Publié le 19 septembre 2023 par : Mme Le Hénanff.
Rédiger ainsi cet article :
« I. – Pour chacun des services qu’ils proposent à leurs clients, lorsque ces services disposent d’une qualification de l’Agence nationale de la sécurité des systèmes d’information ou d’un certificat de cybersécurité européen au sens du Règlement (UE) 2019/881 en date du 17 avril 2019 (règlement sur la cybersécurité) en cours de validité, les fournisseurs d’informatique en nuage publient, de façon claire et compréhensible, les informations relatives à la nature et au niveau de cette qualification ou certification.
« Cette publication doit perdurer pendant toute la durée de l’offre du service d’informatique en nuage aux clients et peut notamment prendre la forme d’une information publiée sur le site internet du fournisseur d’informatique en nuage, sous réserve d’être facilement accessible par le public.
« II. – Les fournisseurs d’informatique en nuage publient des informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie.
« III. – Un décret précise le contenu, les modalités d’application et les délais de mise en œuvre des obligations mentionnées au I et au II, ainsi que le ou les seuils d’activité en deçà desquels les fournisseurs de service d’informatique en nuage n’y sont pas assujettis. »
Cet article, inséré au Sénat, met en avant un sujet majeur pour notre pays : la protection réelle et effective des données hébergées par les fournisseurs de services d'informatique en nuage.
Néanmoins, les échanges menés avec les acteurs concernés indiquent que cet article nécessite d'être clarifié dans sa rédaction pour être conforme au règlement européen sur les données (Data Act) et pleinement opérationnel.
Cet amendement vise en conséquence à reformuler l’article 10 bis afin de véritablement renforcer, d’une part, la transparence sur le niveau de garanties en matière de cybersécurité offert par les services d’informatique en nuage, en s’appuyant sur les schémas de certification de cybersécurité nationaux et européens, et d’autre part, par voie de conséquence, de permettre aux utilisateurs de choisir de manière plus éclairée les services qui répondent le mieux à leurs besoins de protection des données, y compris vis-à-vis des atteintes aux données les plus sensibles par le biais de lois extra-européennes à portée extraterritoriale.
Enfin, le présent amendement enrichit l’article 10 bis en matière de transparence en y intégrant une obligation générale d’information sur l’empreinte environnementale des services d’informatique en nuage, dont les modalités d’application, notamment les données qui devront être publiées, seront précisées par décret, en lien étroit avec l’écosystème des fournisseurs.
Aucun commentaire n'a encore été formulé sur cet amendement.