Sécurisation des marchés publics numériques
Mme la présidente. - L'ordre du jour appelle la discussion de la proposition de loi relative à la sécurisation des marchés publics numériques, présentée par M. Dany Wattebled et plusieurs de ses collègues, à la demande du groupe INDEP.
Discussion générale
M. Dany Wattebled, auteur de la proposition de loi . - (Applaudissements sur les travées du groupe INDEP et sur quelques travées du groupe UC ; M. Simon Uzenat applaudit également.) Cette proposition de loi s'inscrit dans la continuité de la commission d'enquête sur la commande publique, dont j'étais rapporteur, sous la présidence de Simon Uzenat. Grâce à 51 auditions, trois déplacements, 134 structures rencontrées, nous avons dressé un panorama complet, parfois dérangeant, mais instructif.
La commande publique est un des moteurs de l'économie française : 400 milliards d'euros par an, 14 % du PIB, 80 % des marchés portés par les collectivités. Mais les élus et les entreprises peinent à naviguer au milieu de procédures lourdes, complexes et anxiogènes par crainte du contentieux pénal. L'empilement des obligations donne l'impression d'une machine administrative qui s'éloigne du terrain.
La commande publique numérique est en croissance. C'est un enjeu de souveraineté, de sécurité, de liberté pour nos politiques publiques.
Le président Europe de Microsoft n'a pas pu nous garantir que les données des citoyens français ne seraient jamais transmises à une puissance étrangère sans l'accord des autorités françaises. C'est le résultat du droit extraterritorial américain, le Cloud Act et le Foreign Intelligence Surveillance Act (Fisa).
Nous avons longuement travaillé sur le Health Data Hub. La ministre de la santé Agnès Buzyn nous avait dit sans détour que c'était Microsoft ou rien, selon une note de son cabinet validée par la Direction interministérielle du numérique (Dinum), avec l'aval de la Cnil.
Résultat : 80 millions d'euros d'engagés et 60 millions de données françaises transférées outre-Atlantique ; cherchez l'erreur. On nous a dit que ce choix, provisoire, était contraint par l'urgence ; six mois plus tard, l'urgence est devenue une habitude, le provisoire une dépendance et la dépendance, une doctrine - en contradiction avec le discours au sommet de l'État sur la souveraineté numérique.
Même chose pour l'éducation nationale, sans avis conforme de la Dinum, pour 152 millions d'euros sur quatre ans. La DGSI, elle, a renouvelé pour trois ans son contrat avec Palantir Technologies, société fondée en 2003 avec l'aide d'un fonds d'investissement dépendant de la CIA. C'est le comble !
De l'aveu de son président, l'Union des groupements d'achats publics (Ugap) ne conseille pas suffisamment ses clients en matière de souveraineté numérique, et des progrès doivent encore être accomplis. C'est le moins que l'on puisse dire !
On compte 460 millions d'euros de licences Microsoft pour les ministères et 300 millions pour les collectivités territoriales, soit 1 milliard d'euros qui n'ira ni à des entreprises européennes, ni à des solutions souveraines ; autant d'argent qui finance notre dépendance aux technologies étrangères. Inversement, pendant vingt ans, Elon Musk a profité de la commande publique américaine.
Nos entreprises n'ont pas besoin de subventions compassionnelles, mais de commandes publiques courageuses.
Nous avons des outils, mais ne les utilisons pas. Nous persistons à confier nos données publiques à des sociétés étrangères. La commission d'enquête a établi que cela fait peser un risque juridique, mais aussi un risque stratégique majeur. Sa recommandation 24 qui inspire cette proposition de loi en découle : il faut sécuriser les acheteurs et faire de la commande publique un levier pour nos opérateurs.
Il reste du travail : directive européenne, Small Business Act, structuration des filières, montée en puissance du cloud de confiance -, mais ce texte est une première étape essentielle. Je salue le travail de la rapporteure Olivia Richard (Mme Dominique Vérien renchérit.) ; son amendement consolide l'équilibre du texte et en assure la conformité au droit français et européen.
L'article 31 de la loi Sren demeure inapplicable, faute de décret. Madame la ministre, je vous demande solennellement d'y remédier dans les plus brefs délais, afin que les acheteurs publics disposent du cadre clair et opérationnel voté par le Parlement.
Nous sommes en guerre économique : chaque jour compte - d'où mon amendement sur l'entrée en vigueur du dispositif l'année suivant l'adoption de la loi, en raison de la multiplication des cyberattaques et des risques d'ingérences étrangères ciblant des collectivités territoriales.
Le marché français du cloud souverain est à même de répondre aux besoins des grandes collectivités. Ce texte est une évolution de bon sens : nécessité fait loi. Adoptez-le avec conviction, pour que la commande publique soit au service de notre souveraineté numérique. (Applaudissements)
Mme Olivia Richard, rapporteure de la commission des lois . - (Applaudissements sur les travées du groupe UC et sur quelques travées du groupe Les Républicains ; M. Pierre Jean Rochette applaudit également.) Cette proposition de loi renforce la sécurité et la confidentialité des données publiques hébergées à distance, dans des nuages. C'est le fruit du travail de la commission d'enquête de Dany Wattebled et Simon Uzenat, auquel a participé Catherine Morin-Desailly. Si le risque de cyberattaques est bien identifié, on minimise le risque de détournement de données du fait de législations extraterritoriales
Les données hébergées en nuage sont en effet soumises à des règles de communication sur lesquelles nous n'avons pas la main - Cloud Act et Fisa aux États-Unis, législations indienne ou chinoise - y compris lorsque les données sont hébergées sur des serveurs à l'étranger.
Devant les crises géopolitiques actuelles, la lucidité et le pragmatisme doivent primer. Il faut souligner l'action du ministère de l'Europe et des affaires étrangères qui a lancé une stratégie numérique exemplaire depuis plusieurs années pour sécuriser les services aux Français établis hors de France, grâce au recours à un nuage interne. Preuve que la souveraineté numérique est atteignable ! Les autres administrations ont des résultats plus hétérogènes.
L'article 31 de la loi Sren impose aux opérateurs de l'État et de l'administration d'héberger leurs données dans un cloud souverain, français ou européen. Les travaux de la commission d'enquête ont démontré que ces exigences de protection ne sont que partiellement appliquées. Les clouds souverains représentent 63 % des marchés des administrations : c'est encore insuffisant. Nous n'avons aucune donnée sur les collectivités territoriales, qui détiennent des données sensibles, alors même qu'elles font l'objet de nombreuses cyberattaques.
Cette proposition de loi renforce substantiellement le niveau de protection des données publiques. La commission des lois souscrit aux objectifs du texte, qu'elle a toutefois modifié pour le rendre plus cohérent au regard du cadre juridique existant et pour faciliter sa mise en oeuvre dans les collectivités territoriales.
La proposition de loi rend obligatoire l'hébergement souverain des seules données sensibles au sens de la loi Sren, afin de rester conforme au droit européen et aux règles de l'OMC, selon lesquels toute préférence doit être justifiée et proportionnée : écarter systématiquement les opérateurs étrangers aurait fait courir un risque de contentieux.
Nous avons levé les contraintes opérationnelles pesant sur les collectivités territoriales, qui n'ont ni les ressources humaines ni les leviers financiers pour faire face à ces mises aux normes. La Cour des comptes estime ainsi que le recours à une offre certifiée SecNumCloud, c'est-à-dire souveraine et hautement sécurisée, suppose des tarifs jusqu'à 40 % supérieurs aux offres traditionnelles.
En conséquence, la commission a exclu du champ les petites communes de moins de 30 000 habitants et les communautés de communes - en cohérence avec le projet de transposition de la directive NIS 2, en cours d'examen par l'Assemblée nationale.
Elle a en outre prévu une dérogation pour les collectivités qui auraient engagé un projet et ne pourraient l'abandonner sans surcoûts importants. Nous voulons tenir compte de l'état de préparation des acheteurs. Laissons aux entreprises européennes et françaises le temps de baisser leurs coûts.
Le marché du cloud européen est en plein essor. Les coûts seront réduits à terme.
La commission a retenu une entrée en vigueur le 1er janvier 2028. Pourquoi un tel délai ? Le texte doit être examiné à l'Assemblée nationale ; les collectivités vont faire face à des échéances électorales avant de cartographier les données sensibles qu'elles détiennent ; ce délai doit leur permettre d'agir avec précision et non précipitation ; l'important est que la sécurisation soit effective.
L'amendement de M. Wattebled propose une entrée en vigueur un an après la promulgation, ce qui permet de lever les doutes sur la durée de la navette ; je salue cette proposition de compromis.
Cette proposition de loi prend la mesure des défis auxquels nous faisons face, avec un dispositif pragmatique et ambitieux - et précurseur en Europe. Je salue Dany Wattebled qui a provoqué cette prise de conscience au sein de notre institution. (Applaudissements)
M. Pierre Jean Rochette. - C'est sûr !
Mme Anne Le Hénanff, ministre déléguée chargée de l'intelligence artificielle et du numérique . - La commande publique numérique est au coeur de mon engagement pour la souveraineté numérique ; celle-ci repose en effet sur une offre nationale compétitive, la réduction de nos dépendances et la volonté de faire respecter nos règles et nos valeurs. Nous voulons faire du cloud un levier de compétitivité pour nos entreprises, tout en développant une offre de confiance garantissant le respect de notre droit, de nos exigences de sécurité et de nos valeurs.
Nous ne partons pas d'une feuille blanche. La stratégie cloud se décline en trois piliers : cloud de confiance, doctrine « cloud au centre », soutien à l'offre nationale de cloud dans France 2030.
Nous avons levé les freins à la concurrence en structurant la filière, par la création d'un comité stratégique de filière cloud en 2022 et par l'adoption de la loi Sren en 2023. Le cloud peut renforcer notre souveraineté numérique à condition d'être maîtrisé, sécurisé et encadré.
Le cloud est un levier structurant de la transformation publique, mais cette transition nécessite de sécuriser les données sensibles. Nous avons travaillé à la mise en place de la labellisation SecNumCloud avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui garantit un très haut niveau de sécurité, notamment face au risque d'ingérences. Des offres de plus en plus nombreuses sont qualifiées et utilisées par les administrations.
La protection des données numérique ne peut se réduire à la seule question des lois extraterritoriales. Il faut aussi prendre en compte la question de la cybersécurité.
La revue nationale stratégique 2025 a érigé la notion de cyber-résilience de la nation au rang de priorité stratégique ; c'est l'objet du projet de loi Résilience adopté par le Sénat. Le Gouvernement présentera prochainement sa stratégie nationale de cybersécurité à l'horizon 2030.
Je salue les travaux de MM. Wattebled et Uzenat, qui s'inscrivent dans la continuité de ceux de Mme Havet, et remercie la rapporteure Olivia Richard.
Je peux témoigner de l'engagement du Gouvernement pour faire évoluer le cadre applicable aux marchés publics numériques : lors du sommet franco-allemand à Berlin dédié à la souveraineté numérique, nous avons lancé un groupe de travail sur la souveraineté numérique européenne, jalon d'une préférence européenne ; en 2026 la directive-cadre européenne sur les marchés publics sera revue ; cette proposition de loi concilie modernisation, souveraineté et sécurité. (Applaudissements sur les travées des groupes INDEP, UC et SER)
M. David Amiel, ministre délégué chargé de la fonction publique et de la réforme de l'État . - Quand l'État ou une collectivité passe un marché public numérique, ce n'est pas un choix technique, mais géopolitique : il n'y a plus de neutralité numérique dans le contexte international. Les technologies numériques, instrumentalisées par des puissances extra-européennes, peuvent constituer autant de vulnérabilités. C'est ce qu'a mis en lumière le rapport de votre commission d'enquête : il est impératif de reprendre la main sur les achats publics à la lumière du nouveau contexte international. Je salue le travail réalisé en commission pour rendre ce texte plus opérationnel.
La proposition de loi étend aux collectivités les mêmes exigences que l'État s'applique à lui-même. Les travaux en commission ont sécurisé son articulation avec le droit européen.
Ce qui compte, au-delà du vote, c'est l'application des lois. Trop souvent, les rapports d'évaluation pointent un écart entre les deux - faute de prise en compte de la réalité technique et opérationnelle. Nous en débattrons à nouveau durant la navette.
Ce texte répond à un impératif de souveraineté. Le Gouvernement y sera favorable. (Applaudissements sur les travées du groupe INDEP et du RDPI ; M. Simon Uzenat applaudit également.)
M. David Margueritte . - (Applaudissements sur les travées du groupe Les Républicains) L'enjeu de ce texte est majeur, pour la souveraineté de notre pays et pour la sécurité des données publiques. Ses objectifs légitimes présentent une acuité particulière dans le contexte actuel ; les administrations et les collectivités recourent de plus en plus à des solutions d'hébergement en nuage, proposées par des prestataires extra-européens, compte tenu de la concentration du secteur entre les mains d'Amazon, de Microsoft et de Google.
Cette dépendance comporte un risque d'accès à des données sensibles par des autorités étrangères qui bénéficient de lois extraterritoriales.
La réponse du président de Microsoft devant la commission d'enquête suffit à elle seule à justifier la proposition de loi. Le groupe Les Républicains y sera donc favorable. Qu'il s'agisse des données de santé ou de l'enseignement supérieur, le risque est évident pour les acheteurs publics.
Le contexte tendu justifie la protection des données. C'est un enjeu de souveraineté, mais aussi économique. La France ne part pas de zéro. Ces travaux s'inscrivent dans la continuité des actions entreprises depuis 2021, comme la doctrine « cloud au centre ».
Notre soutien est aussi justifié par les modifications opérées par la commission des lois. En effet, une application uniforme du texte poserait des difficultés juridiques, opérationnelles, mais aussi constitutionnelles. Ont donc été exclues de l'application du texte les collectivités de moins de 30 000 habitants, pour trois raisons : elles manquent de moyens humains et d'expertise technique ; le coût serait renchéri de 25 % à 40 % pour elles ; le risque d'interception de leurs données est moindre.
Attendre 2028 laisse le temps à l'offre de cloud française et européenne de se développer. (Applaudissements sur les travées des groupes Les Républicains et INDEP ; Mme Dominique Vérien applaudit également.)
M. Bernard Buis . - Cette nouvelle proposition de loi fait suite aux recommandations de la commission d'enquête sur la commande publique. Nadège Havet avait signé un rapport au Premier ministre pour une commande publique sociale et environnementale.
Cette démarche s'inscrit dans une dynamique de renforcement de la souveraineté. Dans un contexte politique incertain, la protection des données françaises fait consensus.
Au groupe Les Indépendants, le président Malhuret avait abordé l'exploitation des données essentielles par des puissances étrangères, notamment via TikTok. (M. Pierre Jean Rochette le confirme.)
La rédaction initiale aurait pu soulever des difficultés juridiques, notamment au regard du droit européen. La notion de données publiques n'était en outre pas suffisamment définie. Une portée trop extensive aurait rendu le dispositif inopérant.
Le rapport de la commission d'enquête souligne la forte exposition tant de l'État que des collectivités aux risques cyber.
Seule une clause de non-exposition des données aux puissances étrangères aurait pu y remédier. Mme la rapporteure a apporté des modifications utiles, comme l'exclusion des communes de moins de 30 000 habitants et des communautés de communes, ainsi qu'une dérogation pour les collectivités déjà engagées dans un projet.
Nous voterons ce texte, ainsi que l'amendement défendu par M. Wattebled. (Applaudissements sur les travées du groupe INDEP ; Mme Dominique Vérien et MM. Simon Uzenat et Laurent Somon applaudissent également.)
M. Christophe Chaillou . - (Applaudissements sur les travées des groupes SER et INDEP) Cette proposition de loi transpartisane est la traduction du travail de la commission d'enquête, qui a rappelé la vulnérabilité de nos données face aux législations extraterritoriales. Les données sont des ressources stratégiques, un attribut de puissance à protéger face aux ingérences comme le Cloud Act américain.
Nous construisons depuis plusieurs années des solutions : loi Sren ou projet de loi Résilience.
Avec 400 milliards d'euros par an, la commande publique est un levier essentiel pour l'État et les collectivités ; le numérique y a une place particulière. Il est nécessaire d'orienter les investissements vers des solutions qui protègent nos données et de développer un écosystème européen numérique fiable et pérenne.
Je salue l'engagement de Mme la rapporteure, qui a su trouver le chemin menant à des solutions opérationnelles. Nous souscrivons à ses modifications.
Ce texte est urgent et nécessaire : le groupe SER le votera. (Applaudissements sur les travées des groupes SER, INDEP et UC)
M. Alexandre Basquin . - Cette proposition de loi marque une avancée sur l'hébergement et la protection des données. Notre groupe la votera sans réserve. (Mme Olivia Richard s'en félicite.)
Permettez-moi donc d'utiliser mon temps de parole pour évoquer le big data, en technocritique assumé. Les données personnelles sont devenues le pétrole de l'industrie numérique. Grâce à leur monétisation, les géants du numérique atteignent des valorisations boursières qui dépassent le PIB de certains États. Moissonnées et captées à l'aide de robots et d'algorithmes puissants, elles se retrouvent dans des mains que nous ne connaissons pas.
Les données hébergées sur des serveurs de Microsoft pourraient être accessibles sur simple demande du gouvernement américain. Je souscris donc aux solutions proposées par Dany Wattebled.
Les courtiers en données numériques, ou data brokers, achètent et revendent nos données personnelles, notamment à des gouvernements. Ainsi la société américaine Clearview AI détient-elle une base de données de trois milliards de visages, pillés sur les réseaux sociaux, mais aussi sur des sites publics. Axciom, elle, s'enorgueillit de détenir des données sur 2,5 milliards de personnes. C'est extrêmement dangereux : notre vie privée ne l'est absolument plus.
Selon Eric Schmidt, ancien président de Google, l'identité sera la plus précieuse des marchandises pour le citoyen de demain. C'est pourquoi nous avons déposé une proposition de loi pour interdire le courtage en données. C'est un combat éthique que j'espère collectif.
Permettez-moi enfin de dénoncer une certaine hypocrisie gouvernementale, lorsque l'éducation nationale confie ses données à Microsoft, à l'étranger, ou la DGSI à Palantir, pourtant fondé par le libertarien Peter Thiel. C'est effarant !
Il faut être plus offensif et ferme sur la question des données, pour sortir de la mainmise des géants numériques. Il y va de notre pacte social et républicain. (Applaudissements à gauche)
M. Guy Benarroche . - (Applaudissements sur les travées du GEST) Dans un monde où les questions de souveraineté se font de plus en plus pressantes, où la guerre hybride, la cyberguerre et la désinformation nous menacent de plus en plus, cette proposition de loi met en lumière notre vulnérabilité.
Les lois extraterritoriales, notamment, font peser de nombreux risques sur la souveraineté numérique de la France : perte de contrôle des données sensibles, risque d'utilisation à des fins de renseignement économique, dépendance accrue vis-à-vis d'acteurs étrangers, vulnérabilité face aux changements de politique étrangère.
La mise en place du label de l'Anssi ne suffit à l'évidence pas. En témoigne le renouvellement pour quatre ans des licences Microsoft en mars 2025 par le ministère de l'éducation nationale pour 75 millions d'euros, sans même avoir saisi la Dinum.
L'article unique de la proposition de loi exclut les prestataires étrangers pour l'hébergement de données publiques. Le principe est clair et nous regrettons les modifications apportées par la commission.
La rapporteure a certes rappelé le risque d'inconventionnalité et d'inconstitutionnalité d'une telle préférence européenne, qui ne peut s'entendre qu'en cas de motif impérieux d'intérêt général. Mais ce motif me semble caractérisé ici.
Je regrette donc la frilosité de la commission qui vide le texte d'une partie de son efficacité. En se fondant sur une obligation existante dont la commission d'enquête a souligné qu'elle était mal appliquée, en substituant une obligation de « veiller à » à une obligation claire qui aurait pu permettre l'annulation contentieuse de marchés publics qui l'auraient ignorée, l'amendement de la rapporteure restreint l'intérêt de la proposition de loi.
Je partage les réserves sur les collectivités territoriales, qui portent l'essentiel de la commande publique. Le coût est toutefois un facteur limitant, en raison des surcoûts des offres SecNumCloud.
Je crains que les modifications de la commission ne soient qu'un pas de côté. Malgré tout, nous voterons ce texte en espérant qu'il soit amélioré au cours de la navette. (Applaudissements sur les travées du groupe SER)
Mme Sophie Briante Guillemont . - Avant d'aborder le fond du texte, je salue l'initiative de Dany Wattebled : cette proposition de loi fait consensus et a été modifiée dans un sens opportun à nos yeux grâce au travail de la rapporteure. Notre souveraineté et la protection des données sensibles sont un sujet essentiel.
La commission d'enquête a découvert de fortes vulnérabilités dans l'hébergement des données publiques qui peuvent, pour des motifs de sécurité ou d'intérêt général, être transférées vers les pays hébergeurs des clouds - essentiellement la Chine, l'Inde et les États-Unis. En raison du Fisa et du Cloud Act, Washington peut même contraindre ces sociétés à lui transmettre les données même si elles ne sont pas stockées aux États-Unis.
Selon la Cour des comptes, trois fournisseurs de cloud américains - Amazon, Microsoft et Google - captent 70 % des services. La part de l'Europe a chuté, passant de 27 % en 2017 à 16 % en 2021.
L'article 31 de la loi Sren prévoit que les données sensibles sont confiées à des prestataires vérifiant un haut niveau de sécurité - dispositif que cette proposition de loi étend aux collectivités territoriales. Grâce à une entrée en vigueur différée, les acteurs auront le temps de s'adapter.
Nous espérons que les données publiques ne seront plus exposées à des puissances étrangères. Le RDSE votera ce texte, sur un enjeu fondamental. (Applaudissements sur les travées du RDSE, du GEST et des groupes INDEP, UC et SER)
Mme Catherine Morin-Desailly . - (Applaudissements sur les travées du groupe UC) En 2013, pour la commission des affaires européennes, je rédigeais un rapport intitulé L'Union européenne, colonie du monde numérique. Treize ans plus tard, ce que je prédisais est devenu réalité : Internet est devenu un terrain d'affrontement, les cyberattaques sont toujours plus nombreuses et les données numériques sont devenues un actif majeur.
Malgré nos recommandations, l'hébergement ou le traitement de nos données continue à être confié à des acteurs extraeuropéens, au comportement prédateur et faisant de gros profits. Trois grands acteurs américains détiennent 70 % du marché de l'hébergement, alors que des lois extraterritoriales permettent de transférer les données à leur gouvernement.
La raison est toujours la même : nous n'aurions pas d'entreprises capables. Pourtant, ces acteurs existent : vous les rencontrez chaque année au forum InCyber de Lille, à Vivatech, aux universités d'Hexatrust. N'est-ce pas, madame la ministre ? Nous y allons ensemble ! Ces entreprises témoignent de la vitalité de l'innovation française et de l'excellence de nos écoles d'ingénieurs.
Lors de la commission d'enquête, nous avons auditionné des entreprises qui nous ont toutes déclaré qu'il était difficile d'accéder à la commande publique.
En l'absence de pilotage à la tête de l'État, la Dinum n'en a souvent fait qu'à sa tête. Le plus grand scandale est d'avoir confié à Microsoft, sans appel d'offres préalable, la plateforme des données de santé françaises - ironie du calendrier - au moment même où la Cour de justice de l'Union européenne (CJUE), le 16 juillet 2020, invalidait pour la deuxième fois l'accord de transfert des données des Européens vers les États-Unis.
Rapport après rapport, je n'ai cessé de plaider en faveur d'une stratégie globale et offensive et d'une politique industrielle volontariste. La reprise en main de notre destin numérique exige de se passer des États-Unis et de la Chine. La commande publique représente 2 000 milliards d'euros par an, ce n'est pas rien ! Il faudrait un Small Business Act européen et un Buy European Act.
Il faut assumer le choix de notre système d'IA. L'Union européenne a fini par dessiller les yeux et a inscrit à son programme de travail de 2026 des travaux sur ce sujet.
Cette proposition de loi s'inscrit dans le prolongement de ma réflexion en tant que présidente de la commission spéciale réunie pour l'examen de la loi Sren. Madame la ministre, nous avions finalisé ce texte ensemble dans le cadre de la navette à l'époque. (Mme Anne Le Hénanff le confirme.)
Cette proposition de loi conforte son article 31 et l'enrichit grâce au travail d'Olivia Richard. Elle en étend l'obligation aux collectivités territoriales de plus de 30 000 habitants. Se prémunir des cyberattaques, c'est protéger des infrastructures physiques, mais aussi nos données.
Il est primordial de sensibiliser les élus et de renforcer la cybervigilance des citoyens ; mais il faut laisser du temps aux entreprises et aux différentes entités pour s'organiser.
Le groupe UC votera le texte issu des travaux de la commission des lois. (Applaudissements sur les travées des groupes UC, INDEP et SER)
Mme Vanina Paoli-Gagin . - (Applaudissements sur les travées du groupe INDEP) Notre pays doit mesurer les vulnérabilités qui menacent sa souveraineté. La maîtrise de nos infrastructures numériques critiques est une condition de notre indépendance.
L'immense majorité du stockage en nuage en Europe repose sur quelques acteurs qui peuvent se trouver contraints, par application extraterritoriale de lois étrangères, de remettre des données, souvent exploitées à des fins d'intelligence économique. Mêmes hébergées en Europe, sous label SecNumCloud, nos données les plus critiques ne sont pas à l'abri. Qui pourrait l'accepter ?
Dans un contexte de durcissement des tensions, de cyberattaques, de guerre cognitive, la donnée publique est un actif à haute valeur ajoutée, cible privilégiée des acteurs malveillants.
La loi Sren et la doctrine « cloud au centre » ont posé les premiers jalons, mais il reste des zones grises - que comble ce texte.
Ainsi, les prestataires garantiront un hébergement intracommunautaire et une protection contre l'application de normes extraterritoriales étrangères. La mesure est proportionnée et recentrée ; les plus petites communes ne seront pas concernées. L'application est prévue en 2028, voire 2027 avec l'amendement Wattebled. C'est un compromis équilibré pour laisser le temps au marché de se structurer.
La souveraineté ne se décrète pas mais se construit, technologiquement, avec nos ingénieurs et nos industriels européens. En fixant des règles claires, nous consolidons un écosystème émergent.
L'absence de cloud souverain fut une erreur stratégique. Nous ne raterons pas le second train. La construction d'un EuroStack est une impérieuse nécessité pour l'Europe, et l'adoption du cloud dans nos administrations est une opportunité pour structurer une offre cohérente, concurrentielle et de confiance.
La souveraineté numérique n'est pas une nébuleuse insaisissable, elle est à construire dans le nuage. Faisons de la commande publique un levier stratégique au service de nos entreprises comme de notre souveraineté. C'est aussi un gage de meilleure gestion de nos deniers publics, dans une approche circulaire.
Il faudra aller plus loin, intégrer cette dimension dans les critères de notation des offres, encadrer les dérogations.
Voter ce texte, c'est dire à nos concitoyens que leurs données publiques sensibles seront protégées tout autant que leurs libertés ; à nos partenaires européens, que la France assume son rôle moteur dans la construction d'une autonomie numérique commune ; aux entreprises européennes, que leurs efforts pour développer des solutions fiables seront soutenus.
Pour une Europe numérique plus forte, pour une France qui maîtrise son destin technologique, pour une démocratie qui protège sa liberté, sa liberté chérie, je vous invite à adopter cette proposition de loi. (Applaudissements sur les travées des groupes SER, INDEP et UC)
M. Simon Uzenat . - (Applaudissements sur les travées des groupes SER et INDEP) Cette démarche, qui fait suite de notre commission d'enquête, est profondément transpartisane. Nous sommes réunis pour dire stop à l'impuissance face aux législations extraterritoriales, stop au décrochage dû à nos incohérences au plus haut niveau de l'État. Les menaces des législations extraterritoriales étaient identifiées dès 2021, or les actes n'ont pas suivi.
Notre souveraineté en matière de données est un enjeu économique mais aussi démocratique. La réélection de Donald Trump a été un électrochoc salutaire. Le temps n'est plus aux prétextes mais aux solutions. Ce compromis en fait partie.
Avec l'IA générative et le pilotage par la donnée, nous devons assumer que toutes nos données publiques sont par nature sensibles. Nous avions proposé une hiérarchisation selon le type de données : de l'immunité aux législations extraterritoriales jusqu'au recours aux solutions SecNumCloud. Continuons à avancer sur ce chemin.
Les opérateurs économiques français et européens sont prêts, ils n'attendent que des marchés et de la visibilité. L'expansion de AWS tient surtout au marché avec la CIA, pour 600 millions de dollars... Sur le coût ou sur la sécurité, nos opérateurs sont compétitifs. Nous devons être au rendez-vous, avec les services de l'État et les centrales d'achat.
Nous attendons avec impatience la révision des directives Marchés publics et plaidons pour l'instauration d'un principe général de préférence européenne. Ce texte est une étape, mais nous ne devons plus perdre de temps, pour notre souveraineté économique et démocratique. (Applaudissements sur les travées des groupes SER et INDEP, ainsi que sur plusieurs autres travées)
Discussion de l'article unique
Mme la présidente. - Amendement n°3 de Mme Richard au nom de la commission des lois.
Mme Olivia Richard, rapporteure. - Coordination avec l'article 27 de la loi Sren qui définit la notion de service d'informatique en nuage.
Mme Anne Le Hénanff, ministre déléguée. - Même si je comprends la volonté d'harmonisation, l'article 31-1 donne une définition opérationnelle, dans le cadre de SecNumCloud, pour la partie qui concerne l'Anssi. Votre amendement aurait de vrais effets de bord, y compris pour la sécurité juridique de la filière cloud. Retrait ?
Mme Olivia Richard, rapporteure. - Merci de vos explications.
L'amendement n°3 est retiré.
Mme la présidente. - Amendement n°1 rectifié ter de M. Wattebled et alii.
M. Dany Wattebled. - Nous fixons l'entrée en vigueur de ce texte à un an après la promulgation de la loi.
Mme Olivia Richard, rapporteure. - Merci à l'auteur de la proposition de loi pour ce compromis, qui permet de tenir compte de la navette parlementaire et des aléas en prévoyant une entrée en vigueur glissante. Avis favorable.
M. David Amiel, ministre délégué. - Fixer une date glissante créerait une incertitude pour les collectivités qui doivent engager des travaux lourds. Le délai d'un an sera-t-il suffisant pour toutes les collectivités ? Avis défavorable, mais il faudra y travailler dans la navette.
Je vous remercie pour cette proposition de loi qui illustre la volonté transpartisane d'avancer dans la sécurisation des données sensibles hébergées par les collectivités, mais aussi, cet amendement le montre, de tenir compte des différents niveaux de maturité selon les collectivités.
M. Dany Wattebled. - Le texte ne vise que les collectivités de plus de 30 000 habitants, qui ont les moyens techniques de répondre en un an. Idem pour l'État, les régions et les départements.
Si c'est comme pour la loi Sren, on risque d'attendre le décret pendant des années ! Nous sommes en guerre commerciale, en guerre économique : chaque jour compte. Mettons cet argent dans nos PME. Si nous voulons la « start-up nation », commençons par leur donner à manger du marché, et non des subventions !
M. Simon Uzenat. - Nous n'avons plus le temps d'attendre. En France et en Europe, nous déplorons les effets dont nous chérissons les causes. (Mme Muriel Jourda le confirme.) Les opérateurs économiques nous l'ont dit avec force : ils sont prêts ! Si nous avions vraiment joué le jeu des marchés publics, ils seraient encore plus forts et apparaîtraient comme des solutions évidentes.
Mais que dire aux élus locaux, aux acheteurs publics, quand ils voient les services de l'État recourir aux solutions américaines, sans se soucier de la législation extraterritoriale ? « On vend ce qu'on nous demande », nous a dit le président de l'Ugap. Quand on n'a jamais connu que l'environnement des Gafam, on redoute le changement. Pire, les services de l'État renouvellent les marchés... Vous reproduisez un système qui mène l'écosystème français et européen à sa perte !
Nous devons sonner le clairon : il n'est plus temps d'attendre. Avec le soutien de l'État et des centrales d'achat, les élus locaux s'engageront dans ce mouvement. Espérons que ce sillon atteindra Bruxelles, pour que le principe général de préférence européenne devienne la règle.
Mme Catherine Morin-Desailly. - Les délais vont courir, car la navette prend du temps, la promulgation aussi.
Les choses bougent à Bruxelles, notamment sur la directive Marchés publics. Le commissaire Stéphane Séjourné et le président de l'Autorité de la concurrence, Benoît Coeuré, nous l'ont confirmé en audition.
La loi Sren a permis de réduire les délais pour sortir des solutions extra-européennes, pour un renouvellement plus rapide. Soyons pragmatiques.
Il y a urgence à migrer vers des solutions les plus autonomes possible. Avançons. Je voterai cet amendement.
L'amendement n°1 rectifié ter est adopté.
L'article unique constituant la proposition de loi, modifié, est adopté.
(Applaudissements)
M. Dany Wattebled. - Merci à tous mes collègues pour le travail en commission et pour ce vote unanime. Ce projet de loi va renforcer notre souveraineté numérique et faire travailler nos start-up. C'est le plus important. (Applaudissements)
La séance est suspendue à 19 h 50.
Présidence de M. Gérard Larcher
La séance reprend à 21 h 30.