Publié le 26 janvier 2024 par : M. Lopez-Liguori, M. Allisio, Mme Auzanot, M. Ballard, M. Barthès, M. Baubry, M. Beaurain, M. Bentz, M. Berteloot, M. Bilde, M. Blairy, Mme Blanc, M. Boccaletti, Mme Bordes, M. Bovet, M. Buisson, M. Cabrolier, M. Catteau, M. Chenu, M. Chudeau, Mme Colombier, Mme Cousin, Mme Da Conceicao Carvalho, M. de Fournas, M. de Lépinau, M. Dessigny, Mme Diaz, Mme Dogor-Such, M. Dragon, Mme Engrand, M. Falcon, M. François, M. Frappé, Mme Galzy, M. Giletti, M. Gillet, M. Girard, M. Gonzalez, Mme Florence Goulet, Mme Grangier, M. Grenon, M. Guiniot, M. Guitton, Mme Hamelet, M. Houssin, M. Jacobelli, Mme Jaouen, M. Jolly, Mme Laporte, Mme Lavalette, Mme Le Pen, Mme Lechanteux, Mme Lelouis, Mme Levavasseur, Mme Loir, Mme Lorho, M. Lottiaux, M. Loubet, M. Marchio, Mme Martinez, Mme Alexandra Masson, M. Bryan Masson, M. Mauvieux, M. Meizonnet, Mme Menache, M. Meurin, M. Muller, Mme Mélin, M. Ménagé, M. Odoul, Mme Mathilde Paris, Mme Parmentier, M. Pfeffer, Mme Pollet, M. Rambaud, Mme Ranc, M. Rancoule, Mme Robert-Dehault, Mme Roullaud, Mme Sabatini, M. Sabatou, M. Salmon, M. Schreck, M. Taché de la Pagerie, M. Jean-Philippe Tanguy, M. Taverne, M. Tivoli, M. Villedieu.
I. – Compléter l’alinéa 1 par la phrase suivante :
« Ces données sont hébergées par un prestataire réunissant les conditions suivantes : »
II. – En conséquence, après le même alinéa 1, insérer les trois alinéas suivants :
« 1° Le siège statutaire, administration centrale et principal établissement du prestataire doivent être établis au sein d’un État membre de l’Union européenne ;
« 2° Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne ;
« 3° Ces entités tierces susmentionnées ne peuvent pas individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto, ou en vertu d’un contrat ou de clauses statutaires, désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire. »
Le présent chapitre du projet de loi vise à assurer une meilleure protection des données de l'administration. En effet, lors des discussions avec le prestataire et les consultants, des données stratégiques pour notre souveraineté nationale peuvent être échangées et stockées. Il est nécessaire que l'hébergement de ces données soit sécurisé. Or, l'extraterritorialité de droits extra européens, notamment américains, fait courir le risque à ces données d'être accessible à des autorités publiques non européennes. La loi FISA, étendue jusqu'en 2024, ou encore le Cloud Act, législations extraterritoriales américaines, permet aux autorités publiques de recueillir des données qui seraient hébergées par des entreprises américaines. Ici, seraient en danger non seulement des données de l'Etat et de ses établissements publics, mais aussi des autorités administratives et publiques indépendantes. Face à ces risques et pour protéger la souveraineté numérique du pays, cet amendement vise à appliquer les critères du label SecNumCloud de l'Agence Nationale des Systèmes d'Informations relatifs à la protection des services en nuage contre l'extraterritorialité de droits extra européens au prestataire qui hébergera les données recueillies dans le cadre des échanges avec les administrations.
Aucun commentaire n'a encore été formulé sur cet amendement.