Publié le 30 septembre 2023 par : M. Saulignac, Mme Santiago, Mme Karamanli, M. Delaporte, M. Aviragnet, M. Baptiste, Mme Battistel, M. Mickaël Bouloux, M. Philippe Brun, M. Califer, M. David, M. Delautrette, M. Echaniz, M. Olivier Faure, M. Garot, M. Guedj, M. Hajjar, Mme Jourdan, Mme Keloua Hachi, M. Leseul, M. Naillet, M. Bertrand Petit, M. Bertrand Petit, Mme Pic, Mme Pires Beaune, M. Potier, Mme Rabault, Mme Rouaux, Mme Thomin, Mme Untermaier, M. Vallaud, M. Vicot, les membres du groupe Socialistes et apparentés.
Rédiger ainsi cet article :
« Les fournisseurs d’informatique en nuage et leurs intermédiaires mettent à disposition sur leur site internet les informations suivantes et les tiennent à jour :
« 1° Des informations concernant l’emplacement physique de toute l’infrastructure informatique déployée pour le traitement des données de leurs services individuels ;
« 2° L’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage ;
« 3° Une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné.
« Les sites internet mentionnés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d’informatique en nuage et leurs intermédiaires. »
Cet amendement du groupe Socialistes et apparentés vise à rétablir l'article 10 bis tel qu'il avait été adopté au Sénat.
L’article 10 bis avait initialement pour objectif de permettre aux utilisateurs d’un service de cloud de savoir dans quelle mesure un gouvernement étranger pouvait avoir accès à leurs données et de choisir in fine leurs fournisseur de manière éclairée.
La réécriture de cet article par la commission spéciale ne répond plus à cet enjeu de transparence.
Désormais il prévoit de n’imposer - qu’à une sélection restreinte de fournisseurs de cloud - d'informer uniquement les utilisateurs s’ils détiennent une certification de cybersécurité. Il ne s'appliquera donc qu'à un nombre limité de fournisseurs de cloud, un décret précisera les seuils d'activité en deçà desquels certains fournisseurs en seront exemptés, et les utilisateurs ne disposeront pas d'une information complète et fiable pour faire un choix éclairé.
Cette rédaction ne répond pas à l'urgence de renforcer l'information des utilisateurs sur les risques de transfert de données, ce qui est crucial pour la souveraineté française et européenne en matière de protection des données. Pour cela, nous demandons le rétablissement de l'article tel qu'il avait été proposé par notre collègue sénatrice Florence Blatrix Contat.
Aucun commentaire n'a encore été formulé sur cet amendement.