Question de Mme APOURCEAU-POLY Cathy (Pas-de-Calais - CRCE-K) publiée le 12/03/2026
Mme Cathy Apourceau-Poly attire l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur l'urgence stratégique de doter la France d'une infrastructure d'intelligence artificielle (IA) intégralement souveraine, garantissant la protection des données de l'ensemble des citoyens contre les ingérences étrangères. Si l'essor de l'IA générative transforme les usages quotidiens des Français, il engendre une vulnérabilité critique pour notre souveraineté numérique. Actuellement, une immense majorité des données personnelles, professionnelles et administratives des Français est traitée par des plateformes soumises au Cloud Act américain. Cette législation à portée extraterritoriale permet aux juridictions étrangères d'exiger la saisie de données, même localisées physiquement sur le sol français. Cette situation expose la vie privée de nos concitoyens et le patrimoine informationnel de nos entreprises à une surveillance structurelle par des puissances technologiques tierces, rendant les garanties du Règlement général sur la protection des données (RGPD) poreuses face au droit américain. Le déploiement de modèles de langage (LLM) souverains ne doit plus être perçu comme une simple alternative commerciale, mais bien comme un impératif de sécurité nationale. Cette autonomie repose sur une maîtrise indispensable de l'intégralité de la chaîne de valeur, garantissant d'abord l'auditabilité des modèles par l'utilisation de codes et de poids transparents. Elle nécessite ensuite une exécution technique sur des infrastructures nationales de calcul haute performance (HPC) et impose, enfin, un recours exclusif à des centres de données certifiés « SecNumCloud » par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), seule norme à même d'assurer une étanchéité absolue face aux ingérences extracommunautaires. Elle souhaite connaître les dispositions envisagées par le Gouvernement pour imposer l'usage d'infrastructures de confiance immunisées contre les lois extraterritoriales, afin d'assurer l'étanchéité absolue des données de tous les citoyens face aux puissances technologiques tierces.
- page 1268
Transmise au Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique
Réponse du Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique publiée le 28/05/2026
En préambule, le Gouvernement réaffirme son attachement à la stratégie nationale cloud définie en 2021. Cette stratégie repose notamment sur le développement d'une offre de services cloud de confiance, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud contre les menaces cyber, y compris contre les accès non-autorisés des autorités publiques des Etats tiers à l'UE qui ont adopté une loi extraterritoriale (ex : Cloud Act US). La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN) renforce les principes de la doctrine Cloud au centre décrite dans la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'Etat du 5 juillet 2021[1] du Premier Ministre, en imposant aux administrations de l'Etat, à ses opérateurs et à certains groupements d'intérêt public, comme la Plateforme de données de santé (Health Data Hub) la protection de leurs données les plus sensibles hébergées sur un cloud commercial contre les législations extraterritoriales des pays tiers à l'UE. Ainsi, toute offre d'informatique en nuage à laquelle les services et opérateurs de l'Etat choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données particulièrement sensibles doit répondre aux critères de sécurité et de protection offerts par la certification SecNumCloud, y compris pour ce qui concerne la protection vis-à-vis des législations extraterritoriales des Etats tiers à l'UE. Outre des critères techniques de cybersécurité élevés, la qualification SecNumCloud repose notamment sur des critères de localisation du siège de la société prestataire de services cloud (dans l'UE), de localisation de l'hébergement des données (dans l'UE) et un critère limitant la détention du capital et des droits de vote des prestataires de cloud labellisés par des sociétés non européennes (plafond individuel actionnaire non européen fixé à 24% si un seul actionnaire non UE et collectivement à 39% si plusieurs actionnaires non UE). La qualification SecNumCloud prévoit en outre que le prestataire de cloud inclut systématiquement dans le contrat de service une clause de réversibilité permettant au client de récupérer l'ensemble de ses données. De plus, l'État a mis en oeuvre une politique de soutien à l'investissement au travers d'appels à projets au travers de France 2030 pour accélérer la montée en capacité et en innovation des offres notamment qualifiées SecNumCloud. Le levier de la commande publique est également activé. En 2025, les achats publics de prestations de cloud opérés par l'UGAP ont atteint le montant de 84 millions d'euros (contre 52 millions en 2024), dont 69% ont été orientés vers des opérateurs européens. Parmi les achats auprès de fournisseurs européens, les offres de de cloud qualifiées SecNumCloud par l'ANSSI ont atteint un montant de 22 millions d'euros (contre 20 millions d'euros en 2024). Le catalogue d'offres qualifiées SecNumCloud est régulièrement enrichi de nouvelles offres, qui assurent aux administrations mais également aux entreprises, une liberté de choix, des services diversifiés, à l'état de l'art et répondant à leurs attentes opérationnelles. A l'échelle européenne, la France continue à promouvoir le développement d'un marché diversifié et concurrentiel du cloud de confiance. Pour la révision du règlement européen sur la cybersécurité, en cours de négociation, elle porte une position ambitieuse visant à garantir une protection efficace des données sensibles en particulier contre l'application de législations extraterritoriales des Etats tiers à l'UE. Le Sommet sur la Souveraineté numérique du 18 novembre 2025 illustre cette ambition. La France et l'Allemagne y ont conjointement décidé de renforcer à l'échelle européenne la protection des données les plus sensibles contre les menaces de toutes natures, et notamment les lois extraterritoriales extracommunautaires. Les autorités françaises sont pleinement mobilisées pour contribuer à l'émergence d'un cadre harmonisé, fiable, compétitif et protecteur pour les données les plus sensibles. S'agissant enfin de l'auditabilité des modèles, le Règlement européen sur l'intelligence artificielle prévoit un encadrement des modèles d'IA à usage général, qui alimentent notamment les IA conversationnelles. Leurs fournisseurs seront soumis à des exigences de transparence, de documentation, et de sécurité. La Commission, et en particulier le bureau européen de l'IA, sera en charge du contrôle du respect de ces dispositions. Pour cela, elle sera dotée de pouvoirs étendus, lui permettant de demander de la documentation, des informations, et même de procéder à des évaluations. Un acte d'exécution, actuellement en consultation publique, précise la portée de ces pouvoirs en indiquant que les enquêteurs pourront solliciter un accès au code. [1] actualisée par la circulaire du 31 mai 2023
- page 2604
Page mise à jour le