Mme la présidente. La parole est à M. le rapporteur.
M. Christophe-André Frassa, rapporteur. Si nous sommes à moyens constants, comme vient de le dire Mme la ministre, nous pouvons voter contre l'article 4, car le gage n'est plus nécessaire. C'est pourquoi je suggère à l'ensemble de nos collègues qui soutiennent ce texte de voter contre l'article 4.
Mme la présidente. Je mets aux voix l'article 4.
(L'article 4 n'est pas adopté.)
Vote sur l'ensemble
Mme la présidente. Avant de mettre aux voix l'ensemble de la proposition de loi, je donne la parole à M. Marc Laménie, pour explication de vote.
M. Marc Laménie. Madame la présidente, madame la ministre, mes chers collègues, je souhaite remercier l'auteur de la proposition de loi, Pierre Jean Rochette, ainsi que ceux de nos collègues qui se sont associés à son initiative, sans oublier l'excellente commission des lois, son rapporteur, sa présidente et ceux, parmi nous, qui en font partie.
Comme l'a rappelé le rapporteur spécial de la commission des finances, Bruno Belin, dans la discussion générale, les questions liées à la sécurité ou aux sécurités, notamment à la sécurité intérieure, représentent un budget non négligeable, comme nous avons pu le constater dans le cadre de l'examen du projet de loi de finances. Ce budget comporte de nombreuses dispositions qui intéressent non seulement la police nationale, la gendarmerie nationale et la sécurité civile, mais également, l'administration des douanes, qui est rattachée au ministère de l'économie, des finances et de la souveraineté industrielle et numérique. Cela a été largement rappelé par mes collègues.
En effet, certains d'entre nous représentent des départements frontaliers et, pour ma part, dans les Ardennes, l'administration des douanes joue un rôle important.
Je salue également les polices municipales et les collectivités territoriales, qui pourront utiliser les dispositifs Lapi dans le cadre d'un partenariat.
Enfin, je tiens à féliciter l'auteur de la proposition de loi et le rapporteur des nombreuses auditions qu'ils ont conduites avec la commission des lois.
Le groupe INDEP soutiendra cette excellente initiative. (MM. Pierre Jean Rochette et Laurent Somon applaudissent.)
Mme la présidente. Personne ne demande plus la parole ?...
Je mets aux voix, dans le texte de la commission modifié, l'ensemble de la proposition de loi visant à assouplir les contraintes à l'usage de dispositifs de lecture automatisée de plaques d'immatriculation et à sécuriser l'action des forces de l'ordre.
J'ai été saisie d'une demande de scrutin public émanant du groupe Les Républicains.
Il va être procédé au scrutin dans les conditions fixées par l'article 56 du règlement.
Le scrutin est ouvert.
(Le scrutin a lieu.)
Mme la présidente. Personne ne demande plus à voter ?…
Le scrutin est clos.
Voici, compte tenu de l'ensemble des délégations de vote accordées par les sénateurs aux groupes politiques et notifiées à la présidence, le résultat du scrutin n° 129 :
| Nombre de votants | 342 |
| Nombre de suffrages exprimés | 254 |
| Pour l'adoption | 232 |
| Contre | 22 |
Le Sénat a adopté.
(Applaudissements sur les travées du groupe INDEP et sur des travées du groupe Les Républicains. – Mme Isabelle Florennes applaudit également.)
Mme la présidente. Mes chers collègues, nous allons interrompre nos travaux pour quelques instants.
La séance est suspendue.
(La séance, suspendue à dix-huit heures vingt-quatre, est reprise à dix-huit heures vingt-six.)
Mme la présidente. La séance est reprise.
3
Sécurisation des marchés publics numériques
Adoption d'une proposition de loi dans le texte de la commission modifié
Mme la présidente. L'ordre du jour appelle, à la demande du groupe Les Indépendants – République et Territoires, la discussion de la proposition de loi relative à la sécurisation des marchés publics numériques, présentée par M. Denis Wattebled et plusieurs de ses collègues (proposition n° 8, texte de la commission n° 200, rapport n° 199).
Discussion générale
Mme la présidente. Dans la discussion générale, la parole est à M. Denis Wattebled, auteur de la proposition de loi. (Applaudissements sur les travées du groupe INDEP et sur des travées du groupe UC – M. Simon Uzenat applaudit également.)
M. Dany Wattebled, auteur de la proposition de loi. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, je vous remercie de me donner l'occasion de présenter cette proposition de loi, qui s'inscrit dans la continuité des travaux de la commission d'enquête sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française. J'ai eu l'honneur d'être le rapporteur de cette commission d'enquête, qui a travaillé pendant plusieurs mois sous la présidence de notre collègue Simon Uzenat, que je salue. Après 51 auditions, 3 déplacements et les témoignages de représentants de 134 structures, nous avons pu dresser un panorama complet, concret, parfois dérangeant, mais toujours instructif.
Nous sommes partis d'un constat simple : la commande publique est l'un des moteurs importants de l'économie française. Elle représente 400 milliards d'euros par an, 14 % du PIB et 80 % des marchés portés par les collectivités. Dans nos territoires, nous avons tous entendu ces témoignages d'élus et d'entreprises qui peinent à naviguer dans des procédures à la fois lourdes, complexes et parfois anxiogènes. Sont ainsi dénoncés la crainte du contentieux, la peur du pénal, l'empilement des obligations et, parfois, le sentiment d'une machine administrative qui s'éloigne du terrain.
Au fil des auditions, un sujet s'est imposé, presque malgré nous : la montée en puissance de la commande publique numérique, non pas comme une catégorie technique, mais comme un enjeu de souveraineté, de sécurité et de liberté pour nos politiques publiques.
Certaines réponses ont eu le mérite d'être d'une franchise inhabituelle. Lorsque nous avons demandé au président de Microsoft pour l'Europe de garantir que les données des citoyens français hébergées par Microsoft France ne seraient jamais transmises à des autorités étrangères sans l'accord des autorités françaises, la réponse a été : « Non, je ne peux pas le garantir. »
Voilà une vérité sans détour ! Ce n'est pas un procès à charge, c'est le résultat du droit extraterritorial américain, issu du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa) – et de la mise en œuvre de ces dispositifs. Cela doit nous alerter.
Nous avons longuement travaillé sur le cas du Health Data Hub, devenu la plateforme des données de santé. Lors de son audition, la ministre de la santé de l'époque, Agnès Buzyn, nous l'avait affirmé clairement : c'était Microsoft ou rien. Cette décision grave était justifiée par une note de son cabinet, validée par une contre-expertise de la direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), avec l'aval de la Commission nationale de l'informatique et des libertés (Cnil).
Résultat : 80 millions d'euros engagés et 60 millions de données françaises transférées outre-Atlantique. Cherchez l'erreur ! On nous a expliqué que ce choix était provisoire, qu'il était contraint par l'urgence, qu'il n'existait aucune alternative.
Six mois plus tard, l'urgence est devenue l'habitude, le provisoire une dépendance, et la dépendance une doctrine. Une doctrine en contradiction totale avec les discours que nous tenons ici même, et jusqu'au sommet de l'État, sur la souveraineté numérique, la protection des données et l'indépendance stratégique.
Nous avons récidivé avec le grand marché Microsoft pour l'éducation nationale, passé sans avis conforme de la direction interministérielle du numérique (Dinum), alors même que l'État demandait aux rectorats d'éviter ces solutions. Nous parlons ici de 152 millions d'euros sur quatre ans.
Plus grave encore, nous apprenons cette semaine que la direction générale de la sécurité intérieure (DGSI) a renouvelé pour trois années supplémentaires son contrat avec l'éditeur américain Palantir Technologies. Je ne vous ferai pas l'affront de vous rappeler que cette société a été fondée en 2003 avec l'aide d'In-Q-Tel, un fonds d'investissement de la CIA. C'est le comble ! Là encore, il y a un décalage entre les discours et les actes.
Le président-directeur général de l'Union des groupements d'achats publics (Ugap), qui est le premier acteur national de mutualisation des achats publics, reconnaît qu'il ne conseille pas suffisamment ses clients en matière de souveraineté numérique et que des progrès doivent encore être accomplis.
C'est le moins que l'on puisse dire, notamment si l'on se penche sur un accord-cadre du 17 septembre 2024, valable pour six ans. Nous parlons ici de 760 millions d'euros pour l'achat de licences Microsoft : 460 millions pour les ministères, 300 millions pour les collectivités.
Au total, si vous faites le compte, tout cela représente 1 milliard d'euros ! Un milliard d'euros qui n'iront ni à nos entreprises, ni à nos acteurs européens, ni à nos solutions souveraines ; 1 milliard d'euros qui financent notre propre dépendance aux technologies étrangères…
Rappelons un fait simple, parmi d'autres. Elon Musk a profité pendant vingt ans des milliards de la commande publique américaine. Pas de discours ou de grandes incantations, mais des marchés ! Vous ne m'enlèverez pas de l'esprit une conviction simple : nos entreprises ont besoin non pas de subventions compassionnelles, mais de commandes publiques courageuses.
Le paradoxe est là. Nous avons les outils, mais nous ne les utilisons pas. En France, nous avons une doctrine, un droit, des labels, des acteurs français et européens robustes, innovants et compétitifs. Dans la pratique, pourtant, nous persistons à héberger des données publiques sur des solutions exposées à des législations étrangères, ou à acheter des services numériques sans nous assurer que ces données ne puissent pas partir ailleurs. La commission d'enquête a conclu qu'il s'agissait non seulement d'un risque juridique, mais aussi d'un risque stratégique majeur.
C'est dans ce contexte qu'est née la recommandation n° 24, qui inspire la proposition de loi que nous examinons aujourd'hui. L'objectif de cette dernière est simple, presque évident : protéger les données publiques françaises. C'est un texte de protection et de bon sens.
Avec cette proposition de loi, nous voulons atteindre deux objectifs : sécuriser juridiquement les acheteurs et faire de la commande publique un levier pour nos propres acteurs.
Nous avons encore du travail : directives européennes, Small Business Act, structuration des filières, montée en puissance du cloud de confiance. Mais ce texte est une première étape essentielle.
Je veux saluer le travail remarquable de notre rapporteure, Olivia Richard. Chacun a pu mesurer l'écoute et la rigueur dont elle a fait preuve et se féliciter de sa volonté de sécuriser juridiquement le dispositif.
L'amendement qu'elle a proposé en commission visait à consolider l'équilibre du texte et à en assurer la pleine conformité avec le droit français et européen, tout en préservant l'objectif politique que nous visons : mieux protéger nos données publiques les plus sensibles.
Je souhaite également rappeler que l'article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren, sur lequel s'appuie utilement cette réécriture, demeure aujourd'hui privé d'effet faute de décret d'application. Cet article, pourtant essentiel pour définir et encadrer les données sensibles, n'a aucune portée tant que ce décret n'a pas été pris.
C'est pourquoi, madame la ministre, monsieur le ministre, j'en appelle solennellement au Gouvernement : que le décret d'application de l'article 31 soit publié dans les plus brefs délais, afin que les acheteurs publics disposent enfin du cadre clair et opérationnel que le Parlement a voulu. Il n'y a que dans notre pays que les lois adoptées mettent autant de temps à être appliquées...
Pardonnez-moi de vous le dire de but en blanc, mais nous sommes en guerre économique. Chaque jour compte. C'est pourquoi je porterai un amendement simple afin d'avancer l'entrée en vigueur du dispositif à l'année suivant la promulgation de la loi.
Cette mesure me semble justifiée par l'urgence croissante d'atteindre la souveraineté numérique face à la multiplication des cyberattaques et aux risques d'ingérence étrangère touchant les collectivités.
Depuis 2024, le marché français et européen du cloud souverain a atteint un niveau de maturité suffisant pour répondre aux besoins des grandes collectivités, d'autant que le texte ne concerne que les données sensibles et prévoit des dérogations en cas de contraintes particulières.
Mes chers collègues, vous l'aurez compris : cette proposition de loi marque une évolution de bon sens, vers une souveraineté nécessaire. La sagesse populaire dit que nécessité fait loi. C'est le cas aujourd'hui. Je vous invite donc, après nos débats, à adopter ce texte avec conviction, pour que la commande publique soit enfin pleinement au service de notre souveraineté numérique. (Applaudissements.)
Mme la présidente. La parole est à Mme la rapporteure. (Applaudissements sur les travées des groupes UC, ainsi que sur des travées du groupe Les Républicains. – Mme Sophie Briante Guillemont et M. Pierre Jean Rochette applaudissent également.)
Mme Olivia Richard, rapporteure de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, la proposition de loi déposée par notre collègue Dany Wattebled vise à renforcer la sécurité et la confidentialité des données publiques hébergées à distance ou « en nuage » – une expression très poétique.
Ce texte est le fruit d'un travail engagé il y a bientôt un an, dans le cadre de la commission d'enquête sur les coûts et les modalités effectifs de la commande publique, dont notre collègue Dany Wattebled était rapporteur.
Son engagement, ainsi que celui de son président Simon Uzenat, que je salue, et de Catherine Morin-Desailly, dont nous connaissons tous l'engagement ancien et l'expertise sur ce sujet, a permis de mettre au jour de véritables failles dans la protection des données des citoyens français.
En effet, si le risque de cyberattaque est bien identifié en France depuis quelques années – chaque semaine, et encore ce matin, nous en apporte une nouvelle illustration –, un autre risque, moins visible, est souvent minimisé, y compris par nos services publics : celui d'un détournement de données par l'effet des législations extraterritoriales.
De fait, comme l'a démontré la commission d'enquête sénatoriale, les données hébergées en nuage auprès de prestataires étrangers, et notamment de grandes entreprises américaines, sont soumises à des règles de communication sur lesquelles nous n'avons pas la main, et qui permettent tous les abus.
Aux États-Unis, avec le Fisa et le Cloud Act, mais également désormais en Inde et en Chine, les autorités administratives sont en mesure de contraindre les entreprises à leur révéler le contenu d'une communication ou d'une information qu'elles détiennent, y compris lorsque celles-ci sont hébergées sur des serveurs hors de leur territoire national.
Aussi, lorsque nous recourons à des entreprises étrangères pour l'hébergement en nuage de données stratégiques, nous exposons celles-ci à un risque réel et documenté d'interception par des autorités étrangères, sans qu'il soit possible d'être alerté de telles opérations.
Or, devant les crissements géopolitiques actuels, la lucidité et le pragmatisme nous imposent désormais de ne plus céder à la naïveté et d'agir, enfin, pour préserver notre souveraineté.
Il faut à cet égard souligner que certains ont été précurseurs dans cette prise de conscience. Je veux notamment saluer ici l'action du ministère de l'Europe et des affaires étrangères, qui a entrepris une stratégie numérique exemplaire depuis de nombreuses années, afin de sécuriser les services offerts à nos concitoyens vivant hors de France.
Grâce au recours à un service d'hébergement en nuage interne, le ministère garantit un contrôle intégral d'opérations hautement sensibles telles que le vote en ligne, la dématérialisation du registre d'état civil ou encore le registre des Français établis hors de France. Il assure ainsi la continuité et la sécurité des services, tout en se conformant aux cadres juridiques français et européen.
Ce volontarisme est un exemple qui démontre qu'une réelle souveraineté des opérations numériques est atteignable à court ou moyen terme.
Pour les autres administrations publiques, des progrès plus hétérogènes ont été atteints ces dernières années, notamment grâce au renforcement progressif de notre cadre juridique.
L'article 31 de la loi Sren impose ainsi depuis 2023 aux administrations publiques et aux opérateurs de l'État d'héberger leurs données sensibles dans un cloud souverain, c'est-à-dire un cloud français ou européen qui présente de fortes garanties de sécurité.
Le périmètre des données jugées sensibles correspond, aux termes de cette loi, aux données nécessaires à l'accomplissement des missions essentielles de l'État, dont la violation serait susceptible de causer une atteinte à la sécurité publique, à la santé des personnes ou encore à la propriété intellectuelle.
Les travaux de la commission d'enquête ont toutefois permis de démontrer que ces exigences de protection ne sont encore que partiellement appliquées. Il est en effet estimé que les fournisseurs souverains de prestations cloud représentent seulement 63 % des commandes effectuées par des administrations publiques, ce qui est encourageant, mais qui laisse encore de trop fortes marges de progression.
Par ailleurs, si nous disposons de ces chiffres concernant le niveau de protection des données de l'État, aucun suivi n'est effectué pour évaluer le niveau de protection des données détenues par les autres acheteurs publics, en particulier par les collectivités territoriales. Nous savons pourtant que les collectivités détiennent des données sensibles, et que celles-ci font fréquemment l'objet de cyberattaques, preuve de l'attrait qu'elles peuvent représenter.
Pour répondre à ces défaillances, la proposition de loi que nous examinons aujourd'hui vise à renforcer substantiellement le niveau de protection des données publiques, en confiant les données de l'ensemble des acheteurs publics à des prestataires français ou européens.
La commission des lois a pleinement souscrit aux objectifs qui sous-tendent la proposition de loi : ils sont l'aboutissement d'un travail sérieux et utile et vont dans le sens d'une prise de conscience collective de l'urgence de protéger notre souveraineté numérique. Elle a néanmoins adopté des modifications du texte afin, d'une part, de le rendre plus cohérent face aux risques établis et au cadre juridique existant et, d'autre part, de faciliter sa mise en œuvre, notamment pour les collectivités territoriales.
Premièrement, dans une volonté de clarté et d'efficacité du dispositif, la proposition de loi, dans la version qui vous est soumise, vise à rendre obligatoire l'hébergement souverain des seules données sensibles, selon le périmètre arrêté par la loi Sren.
Ce périmètre a été jugé pertinent par l'Agence nationale de la sécurité des systèmes d'information (Anssi) puisque toute donnée détenue par une entité publique ne représente pas forcément un intérêt justifiant d'une protection maximale.
En restreignant les obligations d'hébergement aux seules données sensibles, la commission a en outre assuré la conformité du texte au cadre juridique européen. En effet, en raison des directives européennes propres aux marchés publics, mais également des engagements internationaux de la France et de l'Europe dans le cadre de l'Organisation mondiale du commerce (OMC), toute « préférence européenne » dans les marchés publics doit être strictement justifiée et proportionnée.
Un dispositif écartant de manière systématique les opérateurs américains aurait ainsi pu être analysé comme une discrimination et une entrave à l'accès aux marchés, et aurait dès lors fait peser de graves risques de contentieux pour les acheteurs publics.
Deuxièmement, la commission a souhaité tenir compte des contraintes opérationnelles qui pèsent sur les petits acheteurs, au premier rang desquels les petites collectivités territoriales. C'est un sujet sur lequel la commission d'enquête relative à la commande publique a d'ailleurs beaucoup insisté : ces collectivités n'ont ni les ressources humaines, ni les moyens opérationnels, ni les leviers financiers pour faire face à la hausse continue des normes en matière d'achat public.
Je rappelle à cet égard que, si la sécurisation de nos données publiques est un impératif non négociable, elle emporte néanmoins des coûts qui ne sont pas marginaux. La Cour des comptes estime ainsi que le recours à une offre certifiée SecNumCloud, c'est-à-dire souveraine et hautement sécurisée, suppose des tarifs jusqu'à 40 % supérieurs aux offres traditionnelles.
En conséquence, afin de garantir le caractère réaliste et opérationnel du texte, la commission a exclu de son champ d'application les petites communes de moins de 30 000 habitants, ainsi que les communautés de communes.
Ce seuil correspond au périmètre arrêté par un autre texte créant des obligations nouvelles en matière de cybersécurité, le projet de transposition de la directive NIS 2, qui est en cours d'examen à l'Assemblée nationale. Cet alignement permet ainsi de constituer un ensemble cohérent de mesures nouvelles afin de sécuriser les systèmes informatiques des grandes collectivités.
En outre, la commission a prévu un dispositif de dérogation pour toute collectivité qui aurait déjà engagé un projet nécessitant un recours à un service d'informatique en nuage, qui rencontrerait des difficultés techniques pour se conformer au dispositif proposé ou qui justifierait de surcoûts importants.
Loin de minimiser la portée du texte, ce mécanisme dérogatoire tient compte de l'état de préparation des acheteurs à ces nouvelles exigences, et laisse aux entreprises françaises et européennes le temps de développer leurs produits et d'abaisser leurs coûts. Les auditions conduites ont en effet démontré que le marché européen du cloud est en plein essor, ce qui implique qu'à moyen terme des paliers technologiques seront atteints et que les coûts seront réduits.
Dès lors, la date d'entrée en vigueur retenue par la commission des lois est le 1er janvier 2028. Pourquoi ce délai de deux ans ? Il paraît nécessaire à plusieurs égards. Le texte doit tout d'abord être examiné à l'Assemblée nationale et être promulgué en cas de vote conforme. Ensuite, les collectivités, qui vont faire face à des échéances électorales ces prochains mois, devront prendre connaissance de ces nouvelles normes, cartographier les données sensibles qu'elles détiennent, étudier les offres souveraines disponibles et entamer la passation de nouveaux marchés d'hébergement.
Ce délai doit permettre aux collectivités d'agir avec précision plutôt qu'avec précipitation, car l'objectif final est bien de parvenir à la sécurisation effective des systèmes informatiques et des données de nos concitoyens.
Toutefois, l'auteur du texte nous soumettra dans quelques instants un amendement visant à modifier cette date afin de fixer une entrée en vigueur un an après la promulgation du texte. Cette proposition, qui permettra de lever les incertitudes quant au calendrier de la navette parlementaire, me semble tout à fait judicieuse, et répond aux exigences que je viens d'exposer. Je salue donc cette proposition de compromis.
Ainsi, mes chers collègues, il me semble que les ajustements opérés par la commission ainsi que ce dernier amendement sont de nature à faciliter l'appropriation large et massive de ces nouveaux enjeux de souveraineté numérique par les acheteurs publics, sans ajouter de complexité démesurée à leurs missions.
Ce texte prend la mesure des défis auxquels la France et l'Europe sont désormais contraintes de faire face, avec un dispositif pragmatique, ambitieux et, n'ayons pas de scrupule à le rappeler, très largement précurseur au sein de l'Union européenne.
Avant de conclure, je souhaite saluer une fois de plus l'auteur de cette proposition de loi, Dany Wattebled,…
M. Pierre Jean Rochette. Bravo !
Mme Olivia Richard, rapporteure. … qui, par son engagement sans relâche, a provoqué une véritable prise de conscience au sein de notre institution. J'espère que ce texte nous permettra de franchir une nouvelle étape vers une souveraineté numérique française. (Applaudissements.)
M. Pierre Jean Rochette. C'est sûr !
Mme la présidente. La parole est à Mme la ministre déléguée.
Mme Anne Le Hénanff, ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique. Madame la présidente, madame la présidente de la commission des lois, madame la rapporteure, monsieur le sénateur Wattebled, mesdames, messieurs les sénateurs, je suis très heureuse de débattre avec vous aujourd'hui de la question de la commande publique numérique, sujet qui se situe au cœur de mon engagement et de celui du Gouvernement pour la souveraineté numérique.
Cette souveraineté numérique repose sur trois piliers clairs : une offre nationale et européenne de services numériques innovants et compétitifs, l'identification de nos dépendances pour œuvrer à les réduire avec nos partenaires européens, et la volonté de faire respecter nos règles et nos valeurs en Europe.
C'est cette approche équilibrée qui guide notre politique en matière de cloud : faire de celui-ci un levier de compétitivité pour nos entreprises et un outil majeur de la modernisation de l'action publique, tout en développant une offre de confiance qui garantisse l'hébergement des données publiques dans le respect de notre droit, de nos exigences de sécurité et de nos valeurs.
Pour atteindre ces objectifs, nous ne partons pas d'une feuille blanche. La souveraineté numérique se construit depuis 2021 et la stratégie du cloud se décline en trois piliers : le cloud de confiance, pour protéger les données particulièrement sensibles ; la doctrine « cloud au centre » pour enclencher la transition des administrations vers les clouds ; le soutien à l'offre nationale de cloud dans le cadre de France 2030.
Par ailleurs, nous avons levé progressivement les freins à la concurrence, d'abord en structurant la filière avec la création, en 2022, du comité stratégique de filière cloud, puis en poursuivant ce travail avec l'adoption, en 2023, par le Parlement de la loi dite Sren. Cette stratégie repose ainsi sur une idée simple : le cloud peut renforcer notre souveraineté numérique à condition d'être maîtrisé, sécurisé et encadré.
Concernant les administrations, l'adoption de la doctrine « cloud au centre » place désormais le cloud comme une solution de référence. Celui-ci est devenu un levier structurant de modernisation de l'action publique, de performance et d'innovation. La transition vers le cloud emporte un enjeu de sécurisation des données, et notamment des plus sensibles d'entre elles.
C'est tout le sens du travail conduit depuis plusieurs années, notamment avec l'appui déterminant de l'Agence nationale de la sécurité des systèmes d'information (Anssi). La mise en place de la qualification SecNumCloud constitue une avancée majeure. Elle permet d'identifier les offres capables de garantir un très haut niveau de sécurité, de protection des données sensibles et de résistance aux risques d'ingérence, notamment liés à des législations extraterritoriales. Des offres de plus en plus nombreuses sont qualifiées et utilisées désormais par les administrations.
La protection des données publiques dans l'espace numérique ne peut se réduire à la seule problématique des lois extraterritoriales. Elle repose également sur des politiques ambitieuses de cybersécurité et sur la capacité à sensibiliser les acteurs face aux risques cyber, à prévenir et à détecter les cyberattaques et à accroître notre cyberrésilience.
C'est tout l'objet du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déjà adopté par le Sénat et qui sera prochainement examiné à l'Assemblée nationale. Dans la continuité de la revue nationale stratégique de 2025, qui a érigé à juste titre la cyberrésilience de la Nation au rang d'objectif stratégique, le Gouvernement présentera prochainement sa stratégie nationale de cybersécurité à l'horizon 2030.
Dans ce contexte, je souhaite saluer l'initiative parlementaire qui nous réunit aujourd'hui. Je tiens tout d'abord à remercier Dany Wattebled, l'auteur de cette proposition de loi, dont les travaux s'inscrivent dans le prolongement de la commission d'enquête sur la commande publique qu'il a conduite avec Simon Uzenat. Ces travaux s'inscrivent également dans la continuité du rapport gouvernemental de la sénatrice Nadège Havet en 2021.
Je souhaite également saluer le travail de la rapporteure, Olivia Richard, et en particulier sa volonté de rechercher un équilibre juridiquement solide, opérationnel et compatible avec le cadre existant.
Plus largement, je souhaite témoigner devant vous de l'engagement et de la mobilisation du Gouvernement pour faire évoluer le cadre applicable aux marchés publics numériques, y compris au niveau européen.
Première étape, lors du sommet franco-allemand à Berlin consacré à la souveraineté numérique, nous avons lancé un groupe de travail pour définir ce qu'est un service numérique européen, jalon d'une préférence européenne.
Deuxième étape, la directive-cadre européenne sur les marchés publics sera révisée au cours du premier semestre 2026.
La proposition de loi que nous examinons aujourd'hui s'inscrit totalement dans cette dynamique, avec la volonté de nourrir le débat public et l'ambition de concilier modernisation, sécurité, innovation et souveraineté. (Applaudissements sur les travées des groupes INDEP et UC, ainsi que sur des travées des groupes RDSE et SER.)
Mme la présidente. La parole est à M. le ministre délégué.
M. David Amiel, ministre délégué auprès de la ministre de l'action et des comptes publics, chargé de la fonction publique et de la réforme de l'État. Madame la présidente, madame la rapporteure, mesdames, messieurs les sénateurs, je serai bref, car beaucoup a déjà été dit, mais je voudrais rappeler un élément qui figurait en filigrane des interventions précédentes. Quand l'État ou une collectivité passe un marché public numérique, il s'agit d'un choix qui n'est pas simplement technique ; c'est aussi un choix géopolitique.
Dans le contexte international que nous connaissons aujourd'hui, la neutralité numérique n'existe pas. Chacun sait à quel point les technologies numériques, et plus spécifiquement l'intelligence artificielle ou le cloud, sont instrumentalisées par des puissances extraeuropéennes et peuvent constituer autant de vulnérabilités pour notre pays.
Ces vulnérabilités étaient l'un des éléments essentiels mis en lumière par le rapport de la commission d'enquête sénatoriale, présidée par M. Uzenat et dont M. Wattebled était le rapporteur, laquelle a souligné la nécessité de reprendre la main sur un certain nombre d'achats publics, en particulier à la lumière du nouveau contexte international.
Je salue le travail réalisé par la commission d'enquête et celui de la commission pour préciser et rendre la plus opérationnelle possible cette proposition de loi. Ce texte part d'un constat et d'un impératif : garantir que les collectivités territoriales, à l'instar de l'État, protègent les données sensibles lors de leurs marchés publics numériques.
Le texte qui est proposé ne crée pas de nouvelle contrainte arbitraire : il étend aux collectivités les exigences que l'État s'applique déjà, en cherchant la voie la plus pragmatique, la plus efficace et la plus opérationnelle possible. Les travaux en commission ont permis de mieux cibler la mesure, de l'inscrire clairement dans les conditions d'exécution des marchés publics et de sécuriser son articulation avec le droit européen.