Publié le 29 septembre 2023 par : M. Coulomme, Mme Abomangoli, M. Alexandre, M. Amard, Mme Amiot, Mme Amrani, M. Arenas, Mme Autain, M. Bernalicis, M. Bex, M. Bilongo, M. Bompard, M. Boumertit, M. Boyard, M. Caron, M. Carrière, M. Chauche, Mme Chikirou, M. Clouet, M. Coquerel, M. Corbière, Mme Couturier, M. Davi, M. Delogu, Mme Dufour, Mme Erodi, Mme Etienne, M. Fernandes, Mme Ferrer, Mme Fiat, M. Gaillard, Mme Garrido, Mme Guetté, M. Guiraud, Mme Hignet, Mme Keke, M. Kerbrat, M. Lachaud, M. Laisney, M. Le Gall, Mme Leboucher, Mme Leduc, M. Legavre, Mme Legrain, Mme Lepvraud, M. Léaument, Mme Pascale Martin, Mme Élisa Martin, M. Martinet, M. Mathieu, M. Maudet, Mme Maximi, Mme Manon Meunier, M. Nilor, Mme Obono, Mme Oziol, Mme Panot, M. Pilato, M. Piquemal, M. Portes, M. Prud'homme, M. Quatennens, M. Ratenon, M. Rome, M. Ruffin, M. Saintoul, M. Sala, Mme Simonnet, Mme Soudais, Mme Stambach-Terrenoir, Mme Taurinya, M. Tavel, Mme Trouvé, M. Vannier, M. Walter.
Rédiger ainsi cet article :
« I. – Pour chacun des services qu’ils proposent à leurs clients, lorsque ces services disposent d’une qualification de l’Agence nationale de la sécurité des systèmes d’information ou d’un certificat de cybersécurité européen au sens du Règlement (UE) 2019/881 en date du 17 avril 2019 (règlement sur la cybersécurité) en cours de validité, les fournisseurs d’informatique en nuage et leurs intermédiaires publient, de façon claire et compréhensible, les informations relatives à la nature et au niveau de cette qualification ou certification.
« Cette publication doit perdurer pendant toute la durée de l’offre du service d’informatique en nuage aux clients et peut notamment prendre la forme d’une information publiée sur le site internet du fournisseur d’informatique en nuage, sous réserve d’être facilement accessible par le public.
« II. – Les fournisseurs d’informatique en nuage et leurs intermédiaires publient les informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie couvrant le cycle de vie de l’infrastructure informatique déployée pour le traitement des données de leurs services individuels. L’indice est calculé à partir de données de référence mises à disposition par l’Agence de l’environnement et de la maîtrise de l’énergie.
« III. – Les fournisseurs d’informatique en nuage et leurs intermédiaires publient les informations concernant l’emplacement physique de toute l’infrastructure informatique déployée pour le traitement des données de leurs services individuels.
« IV. – Les fournisseurs d’informatique en nuage et leurs intermédiaires publient l’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage.
« V. – Les fournisseurs d’informatique en nuage et leurs intermédiaires publient une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné.
« Les sites internet mentionnés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d’informatique en nuage et leurs intermédiaires.
« VI. – Un décret précise le contenu, les modalités d’application et les délais de mise en œuvre des obligations mentionnées aux alinéas précédents, ainsi que le ou les seuils d’activité en deçà desquels les fournisseurs de service d’informatique en nuage n’y sont pas assujettis. »
Par cet amendement de réécriture de l'article 10 bis, nous proposons de compléter la rédaction de la rapporteure avec tous les éléments de transparence qu'elle a choisi d'écarter.
En effet, son amendement de réécriture a supprimé des obligations pourtant essentielles adoptées lors de l'examen du texte au Sénat. Il s'agit des informations concernant l’emplacement physique de toute l’infrastructure informatique déployée pour le traitement des données de leurs services individuels, l’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage et une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné.
Toutes ces obligations concernent à la fois les fournisseurs d’informatique en nuage mais aussi leurs intermédiaires.
Aucun commentaire n'a encore été formulé sur cet amendement.