 3, il conjuguera fiabilité et efficacité énergétique. Ses services d’hébergement sont destinés aux acteurs locaux et nationaux : collectivités, entreprises, opérateurs télécoms et fournisseurs de services d’infogérance.