Publié le 20 janvier 2024 par : M. Lopez-Liguori, M. Baubry, Mme Bordes, Mme Diaz, M. Gillet, M. Guitton, M. Houssin, Mme Lorho, M. Ménagé, M. Rambaud, Mme Roullaud.
Après l’alinéa 1, insérer les quatre alinéas suivants :
« Ces données sont hébergées par un prestataire réunissant les conditions suivantes :
« 1° Le siège statutaire, administration centrale et principal établissement du prestataire doivent être établis au sein d’un État membre de l’Union Européenne ;
« 2° Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne ;
« 3° Ces entités tierces susmentionnées ne peuvent pas individuellement ou collectivement en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto, ou en vertu d’un contrat ou de clauses statutaires, désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire. »
Le présent chapitre du projet de loi vise à assurer une meilleure protection des données de l'administration. En effet, lors des discussions avec le prestataire et les consultants, des données stratégiques pour notre souveraineté nationale peuvent être échangées et stockées. Il est nécessaire que l'hébergement de ces données soit sécurisé. Or, l'extraterritorialité de droits extra européens, notamment américains, fait courir le risque à ces données d'être accessible à des autorités publiques non européennes. La loi FISA, étendue jusqu'en 2024, ou encore le Cloud Act, législations extraterritoriales américaines, permet aux autorités publiques de recueillir des données qui seraient hébergées par des entreprises américaines. Ici, seraient en danger non seulement des données de l'Etat et de ses établissements publics, mais aussi des autorités administratives et publiques indépendantes. Face à ces risques et pour protéger la souveraineté numérique du pays, cet amendement vise à appliquer les critères du label SecNumCloud de l'Agence Nationale des Systèmes d'Informations relatifs à la protection des services en nuage contre l'extraterritorialité de droits extra européens au prestataire qui hébergera les données recueillies dans le cadre des échanges avec les administrations.
Aucun commentaire n'a encore été formulé sur cet amendement.