|
commission des lois |
Proposition de loi Sécurisation des marchés publics numériques (1ère lecture) (n° 8 ) |
N° COM-1 8 décembre 2025 |
AMENDEMENTprésenté par |
|
||||
|
Mme Olivia RICHARD, rapporteure ARTICLE UNIQUE |
|||||
Rédiger ainsi cet article :
I. - Après l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, il est inséré un article 31 ... ainsi rédigé :
« Article 31 ... . - I. – Le I de l’article 31 de la présente loi est applicable aux régions, aux départements, aux communes d’une population supérieure à 30 000 habitants, aux communautés urbaines, aux communautés d’agglomération ainsi qu’aux métropoles.
« II. – Lorsqu’à la date d’entrée en vigueur du présent article, une collectivité territoriale ou un établissement public de coopération intercommunale mentionné au I a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage ou qu’il justifie de difficultés techniques ou d’un risque de surcoût important, cette collectivité territoriale ou cet établissement public de coopération intercommunale peut déroger audit I ».
II. - Le I entre en vigueur le 1er janvier 2028.
Objet
Le présent amendement propose une réécriture de l’article unique de la proposition de loi visant à sécuriser les marchés publics numériques.
Afin de se conformer au cadre juridique français et européen de la commande publique, qui n’admet des restrictions d’accès aux marchés publics qu’en raison d’un motif impérieux d’intérêt général, l’amendement propose de restreindre les exigences d’hébergement souverain et sécurisé pour les seules données sensibles définies par l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (Sren).
Il prévoit en outre une restriction des entités soumises à ces obligations de protection, en excluant les communes de moins de 30 000 habitants ainsi que les communautés de communes qui risqueraient de ne pas disposer de ressources humaines et techniques suffisantes afin d’adapter leurs marchés publics, et pour lesquelles le risque d’interception des données par une autorité publique étrangère est plus faible selon l’agence nationale de sécurisation des systèmes d’information (ANSSI). Ces entités ont également été exemptées des obligations nouvelles en matière de cybersécurité prévues par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en cours d’examen à l’Assemblée nationale.
Le marché français et européen du cloud étant encore en cours de maturation, le présent amendement prévoit, de plus, une entrée en vigueur différée du dispositif, au 1er janvier 2028, afin de permettre aux prestataires souverains de développer une offre à moindre coût et d’être en mesure de répondre à une hausse des sollicitations.
Enfin, l’amendement prévoit un mécanisme de dérogation pour les collectivités ou les EPCI qui, à la date d’entrée en vigueur de l'article, auraient déjà engagé un projet nécessitant le recours à un service d’informatique en nuage, rencontreraient des difficultés techniques pour se conformer au dispositif, ou justifieraient d’un surcoût important causé par le changement de prestataire.
Ainsi, sans trahir l’intention légitime et l’objectif politique de l’auteur appelant à une prise de conscience globale de la nécessité d’assurer un hébergement souverain des données stratégiques, le présent amendement propose une voie médiane permettant d’assurer une mise en œuvre progressive, facilitée et réaliste pour les acheteurs publics.