Publié le 22 mars 2024 par : M. Lopez-Liguori, M. Allisio, Mme Auzanot, M. Ballard, M. Barthès, M. Baubry, M. Beaurain, M. Bentz, M. Berteloot, M. Bilde, M. Blairy, Mme Blanc, M. Boccaletti, Mme Bordes, M. Bovet, M. Buisson, M. Cabrolier, M. Catteau, M. Chenu, M. Chudeau, Mme Colombier, Mme Cousin, Mme Da Conceicao Carvalho, M. de Fournas, M. de Lépinau, M. Dessigny, Mme Diaz, Mme Dogor-Such, M. Dragon, Mme Engrand, M. Falcon, M. François, M. Frappé, Mme Galzy, M. Giletti, M. Gillet, M. Girard, M. Gonzalez, Mme Florence Goulet, Mme Grangier, M. Grenon, M. Guiniot, M. Guitton, Mme Hamelet, M. Houssin, M. Jacobelli, Mme Jaouen, M. Jolly, Mme Laporte, Mme Lavalette, Mme Le Pen, Mme Lechanteux, Mme Lelouis, Mme Levavasseur, Mme Loir, Mme Lorho, M. Lottiaux, M. Loubet, M. Marchio, Mme Martinez, Mme Alexandra Masson, M. Bryan Masson, M. Mauvieux, M. Meizonnet, Mme Menache, M. Meurin, M. Muller, Mme Mélin, M. Ménagé, M. Odoul, Mme Mathilde Paris, Mme Parmentier, M. Pfeffer, Mme Pollet, M. Rambaud, Mme Ranc, M. Rancoule, Mme Robert-Dehault, Mme Roullaud, Mme Sabatini, M. Sabatou, M. Salmon, M. Schreck, M. Taché de la Pagerie, M. Jean-Philippe Tanguy, M. Taverne, M. Tivoli, M. Villedieu.
I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers, non autorisé par les autorités publiques, direct ou indirect par l’intermédiaire de toute personne physique ou morale, aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311‑5 et L. 311‑6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111‑8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au présent I, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au dudit I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.
Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
Cet amendement reprend un amendement sénatorial déposé sur la loi Sécuriser et réguler le numérique, adopté au Sénat puis supprimé à l'Assemblée. Il a pour but de réagir à certaines mesures à portée extraterritoriale prises par des pays extra européens, et notamment par les Etats Unis, afin de protéger notre pays de toute ingérence étrangère.
Ainsi l'Executive Order de Joe Biden du 28 février vise à protéger les données personnelles des Américains d'un accès par des "pays préoccupants". Ce texte permet à l'Attorney General de décider qui doit obtenir une autorisation délivrée par le gouvernement américain avant de rendre des données d'Américains potentiellement accessibles par des entités étrangères. L'Attorney General sera en mesure d'imposer à toute personne américaine de cesser de continuer à permettre "en toute connaissance de cause" un accès aux données personnelles d'Américains. Ce règlement peut indirectement toucher des entités européennes qui utiliseraient des clouds américains. Il est également relevé que l'executive order laisse une grande latitude à l'Attorney general pour déterminer qui serait visé par ce texte.
En ayant seulement recours à des entreprises françaises ou européennes pour l'hébergement de leurs données sensibles, comme le propose cet amendement, les autorités publiques françaises atténueront sensiblement le risque de se voir privées de cloud ainsi que le risque d'ingérence étrangère (et ceci aussi notamment via le Cloud act ou le FISA) et de pillage de données. Cela encouragera également une industrie numérique en grande demande de commande publique.
Aucun commentaire n'a encore été formulé sur cet amendement.