Publié le 29 septembre 2023 par : M. Chassaigne, Mme K/Bidi, Mme Bourouaha.
Rétablir cet article dans la rédaction suivante :
« I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès, direct ou indirect par l’intermédiaire de toute personne physique ou morale, d’un État tiers, non autorisé par les autorités publiques aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311‑5 et L. 311‑6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111‑8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
« II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au I du présent article, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au même I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
« Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.
« Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de veto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire. »
Le présent amendement vise à rétablir l'article 10 bis A dans la rédaction issue du Sénat. L'autonomie stratégique française et européenne et la protection de nos données stratégiques et sensibles, notamment vis-à-vis des États tiers, sont des enjeux prioritaires. Il convient donc de rehausser notre niveau de protection collective face aux risques et aux menaces que les législations extraterritoriales, notamment extracommunautaires, font peser sur nos données dites sensibles, qu'il s'agisse des données personnelles de santé, par exemple, ou des données nécessaires à l’accomplissement des missions essentielles de l’État.
Inciter les fournisseurs de services d’informatique en nuage à prendre toutes les précautions nécessaires pour éviter les accès à nos données d’États tiers non autorisés par nos autorités publiques comme le propose le présent article est une première étape dans la défense de notre souveraineté numérique, qui appelle des engagements français et européens beaucoup plus ambitieux.
Aucun commentaire n'a encore été formulé sur cet amendement.