Ces derniers mois, le sujet de l’intelligence artificielle, et en toile de fond, celui de notre souveraineté numérique a pris une ampleur considérable, faisant du data center un actif plus stratégique encore. Retour sur les tendances du marché et sur les défis qui l’attendent avec les associés d’Herbert Smith Freehills.

DÉCIDEURS. En France, quels sont les principaux défis spécifiquement liés à la construction de nouveaux data centers ?

Thomas Herman. Il est difficile de faire une généralisation, car il y a différents types de data centers [ndlr : voir lexique en bas de page], avec chacun leurs spécificités propres. En effet, selon leur taille et leur puissance, les problématiques ne sont pas exactement les mêmes. Cependant, il est possible de dégager quelques éléments clés. Tout d’abord, la sélection du foncier, qui nécessite une grille de lecture un peu différente des autres actifs. À titre d’exemple, en ce qui concerne le critère de la localisation, c’est la proximité par rapport aux infrastructures télécom, la sécurisation d’un raccordement au réseau électrique suffisant – avec, le cas échéant, une redondance –, un approvisionnement en eau suffisant, et la compatibilité du projet avec les contraintes urbanistiques, qui vont être clés. La sécurisation de ce foncier le sera également – achat ou location, et si location, sous quel régime de bail.

Aussi, d’un point de vue contractuel, il faut bien tenir compte des spécificités du montage et de la commercialisation de ce type de projets. En effet, dans le cas de data centers sur le modèle de la colocation, la recherche de clients se fait en parallèle de la construction. Ces derniers ont besoin d’avoir une deadline sérieuse pour le projet, qui demande de s’appuyer sur un constructeur aux références solides. Parfois, les clients peuvent aussi avoir des demandes qui appellent des modifications du projet en cours de construction. Tout cela nécessite une architecture contractuelle à la fois souple et solide, qui tienne compte des décalages ou surcoûts, mais aussi de l’évolution législative, qui peut être rapide. En effet la législation est foisonnante, tant au niveau européen que national. Cela signifie que les projets en cours de construction doivent en tenir compte et l’anticiper. Je pense notamment à la directive « efficacité énergétique », en cours de transposition dans le droit français. Elle obligera les acteurs à prévoir un schéma de réutilisation de la chaleur fatale pour les data centers de plus de 1 mégawatt dès octobre 2025.

Enfin, compte tenu de la durée des montages de ces projets et de la tension sur la livraison de certains équipements – par exemple les éléments de climatisation, les groupes électrogènes –, il peut être opportun de mettre en œuvre un schéma d’achat d’équipements dits « OFCI » – Owner Furnished Contractor Installed –, où le maître d’ouvrage va commander les équipements afin de sécuriser un approvisionnement qui permette de tenir le planning, sans attendre que les négociations du contrat de construction soient finalisées. Ce schéma présente de multiples avantages, comme celui de respecter le planning de livraison, et de mieux maîtriser les coûts et le niveau de spécifications techniques attendues par le maître d’ouvrage.

Comment les critères ESG influencent-ils la structuration des financements ou des acquisitions de data centers ?

T. H. Les critères ESG sont aujourd’hui incontournables pour tous les acteurs de la chaîne, des banques aux fonds d’infrastructures, en passant par les développeurs ou leurs clients : tous ont des ambitions et objectifs élevés en la matière. Construire un projet responsable est devenu un avantage compétitif comme un autre.

Pour ce qui est de l’acquisition d’un data center existant, quels sont les points de vigilance en matière de due diligence juridique ?

Édouard Thomas. L’activité est soutenue sur ce type de transactions, qui mobilisent à la fois des compétences en droit immobilier, en matière de contrats énergétiques et de contrats clients, ainsi que sur le plan transactionnel. Le sujet premier est le foncier, la sécurisation du site et des infrastructures étant prioritaire sur toutes les autres préoccupations. Ensuite viennent les questions relatives au coût de l’approvisionnement en énergie ainsi qu’à l’accès aux réseaux de communications. Enfin, les contrats clients, source de revenus, sont également un point d’attention naturellement important. Les opérations se font sous forme d’acquisitions. Parfois par augmentation de capital, avec un fonds d’infrastructure qui injecte des liquidités, par exemple pour permettre de financer des extensions de data centers existants ou le développement ou l’acquisition de nouveaux data centers. C’est également un secteur propice aux joint-ventures entre opérateurs et actionnaires financiers, qui répondent aux mêmes soucis de financement du développement.

Anne Petitjean. Lorsqu’un acquéreur envisage l’acquisition d’un data center, il n’achète pas simplement des mètres carrés, mais avant tout de la puissance. Cela représente un changement de paradigme par rapport à l’acquisition d’un actif immobilier classique. Néanmoins, l’aspect immobilier sous-jacent reste crucial, car cette puissance est hébergée dans un bien immobilier. Les acquéreurs vont donc devoir prêter attention à plusieurs points de vigilance.

Sur les sujets immobiliers, il est d’une part essentiel de vérifier l’existence d’éventuelles servitudes susceptibles de perturber l’exploitation du data center. En outre, l’origine « trentenaire » est bien sûr vérifiée, en collaboration avec les notaires, afin de s’assurer de la réalité et de la solidité de la propriété du vendeur. D’autre part, et même si les acquéreurs sont en général moins à l’aise avec ce type de montage, la transaction peut concerner un data center exploité au travers d’un bail commercial. Une analyse détaillée du bail est alors nécessaire pour vérifier sa durée résiduelle, ses conditions de renouvellement en matière de durée et de loyer de renouvellement – ceci afin de rassurer les investisseurs en quête de pérennité et d’équilibre économique. Il convient enfin de s’assurer que le bail ne fait pas obstacle à l’exploitation du data center et que des contrats d’hébergement peuvent être conclus par l’exploitant, sans interférence avec les clauses régissant la sous-location du bail. Enfin, les clauses de remise en état doivent également faire l’objet d’une analyse minutieuse pour anticiper les coûts nécessaires à une telle remise en état, et ceci d’autant plus eu égard à la masse et à l’importance des équipements composant le data center. Sur les sujets urbanistiques, lorsqu’il est question de data centers récemment construits, il est essentiel de s’assurer de leur conformité administrative vis-à-vis des autorisations d’urbanisme accordées.

« Construire un projet responsable est devenu un avantage compétitif comme un autre »

S’agissant des data centers logés dans des actifs existants – cette solution étant parfois choisie dans un contexte de raréfaction du foncier –, il est nécessaire de vérifier que la transformation de l’actif a été correctement effectuée et que le changement de destination ou de sous-destination a été dûment opéré. Un arrêté relativement récent du 22 mars 2023 a précisé que les data centers relèvent de la catégorie des entrepôts, clarifiant ainsi le flou juridique qui existait auparavant quant à la destination exacte des centres de données.

Enfin, un autre point de vigilance concerne les aspects environnementaux, et particulièrement les dispositions relatives aux Installations classées pour la protection de l’environnement (ICPE). En effet, certains data centers relèvent du régime des ICPE, dans la mesure où ils nécessitent la présence de groupes électrogènes fonctionnant au fioul et dont l’impact environnemental est contrôlé. Il convient donc de vérifier, dans le cadre des opérations préalables à une transaction, que le data center est conforme à la police des installations classées et qu’il respectait les prescriptions émises par les autorités préfectorales au moment de l’émission de l’autorisation environnementale correspondante.

T. H. La question du contrat de fourniture d’électricité est également centrale. Il s’agit du premier poste de dépense pour ce type d’installations. Quel est le mécanisme de fixation des prix et quelles en sont les échéances ? Y a-t-il des engagements de volume à respecter ? Avec quelles pénalités ? Comment dois-je refacturer cela ensuite à mes clients, car plusieurs formules existent : pass-through, forfait ou une combinaison des deux ? Autant de questions qui peuvent avoir des répercussions très importantes sur la rentabilité de l’actif.

Sur cette question de l’approvisionnement en électricité, de nouveaux projets combinant construction de data center et capacité de production d’énergie ont-ils commencé à voir le jour ?

E. T. Certains projets d’envergure commencent à verdir leur approvisionnement, en signant des corporate PPA avec des développeurs d’énergies renouvelables. Aux
États-Unis notamment, étant donné le caractère électro-intensif de ces actifs, il y a plusieurs projets pour coupler des data centers avec des mini réacteurs nucléaires (SMR).

Qu’attendent concrètement les régulateurs en matière de reporting environnemental pour les data centers européens ?

A. P. Il y a une véritable envolée législative et réglementaire à ce sujet depuis quatre ou cinq ans, et ce tant au niveau européen que national. Nous constatons que nous allons vers toujours plus de transparence et de reporting environnemental et que les obligations pesant sur les exploitants de data centers vont s’accroître. Citons le décret tertiaire, la loi de réduction de l’empreinte environnementale du numérique, ou plus récemment la directive européenne pour la CSRD – Corporate Sustainability Reporting Directive. Une étape supplémentaire vient d’être franchie, avec la directive sur l’efficacité énergétique du 13 septembre 2023 : au-delà de l’obligation d’utilisation de la chaleur fatale résultant des data centers, ces derniers vont devoir rendre publiques leur superficie, leur puissance, leur consommation…

« Nous constatons une migration massive vers le cloud de toutes les sociétés, et une dépendance accrue à l’égard des infrastructures sous-jacentes »

La transposition de cette directive en droit national par la loi DDADUE du 3 avril 2025 – loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, environnementale, énergétique, de transport, de santé et de circulation des personnes – est en cours d’examen par le Conseil constitutionnel. Au-delà de l’obligation qu’elle fait peser sur les exploitants des data centers, cette directive va potentiellement alimenter la contestation qui entoure parfois l’édification de certains data centers, en permettant à des requérants d’avoir accès à des consommations énergétiques et de pouvoir ensuite bâtir un argumentaire fondé sur les atteintes au climat résultant de la construction de nouveaux centres de données. Ces obligations de reporting environnemental vont probablement s’accompagner d’une gestion accrue du risque réputationnel pour les exploitants de data centers, dont les consommations énergétiques seront ainsi rendues publiques. 

Vincent Denoyelle. La loi SREN de mai 2024, visant à sécuriser et à réguler l’espace numérique, oblige par ailleurs les acteurs à une transparence sur ces données. La pression réglementaire qui pèse sur les opérateurs depuis quelques années est très frappante et doit être adaptée au regard des enjeux de souveraineté, de cloud souverain, de développement d’une intelligence artificielle européenne. Les deux ambitions ne sont pas forcément contradictoires mais vont devoir s’accorder. À ce titre, nous regardons avec attention les débats autour de la loi sur la simplification de la vie économique.

Comment les obligations croissantes en matière de cybersécurité modifient-elles les responsabilités contractuelles entre opérateurs et clients ?

V. D. Nous constatons une migration massive vers le cloud de toutes les sociétés, et une dépendance accrue à l’égard des infrastructures sous-jacentes. Nous assistons à une inflation sans précédent d’instruments juridiques en matière de cybersécurité et de résilience opérationnelle : directive NIS2, directive REC et règlement DORA viennent compléter d’autres instruments établis, comme le RGPD. Cela impacte autant les opérateurs que les utilisateurs et contribue à la gestion des risques liés à toute la chaîne de valeur et à la contractualisation associée. Pour l’ensemble des utilisateurs, la dépendance aux services informatiques externalisés est très élevée, a fortiori dans des secteurs réglementés comme la banque, l’assurance ou la santé. Ainsi, la phase de contractualisation avec les opérateurs et prestataires de services revêt une importance capitale et permettra aux utilisateurs de sécuriser des mécanismes contractuels qui leur permettront d’entrer en conformité avec leurs propres règles. La possibilité pour un opérateur d’offrir des engagements robustes en la matière sera un critère de choix pour les utilisateurs et un outil de  vente pour les opérateurs – moyennant parfois la souscription à une offre de services plus onéreuse, pour s’aligner sur des engagements de cybersécurité plus exigeants. Même dans les secteurs non réglementés et pour des services moins critiques, la tendance est à un certain « gold-plating » – surtransposition –, qui consistera pour les utilisateurs à aligner leurs exigences contractuelles sur un niveau correspondant aux standards les  plus rigoureux. Sur un plan purement pratique, cela implique un audit en amont des différents prestataires et génère tout un éventail d’annexes à intégrer, qui permettront à l’utilisateur de sécuriser contractuellement les conditions de sa propre conformité et de rendre des services résilients à ses clients finaux. De leur côté, les opérateurs et prestataires auront le souci d’évaluer l’étendue de leurs engagements à la lumière de l’équilibre économique du contrat, des contraintes techniques – par exemple le caractère multi- tenant des services cloud – et du principe de responsabilité partagée. Le contexte appelle en tout cas à la plus grande vigilance : les attaques contre les data centers ont fortement augmenté ces deux dernières années.

Alors que les débats autour de la simplification de la vie économique sont en pause à l’Assemblée, quels sont, selon vous, les leviers législatifs qui pourraient accélérer la construction de data centers tout en respectant les exigences environnementales ?

A. P. La loi ZAN constitue sans doute un frein au développement de data centers d’envergure, qui sont très consommateurs de ressources foncières. Aussi, exonérer certains data centers stratégiques du décompte du foncier utilisé pour parvenir à l’équilibre du ZAN permettrait de donner de la flexibilité à l’implantation de centres de données en quête d’un foncier étendu et connecté au réseau électrique. C’est l’un des objectifs du projet de loi de simplification de la vie économique, actuellement en discussions à l’Assemblée nationale. Toutefois, si elle venait à être définitivement adoptée, cette loi ne concernerait qu’une poignée de data centers présentant un intérêt stratégique majeur pour le pays.

« La pression réglementaire qui pèse sur les opérateurs depuis quelques années est très frappante »

Parmi les leviers législatifs existants, il faut rappeler l’existence de la loi industrie verte, qui facilite l’utilisation du foncier des friches industrielles et dont un des objectifs est justement de favoriser la création d’infrastructures comme les data centers, afin d’éviter que ces derniers ne consomment du foncier non bâti. De manière générale, et pour répondre à l’enjeu de souveraineté nationale qui est le nôtre aujourd’hui, le développement des data centers doit s’inscrire dans une politique d’aménagement globale, portée par une vision à long terme et ordonnée des pouvoirs publics, afin de faciliter et d’organiser leur implantation sur le territoire, eu égard aux besoins de la population et des acteurs économiques du pays.

Propos recueillis par Alban Castres et Antoine Morlighem

Lexique :

Carrier hotel : nœud de réseau internet.
Colocation : data center hébergeant plusieurs clients, aux besoins différents.
Edge : centre localisé au plus près de l’utilisateur pour un maillage régional et territorial.
Hyperscale : grand data center, principalement destiné aux Gafam et aux services cloud.

Dossier spécial – Datacenters : construire l'autonomie numérique.