Intervention de Anne Le Hénanff

Je me réjouis de commencer l'examen en séance du projet de loi visant à sécuriser et réguler l'espace numérique. En tant que rapporteure thématique, j'ai eu l'honneur de travailler sur le titre III, relatif non seulement à l'encadrement du marché de l'informatique en nuage – notamment des crédits cloud et des frais de transfert –, mais aussi à la sécurisation de l'hébergement des données, à la portabilité et à l'interopérabilité.

Je tiens à saluer le travail de nos collègues sénateurs, qui ont enrichi le texte et engagé des débats que nous ne manquerons pas de poursuivre dans cet hémicycle, ainsi que celui de nos collègues députés qui préparent l'examen du texte depuis plusieurs semaines. Je remercie également les acteurs du domaine qui, jusqu'à la dernière minute, ont contribué à m'éclairer afin de rendre le titre III aussi réaliste que possible.

Le titre III anticipe en grande partie le règlement européen sur les données, dit Data Act. Il vise à favoriser la concurrence sur le marché du cloud par la régulation de certaines pratiques, tout en soutenant les acteurs français et européens.

Le projet de loi s'inscrit dans la continuité des fortes évolutions intervenues dans le droit européen, tels le DSA, le DMA ou encore le Data Act. Ces règlements ont permis d'harmoniser notre droit et de réaliser de réelles avancées dans le domaine du numérique. Je m'en félicite d'autant plus que les positions de la France ont été largement suivies par nos partenaires s'agissant de divers sujets clés.

Cette trajectoire n'est pas achevée : il nous reste à adopter au niveau européen la version définitive du Data Act. Par ailleurs, les négociations relatives à l'EUCS, le schéma européen de certification de sécurité, sont toujours en cours, et la France y joue pleinement son rôle. Il importe donc de garder à l'esprit, comme je m'y suis efforcée tout au long des travaux préparatoires, qu'au-delà de l'adaptation de notre droit aux textes européens déjà finalisés, nous devons aussi, lorsque nous anticipons les textes européens à venir, trouver le juste équilibre et adopter des dispositions conformes, autant que possible, aux négociations en cours.

Au Sénat comme au sein de notre commission spéciale, la protection des données et plus particulièrement leur hébergement ainsi que la transparence sur leurs conditions de sauvegarde ont été au cœur des débats. Je suis convaincue qu'il nous faut trouver des solutions efficaces et pragmatiques sur ces questions essentielles. Pour cela, nous devons nous appuyer sur l'expertise des acteurs auditionnés et sur le contexte réel, au niveau opérationnel et réglementaire, français et européen.

C'est dans ce cadre que j'ai déposé en commission un amendement de suppression de l'article 10 bis A. On dit souvent que l'enfer est pavé de bonnes intentions. L'article 10 bis A en est un parfait exemple. En inscrivant un tel dispositif dans la loi, nous ne ferions qu'affaiblir la position française au niveau européen ainsi que la filière cloud française, sans parler du fait que le dispositif proposé n'est pas opérationnel.

Je tiens à rappeler qu'un certain nombre de dispositifs législatifs et réglementaires ont été créés ces dernières années, très souvent à l'initiative de la France, comme l'a souligné M. le ministre délégué : le RGPD – règlement général sur la protection des données –, le référentiel SecNumCloud, le référentiel HDS – hébergeur de données de santé –, lequel fait actuellement l'objet d'une révision.

En outre, la circulaire du 31 mai dernier actualisant la doctrine « cloud au centre » établit un cadre réglementaire pour les données des administrations centrales. Sur ce dernier point, j'ai la conviction que nous devrons aller plus vite et plus loin.

Enfin, la filière du cloud français se structure. Elle compte des entreprises de grande qualité ; nombre d'entre elles développent une offre de cloud sécurisé certifiée SecNumCloud ou sont en cours de certification. Elles ont l'ambition d'occuper une place de premier plan sur le marché du cloud européen. Pour la réaliser, elles ont besoin de temps, d'un environnement porteur, d'un accompagnement de la part de l'État et d'une organisation de la filière. Instaurer dès maintenant une norme franco-française serait contre-productif !

En tant que législateurs, nous devons trouver un équilibre entre deux priorités : protéger les données de nos concitoyens et de nos organisations ; créer l'environnement propice au développement d'une filière cloud française sur un marché de 450 millions d'habitants. Je me réjouis d'avance des débats qui s'ouvrent dans cet hémicycle sur un projet de loi d'une importance majeure pour la France.