EU Data Center Sustainability Reporting Compromised by Commercial Secrecy Provisions, Following Big Tech Lobbying

A recent investigation by the consortium Investigate Europe, partnered with outlets including Arte and Mediapart, alleges that major technology companies successfully lobbied to alter European Union legislation. The changes effectively prevent the public disclosure of critical environmental impact data from data centers, potentially violating foundational texts like the Aarhus Convention on public access to environmental information.

The core issue stems from a delegated act adopted in March 2024, supplementing the EU's Energy Efficiency Directive (EED). The EED, effective September 2023, established a common framework for rating data center sustainability. It mandates that owners/operators of data centers with at least 500 kW of installed power publish data on energy performance, water footprint, and demand-side flexibility. Required information includes the data center's name, owner, operator, location, operational start date, floor space, power capacity, annual data traffic volumes (incoming, outgoing, stored, and processed).

While the directive centralized this data in a European database for public release at an aggregated level (EU and member state), it included an exception for information protected as commercial or business secrets.

The March 2024 delegated act specified the Key Performance Indicators (KPIs) to be reported, such as:

* Electrical and cooling infrastructure redundancy levels

* IT equipment energy consumption and occupied space

* Average battery capacity

* Total potable water use

* Average set temperature for IT equipment intake air

* Refrigerant types

* Total renewable energy consumption

* Incoming/outgoing data bandwidth and traffic

However, Article 5 of this act—directly attributed to Big Tech lobbying—mandates that the European Commission and member states preserve the confidentiality of *all* information submitted to the database. The justification is that disclosure would harm the commercial interests of data center operators and owners. The article references the 2001 regulation on public access to EU documents and the 2003 directive on public access to environmental information, both of which allow refusal of access if disclosure undermines commercial interests.

Lobbying group DigitalEurope and Microsoft had explicitly invoked these arguments during the public consultation on the delegated act. Microsoft warned that raw data on power consumption and data traffic could guide competitors' investments and posed cybersecurity risks. For instance, bandwidth data could help attackers gauge the traffic volume needed to disrupt a data center. They argued for EU-level confidentiality protection, not national laws, and for the deletion of raw data once aggregated. They also sought to exclude certain KPIs not discussed in earlier phases (e.g., average battery capacity, refrigerant types).

According to Investigate Europe, Brussels adopted these suggestions nearly verbatim, operating on the belief that operators would cease reporting entirely if required to publish data on a per-facility basis. This move has drawn criticism from legal experts, who suggest it may conflict with the EU's transparency obligations under environmental law.

Les Big Tech ont fait modifier la législation de l’UE pour empêcher que soient divulguées au public des informations critiques sur l’impact environnemental des datacenters.

Tel est, dans les grandes lignes, le propos d’Investigate Europe. Le collectif, – dont Arte et Mediapart, entre autres, sont partenaires – suggère, à l’appui des témoignages d’une dizaine de juristes, que les modifications en question pourraient violer des textes fondamentaux. À commencer par la Convention d’Aarhus, qui tend à favoriser le droit d’accès à l’information en matière d’environnement.

Le secret commercial, explicite dans la directive efficacité énergétique…

Les dispositions problématiques sont inscrites dans un acte délégué de mars 2024, pris dans la continuité de la directive relative à l’efficacité énergétique. Cette dernière, entrée en vigueur en septembre 2023, avait ouvert la voie à un système commun de notation de la durabilité des datacenters dans l’UE. Elle impose aux propriétaires et aux exploitants de datacenters d’au moins 500 kW de publier des données concernant la performance énergétique, l’empreinte hydrique et la flexibilité de la demande. En l’occurrence, au minimum :

Nom du datacenter, du propriétaire et des exploitants, commune d’implantation, date de début d’activité

Superficie au sol, puissance installée, volume annuel de données entrantes et sortantes, volume de données stockées et traitées

La directive établit une centralisation de ces infos dans une base de données européenne, puis leur mise à disposition du public à un niveau agrégé (UE et États membres). Elle pose une exception pour celles soumises à la protection des secrets commerciaux et des secrets d’affaires ainsi que de la confidentialité.

… mais véritablement consacré dans un acte délégué

L’acte délégué a précisé les KPI à communiquer. Parmi eux :

Niveau de redondance des infras électrique et de refroidissement

Consommation d’énergie des équipements informatiques et surface occupée

Capacité moyenne des batteries

Apport total d’eau potable

Température de consigne moyenne de l’air d’admission des équipements informatiques

Types de réfrigérants

Consommation totale d’énergie renouvelable

Bande passante et trafic de données entrants et sortants

L’acte précise les éléments à rendre publics au niveau agrégé. À savoir la consommation d’énergie, la capacité informatique installée, l’utilisation d’eau et 4 indicateurs : PUE, WUE, ERF (réutilisation de l’énergie) et REF (taux d’énergies renouvelables).

Le texte introduit, en son article 5, la fameuse clause imputée aux Big Tech. Elle impose à la Commission européenne et aux États membres concernés de préserver la confidentialité de toutes les informations transmises à la base de données. Motif : il s’agit d’informations confidentielles portant atteint aux intérêts commerciaux des exploitants et des propriétaires de datacenters.

Référence est faite à deux textes. D’une part, le règlement de 2001 sur l’accès public aux documents du Parlement européen, du Conseil et de la Commission. De l’autre, la directive de 2003 relative à l’accès du public à l’information en matière d’environnement. L’un et l’autre permettent, respectivement aux institutions de l’UE et aux États membres, de refuser l’accès à un document si sa divulgation porte atteinte à la protection d’intérêts commerciaux.

C’est précisément ce que le lobby DigitalEurope avait invoqué dans le cadre de la consultation publique sur cet acte délégué. Microsoft en avait fait autant, brandissant les risques que posait le mécanisme envisagé. En particulier, l’obtention de données confidentielles par des concurrents et des ONG au nom des deux textes susmentionnés. Bruxelles a repris leurs suggestions presque mot pour mot.

L’argument de la sécurité informatique

Microsoft affirmait que des données brutes telles que la consommation électrique et le trafic de données étaient susceptibles de guider les concurrents dans leurs investissements. Il avançait aussi l’argument de la sécurité informatique. La bande passante, par exemple, peut indiquer à des attaquants le volume de trafic nécessaire pour perturber un datacenter. Tandis qu’une trop forte granularité des flux de données facilite l’évaluation de l’impact des attaques.

DigitalEurope & Cie appelaient à protéger la confidentialité de ces informations au niveau de l’UE. Et non pas à laisser cet aspect aux législations nationales, a fortiori vu le « manque de clarté » à ce sujet. Ils plaidaient aussi pour une suppression de ces données une fois agrégées. Et pour l’exclusion de certains éléments qui n’avaient pas été abordés lors de la phase de préfiguration en 2023 (capacité moyenne des batteries, types de réfrigérants, données entrantes et sortantes…). Tout en demandant des clarifications pour les opérateurs de colocation : comment allaient-ils assurer la confidentialité des données clients, surtout s’ils étaient aussi cloud providers ? Une des solutions proposées consistait à développer une interface spécifique sur la base de données de l’UE. Elle aurait permis aux opérateurs de créer un profil par datacenter, puis de permettre à leurs clients de fournir leurs propres informations.

D’après Investigate Europe, Bruxelles est d’avis que peu importe leurs obligations, les exploitants arrêteraient de communiquer des données s’il fallait les publier datacenter par datacenter.

Illustration générée par IA

The post Datacenters : la mesure d’impact environnemental se heurte au secret commercial appeared first on Silicon.fr.