Publié le 29 septembre 2023 par : Mme Belluco, Mme Arrighi, M. Bayou, Mme Chatelain, Mme Garin, M. Julien-Laferrière, M. Lucas, M. Peytavie, M. Raux, Mme Rousseau, Mme Sebaihi, Mme Taillé-Polian.
Rétablir cet article dans la rédaction suivante :
« I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers, non autorisé par les autorités publiques, direct ou indirect par l’intermédiaire de toute personne physique ou morale, aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311‑5 et L. 311‑6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111‑8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
« II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au présent I, les autorités publiques et les entreprises privées s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au dudit I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
« Les autorités publiques et les entreprises privées s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.
« Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
« Un décret en Conseil d’État précise les données stratégiques et sensibles concernées par cet article. »
Amendement issu des travaux du groupe d'études Economie, sécurité et souveraineté numériques
L'article 10bisA, adopté au Sénat et supprimé en Commission spéciale, visait d'une part à obliger les fournisseurs de cloud à prendre toute mesure nécessaire pour empêcher tout accès par un Etat tiers aux données sensibles ou à caractère personnel, et d'autre part à réserver la commande publique en matière de cloud à des entreprises européennes. Pour ce dernier point, l'article s'inspirait du référentiel "SecnumCloud" établi par l'Agence Nationale de la sécurité des systèmes d'informations (ANSSI). La protection de nos données stratégiques et sensibles, notamment vis-à-vis des États tiers, doit être une priorité. Par ailleurs, le levier de la commande publique est indispensable pour permettre à une véritable industrie numérique européenne de se développer. C'est pourquoi il est proposé par cet amendement de rétablir l'article 10bisA, avec une variation visant à étendre son champ d'application puisqu'il est proposé qu'il s'applique aussi bien aux autorités publiques qu'aux entreprises privées qui traitent des données sensibles.
Aucun commentaire n'a encore été formulé sur cet amendement.