Question de M. GROSPERRIN Jacques (Doubs - Les Républicains) publiée le 10/07/2025
M. Jacques Grosperrin attire l'attention de Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique sur les risques croissants liés à l'hébergement de données informatiques sensibles par des entreprises non européennes, en particulier dans le cadre de missions de service public ou relevant d'établissements publics.
Alors que les données générées ou traitées dans le cadre de délégations de service public (DSP) ou par des établissements publics peuvent relever de la souveraineté numérique et concerner directement la vie des citoyens, leur hébergement auprès d'acteurs extracommunautaires, y compris ceux soumis à des législations extraterritoriales, pose des risques en matière de sécurité, de confidentialité, de conformité juridique et de captation à des fins commerciales ou technologiques, notamment pour l'entraînement de modèles d'intelligence artificielle étrangers.
Aussi, il lui demande si elle envisage de rendre obligatoire, pour toute entité relevant d'un service public ou assimilé, le recours exclusif à des hébergeurs de données relevant du droit européen, disposant d'infrastructures situées sur le territoire de l'Union européenne, et avec des contrats soumis uniquement à la juridiction des tribunaux français. Cette orientation permettrait de garantir la souveraineté numérique de l'État et de ses opérateurs, ainsi que de favoriser le développement d'une filière européenne de confiance dans le domaine du cloud et de l'intelligence artificielle.
- page 3911
Transmise au Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique
Réponse du Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique publiée le 01/01/2026
Cette question s'inscrit dans la continuité du travail engagé depuis 2021 avec la stratégie nationale cloud. En effet, depuis cette date, le Gouvernement déploie une stratégie visant tout autant à saisir les opportunités offertes par les évolutions technologiques qu'à répondre aux enjeux posés par le recours à des services d'informatique en nuage, en particulier ceux qui concernent la protection des données les plus sensibles, des entreprises, des administrations et des citoyens français et européens. Cette stratégie repose notamment sur le développement d'une offre de services cloud de confiance, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment par le biais des lois extraterritoriales non européennes. Par ailleurs, dans le cadre de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN), des dispositions législatives reprennent désormais, en les renforçant, les principes de la doctrine Cloud au centre décrite dans la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État du 5 juillet 2021[1] du Premier ministre, afin d'assurer une protection adéquate des données particulièrement sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, comme la Plateforme de données de santé (dite Health Data Hub) contre les législations extraterritoriales extracommunautaires. Ainsi, toute offre d'informatique en nuage à laquelle les services et opérateurs de l'État choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données particulièrement sensibles doit répondre aux critères de sécurité et de protection offerts par la certification SecNumCloud, y compris pour ce qui concerne la protection vis-à-vis des législations extraterritoriales des États tiers à l'UE. Par ailleurs, la France continue à promouvoir le développement d'un marché diversifié et concurrentiel du cloud de confiance, en mesure de répondre aux besoins d'innovation et de sécurité des administrations et des entreprises. Une position que le Gouvernement défend également dans le cadre des négociations au niveau européen, notamment dans le cadre de la certification de cybersécurité des services cloud (EUCS) afin de disposer d'un cadre fiable, complet, robuste, transparent et qui garantisse une protection efficace des données sensibles en Europe, en particulier contre l'application de législations extraterritoriales des États tiers à l'UE. Le Sommet sur la Souveraineté numérique du 18 novembre 2025 illustre cette ambition. La France et l'Allemagne y ont conjointement décidé de renforcer à l'échelle européenne la protection des données les plus sensibles contre les menaces de toutes natures et notamment contre les accès non-autorisés par les autorités des États tiers. A l'inverse, le recours systématique, pour les services publics, à des offres de cloud faites par des fournisseurs européens pour se prémunir des risques liées aux régulations extra-européennes à portée extrterritoriale, ne serait ni pertinent du point de vue de la protection des données (car il s'agit d'un risque du haut du spectre à prendre en compte une fois qu'un certain nombre d'autres risques l'ont été) ni conforme aux engagement de la France en matière de commerce international. [1] actualisée par la circulaire du 31 mai 2023
- page 24
Page mise à jour le