Intervention de Agnès Carel

Cet amendement tend à ce que l'État et les administrations, dans le cadre des marchés publics, aient recours à des cabinets de conseil garants d'un cloud immunisé vis-à-vis des législations extraterritoriales dès lors que vont être traitées des données particulièrement sensibles, et ce en cohérence avec les efforts de protection des données sensibles de l'État et de ses administrations. Je fais référence ici à la circulaire dite cloud au centre de 2021, actualisée en 2023, qui impose des critères stricts de sécurité aux clouds hébergeant des données sensibles ou stratégiques de services de l'État.

Il convient que les administrations s'assurent des critères des clouds sur lesquels les cabinets de conseil hébergent les données qui leur sont confiées. Je rappelle que, lors du débat sur la loi Sren, nous avons tous souhaité inscrire cette circulaire dans la loi. Aucun parmi nous n'a voté contre. L'absence de règles spécifiques de sécurité pour les cabinets de conseil qui traitent des données particulièrement sensibles constitue donc une brèche majeure dans la protection des données de l'administration.

Si cet amendement n'était pas adopté, la mise en œuvre de la circulaire dite cloud au centre serait en péril. En effet, à quoi bon obliger l'État et ses opérateurs à héberger leurs données sensibles ou stratégiques sur des clouds souverains si c'est pour laisser les mêmes données exposées à des législations étrangères lorsqu'elles sont confiées à des cabinets de conseil ? Ce serait incohérent.