Mme la présidente. La parole est à M. le ministre délégué.
M. David Amiel, ministre délégué auprès de la ministre de l’action et des comptes publics, chargé de la fonction publique et de la réforme de l’État. Madame la présidente, madame la rapporteure, mesdames, messieurs les sénateurs, je serai bref, car beaucoup a déjà été dit, mais je voudrais rappeler un élément qui figurait en filigrane des interventions précédentes. Quand l’État ou une collectivité passe un marché public numérique, il s’agit d’un choix qui n’est pas simplement technique ; c’est aussi un choix géopolitique.
Dans le contexte international que nous connaissons aujourd’hui, la neutralité numérique n’existe pas. Chacun sait à quel point les technologies numériques, et plus spécifiquement l’intelligence artificielle ou le cloud, sont instrumentalisées par des puissances extraeuropéennes et peuvent constituer autant de vulnérabilités pour notre pays.
Ces vulnérabilités étaient l’un des éléments essentiels mis en lumière par le rapport de la commission d’enquête sénatoriale, présidée par M. Uzenat et dont M. Wattebled était le rapporteur, laquelle a souligné la nécessité de reprendre la main sur un certain nombre d’achats publics, en particulier à la lumière du nouveau contexte international.
Je salue le travail réalisé par la commission d’enquête et celui de la commission pour préciser et rendre la plus opérationnelle possible cette proposition de loi. Ce texte part d’un constat et d’un impératif : garantir que les collectivités territoriales, à l’instar de l’État, protègent les données sensibles lors de leurs marchés publics numériques.
Le texte qui est proposé ne crée pas de nouvelle contrainte arbitraire : il étend aux collectivités les exigences que l’État s’applique déjà, en cherchant la voie la plus pragmatique, la plus efficace et la plus opérationnelle possible. Les travaux en commission ont permis de mieux cibler la mesure, de l’inscrire clairement dans les conditions d’exécution des marchés publics et de sécuriser son articulation avec le droit européen.
Mesdames, messieurs les sénateurs, au-delà du vote des lois, ce qui compte, c’est qu’elles soient appliquées. Vous y êtes très sensibles, car trop de rapports d’évaluation pointent l’écart entre les intentions du législateur et la mise en œuvre des textes, ce qui parfois s’explique par le fait que les réalités techniques et opérationnelles n’ont pas été assez prises en compte. Le travail qui a été effectué sur cette proposition de loi permet de surmonter cette difficulté.
Nous aurons encore des débats au cours de la navette sur ce texte, auquel nous sommes favorables, car il répond à cet impératif essentiel qu’est la souveraineté numérique. Nous sommes donc très heureux de continuer à y travailler avec vous. (Applaudissements sur les travées du groupe INDEP et RDPI. – M. Simon Uzenat applaudit également.)
Mme la présidente. La parole est à M. David Margueritte. (Applaudissements sur les travées du groupe Les Républicains.)
M. David Margueritte. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, la proposition de loi de notre collègue Dany Wattebled, issue des travaux de la commission d’enquête dont il était le rapporteur, présente un enjeu majeur pour la souveraineté de notre pays et la sécurité de nos données publiques. Elle entend répondre à des objectifs totalement légitimes, qui présentent une acuité particulière dans le contexte actuel.
Les administrations et nos collectivités territoriales recourent de plus en plus à des solutions d’hébergement en nuage. Très souvent, ces solutions sont proposées, on le sait, par des prestataires situés en dehors de l’Union européenne, compte tenu de la concentration extrêmement forte du secteur autour d’Amazon, de Microsoft et de Google.
Chacune et chacun mesure les effets et les conséquences de cette dépendance. Le risque que des autorités étrangères accèdent à des données sensibles est bien réel, en raison de la problématique très bien exposée par Mme la rapporteure et par l’auteur de la proposition de loi, à savoir celle des lois extraterritoriales qui permettent à des États tiers de se faire transmettre des données, y compris lorsque celles-ci sont hébergées sur le territoire français et contre l’avis de notre pays.
Notre collègue Dany Wattebled a rappelé tout à l’heure la réponse édifiante faite par le représentant de Microsoft dans le cadre de la commission d’enquête : elle suffit à elle seule à démontrer l’intérêt et la pertinence de cette proposition de loi, à laquelle le groupe Les Républicains sera favorable.
Nous avons de nombreux cas en tête, qu’il s’agisse des données de santé ou des données de l’enseignement supérieur confiées à des entreprises américaines. Le risque est donc évident pour nos collectivités et les acheteurs publics, ce qui motive notre soutien.
Plus précisément, je voudrais insister sur deux points pour expliquer le soutien de mon groupe.
D’abord, le contexte politique est particulièrement tendu, comme je viens de l’expliquer. Il justifie la protection des données qui contiennent des informations sensibles dans le cadre des commandes publiques.
La protection des données publiques est un enjeu non seulement de souveraineté, mais aussi économique.
La France ne part pas de zéro ; Mme la ministre l’a rappelé tout à l’heure. Les travaux de notre collègue Wattebled s’inscrivent dans la continuité de ce qui a été fait depuis 2021, avec la mise en place d’outils importants, notamment la stratégie « cloud au centre », qui permettent d’héberger les données les plus sensibles dans des espaces souverains.
La deuxième raison qui justifie pleinement le soutien de notre groupe est que ce texte a été utilement modifié par la commission des lois.
Nous comprenons parfaitement l’objectif de l’auteur du texte, qui est d’élargir le dispositif existant aux collectivités territoriales pour protéger toutes les données publiques, quelles qu’en soient les sources. L’ambition est légitime.
Toutefois, comme l’a rappelé Mme la rapporteure, une application uniforme et, d’une certaine manière, sans discernement poserait des difficultés à la fois juridiques et opérationnelles, avec un risque d’inconstitutionnalité et d’incompatibilité avec les règles de concurrence qui prévalent pour la passation de marchés publics.
C’est ainsi que le texte de la commission des lois ne s’applique pas aux communes de moins de 30 000 habitants, et ce pour trois raisons.
La première est évidente : ces collectivités ne disposent guère des ressources humaines ou de l’expertise technique pour passer de tels marchés.
La deuxième raison est financière : une augmentation du coût comprise entre 25 % et 40 % ne serait pas soutenable dans le contexte budgétaire que nous connaissons ; cela porterait atteinte au développement des services publics ou aux investissements des collectivités.
La troisième raison est que le risque d’interception de données sensibles pour ces collectivités est moins fort que pour celles de la strate supérieure.
Nous considérons par ailleurs que l’application du texte à partir de 2028 est une bonne solution pour permettre d’adapter le marché au développement du cloud souverain.
Le chemin proposé par la commission des lois concilie utilement la souveraineté numérique et les contraintes budgétaires, opérationnelles et juridiques. (Applaudissements sur les travées des groupes Les Républicains et INDEP, ainsi que sur des travées des groupes UC et RDPI.)
Mme la présidente. La parole est à M. Bernard Buis.
M. Bernard Buis. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, nous étudions cet après-midi la proposition de loi relative à la sécurisation des marchés publics numériques. Ce texte s’inscrit dans la suite de la commission d’enquête sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d’entraînement sur l’économie française.
En 2021, le Premier ministre avait chargé ma collègue du groupe RDPI, Nadège Havet, d’une mission qui a abouti à la publication d’un rapport intitulé Pour une commande publique sociale et environnementale : état des lieux et préconisations. Ce sujet nécessite une attention continue de toute la représentation politique.
Votre démarche, mon cher collègue Wattebled, s’inscrit dans une dynamique essentielle de souveraineté, puisqu’elle vise à renforcer le niveau de protection des données hébergées en nuage par les acheteurs publics. Dans un contexte géopolitique incertain, cette volonté doit faire consensus.
Ce texte viendra compléter un ensemble de dispositions réglementaires et législatives adoptées ces dernières années afin de protéger les données dites sensibles.
Le président du groupe Les Indépendants, Claude Malhuret, avait déjà abordé, par le prisme de TikTok, le problème essentiel de l’exploitation des données par des puissances étrangères.
Nous partageons entièrement votre objectif, à savoir renforcer la protection face aux risques d’ingérence et de dépendance, notamment au moyen de clauses contraignantes pour les prestataires.
Toutefois, la rédaction initiale de l’article unique présentait des fragilités juridiques, limitant son applicabilité. En effet, elle introduisait une règle exorbitante par rapport au droit dérivé européen, ce qui aurait pu justifier son rejet par la Commission européenne.
En outre, une révision du règlement européen sur les marchés publics est prévue au premier semestre 2026, offrant potentiellement un cadre plus adapté pour orienter les fonds publics vers des solutions européennes.
La notion de « données publiques » n’était quant à elle pas suffisamment définie. Cette ambiguïté créerait une insécurité juridique, d’autant que le champ d’application du texte était très large, couvrant tout marché impliquant, même accessoirement, des prestations d’hébergement ou de traitement de données en nuage. Une portée si étendue rendrait le dispositif difficilement opérationnel.
Le rapport de la commission d’enquête sénatoriale du 8 juillet 2025 – je salue une nouvelle fois le travail de son président, M. Simon Uzenat, et de son rapporteur, M. Dany Wattebled, également auteur de la proposition de loi – souligne la forte exposition de l’État et des collectivités aux risques d’ingérence numérique.
Malgré l’existence d’outils déjà mobilisables, les garanties restent insuffisantes, car certains opérateurs, même implantés en Europe, peuvent rester soumis à des législations extraterritoriales. Seule une clause de non-exposition aux lois étrangères permettrait une protection effective, à condition que son application soit vérifiable.
Madame la rapporteure, vous avez donc proposé une réécriture du texte pour le rendre juridiquement robuste et opérationnel.
Vous avez également prévu l’exclusion des communes de moins de 30 000 habitants, ainsi que des communautés de communes : elles risqueraient de ne pas disposer de ressources humaines et techniques suffisantes pour adapter leurs marchés publics.
Le texte de la commission prévoit enfin un mécanisme de dérogation, dans certains cas, pour les collectivités ou les EPCI, qui, à la date d’entrée en vigueur de l’article, auraient déjà engagé un projet nécessitant le recours à un service d’informatique en nuage.
Nous voterons par conséquent en faveur de ce texte, modifié en commission avec l’accord de son auteur, mais aussi en faveur de l’amendement déposé en séance publique par M. Wattebled afin de maintenir une pression suffisante sur les acteurs concernés. (Applaudissements sur les travées du groupe INDEP. – M. Laurent Somon et Mme Dominique Vérien applaudissent également.)
Mme la présidente. La parole est à M. Christophe Chaillou. (Applaudissements sur les travées du groupe SER.)
M. Christophe Chaillou. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, la proposition de loi que nous examinons aujourd’hui, sur l’initiative de Dany Wattebled et de son groupe, Les Indépendants, a été cosignée par de nombreux sénateurs de différents groupes, car elle constitue la traduction législative directe des travaux de la commission d’enquête sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d’entraînement sur l’économie française, dont il a été le rapporteur.
Je veux à mon tour saluer le travail mené par cette commission, sous la dynamique présidence de notre collègue Simon Uzenat. Elle a rappelé une réalité qui s’impose à tous aujourd’hui : la vulnérabilité de nos données face aux législations extraterritoriales.
Ce constat prend, bien sûr, une résonance toute particulière dans un contexte politique et numérique en profonde mutation. La donnée est devenue une ressource stratégique, un attribut de puissance et, par conséquent, une cible. Cela nous impose de protéger nos données stratégiques contre les risques d’interception ou d’ingérence, qu’il s’agisse du Cloud Act américain ou d’autres législations.
Cette initiative n’est pas isolée ; elle s’inscrit dans un édifice législatif cohérent que nous bâtissons depuis plusieurs années, avec une accélération ces derniers mois. Ce texte prolonge ainsi l’esprit de la loi visant à sécuriser et à réguler l’espace numérique, dite loi Sren, de mai 2024, ou le projet de loi relatif à la résilience des infrastructures critiques et à la cybersécurité, en cours d’examen à l’Assemblée nationale.
Nous avions déjà, lors de différents débats, plaidé pour la sécurisation des données sensibles de l’État et, malheureusement, l’actualité nous rappelle cruellement l’urgence à agir.
Cet impératif de souveraineté se double d’une dimension économique majeure. Représentant près de 400 milliards d’euros par an, la commande publique constitue un levier d’action essentiel pour l’État et les collectivités territoriales. L’auteur de la proposition de loi, M. Wattebled, l’a bien rappelé tout à l’heure : il y a un enjeu tout particulier en ce qui concerne le numérique.
Dès lors, il est légitime, et même indispensable, d’aligner notre puissance d’achat sur nos objectifs stratégiques. En orientant ces investissements vers des solutions garantissant la protection de nos données, nous faisons non seulement acte de prudence, mais nous contribuons aussi activement à la consolidation d’un écosystème numérique européen fiable et pérenne.
Ce texte a été enrichi et amélioré par Mme la rapporteure. Son engagement a permis, avec le soutien de la commission des lois, de trouver un chemin pour dégager une solution opérationnelle.
Les différents orateurs qui m’ont précédé l’ont dit, nous ne pouvons que souscrire aux évolutions proposées : le recentrage sur les données sensibles, l’exonération pour les communes de moins de 30 000 habitants et, enfin, l’introduction de mécanismes de dérogation pour des projets déjà engagés ou en cas d’impossibilité technique.
Ce texte rassemble largement, parce qu’il est urgent et nécessaire. Il résulte d’un travail transpartisan de qualité, raison pour laquelle le groupe Socialiste, Écologiste et Républicain votera en sa faveur. (Applaudissements sur les travées des groupes SER, INDEP, UC et RDPI.)
Mme la présidente. La parole est à M. Alexandre Basquin.
M. Alexandre Basquin. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, la proposition de loi dont nous débattons marque un pas important dans la recherche d’une solution à la question fondamentale de l’hébergement et de la protection des données.
Je salue pleinement cette proposition et, pour couper court au suspense, je précise d’emblée que le groupe CRCE-K la votera sans réserve.
Pour autant, même si elle traite uniquement des marchés publics numériques, permettez-moi, dans le temps qui m’est imparti, d’aborder la question des données dans son ensemble : le fameux big data. Je le fais en ma qualité de technocritique assumé.
Les données personnelles sont devenues le pétrole de l’industrie numérique et le modèle économique de ces géants du numérique est essentiellement basé sur la monétisation de nos données. C’est un modèle extrêmement rentable : pour preuve, la valorisation boursière des géants du numérique dépasse, et de très loin, le PIB de nombreux États. C’est tout bonnement vertigineux !
Nos données personnelles sont devenues un véritable business. Elles sont constamment moissonnées, captées, exploitées à l’aide de robots et d’algorithmes hyperpuissants – le pire est sans doute à venir avec l’intelligence artificielle –, se retrouvant dans de nombreuses mains sans que nous le sachions vraiment.
De surcroît, elles sont souvent hébergées sur des serveurs situés à l’étranger ou détenus par des sociétés étrangères. C’est le cas de nos données de santé, qui sont hébergées sur des serveurs implantés aux États-Unis et gérés par Microsoft. L’administration américaine pourrait donc y avoir accès sur simple demande légale. Je rejoins donc la recommandation de la commission d’enquête sur la commande publique, qui réclame à cet égard une solution souveraine.
Je veux aussi évoquer les courtiers en données numériques, les fameux Data Brokers, qui font énormément d’argent sur notre dos dans des conditions particulièrement opaques, en achetant et en revendant nos données personnelles à des entreprises, à des administrations et à des gouvernements, avec des procédés bien ficelés qu’il serait trop long de décrire ici.
Je voudrais cependant vous faire part de deux exemples assez révélateurs.
La société américaine Clearview AI, spécialiste de la reconnaissance faciale, détient une base de données de 3 milliards de visages qui ont été pillés sur les réseaux sociaux, mais aussi sur les sites publics.
Je voudrais citer également la société Acxiom, qui s’honore de posséder des données sur 2,5 milliards de personnes.
Ces Data Brokers savent tout de nous, y compris les choses les plus intimes. Je trouve cela extrêmement dangereux, parce que notre vie privée ne l’est absolument plus, ce qui fait d’ailleurs dire à l’ancien PDG de Google, Eric Schmidt : « Pour le citoyen de demain, l’identité sera la plus précieuse des marchandises. »
L’activité des Data Brokers est proprement scandaleuse. C’est pourquoi le groupe CRCE–K a déposé une proposition de loi pour interdire le courtage de données numériques sur le sol français. J’en fais pour ma part un combat éthique, et il me semble que ce combat doit être collectif.
Enfin, pour terminer, permettez-moi de soulever une certaine forme d’hypocrisie gouvernementale.
Le Gouvernement ne cesse de parler de souveraineté numérique, mais nous savons que certains ministères choisissent des solutions numériques américaines. C’est le cas de l’éducation nationale, qui a renouvelé ses licences Microsoft, ou de la direction générale de la sécurité intérieure (DGSI), qui confie ses données à Palantir Technologies, entreprise pourtant fondée par le libertarien Peter Thiel.
Dans cette période où les ingérences étrangères ne cessent de progresser, je trouve que c’est particulièrement effarant.
Je pourrais aussi parler des nombreuses cyberattaques à l’encontre de nos administrations, mais je ne veux pas être trop long.
En tout état de cause, il nous faut être beaucoup plus offensifs, courageux et fermes sur la question des données. Nous devons, à mon sens, sortir de la mainmise, de la domination des géants du numérique. Avoir les données, c’est avoir le pouvoir. Il y va de la solidité de notre pacte social et républicain. (Applaudissements sur les travées du groupe SER, GEST et INDEP. – Mme Sophie Briante Guillemont et M. Bernard Buis applaudissent également.)
Mme la présidente. La parole est à M. Guy Benarroche. (Applaudissements sur les travées du groupe GEST.)
M. Guy Benarroche. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, dans un monde où les questions de souveraineté se font de plus en plus pressantes, où la guerre hybride, faite d’attaques cyber et de désinformation, nous menace de plus en plus, nous nous penchons sur une proposition de loi issue des travaux de la commission d’enquête sur la commande publique, dont Dany Wattebled était rapporteur.
Cette commission a notamment mis en lumière la particulière vulnérabilité de notre pays en matière d’hébergement des données publiques sensibles, nos solutions numériques étant assujetties à des droits étrangers extraterritoriaux.
Cette faille fait peser de nombreux risques sur la souveraineté numérique de la France : perte de contrôle des données sensibles, risque d’utilisation de ces données à des fins de renseignement économique, dépendance accrue vis-à-vis d’acteurs étrangers, vulnérabilité face aux changements de politique étrangère.
Si les risques techniques et juridiques quant à la sécurité du système sont bien identifiés, la mise en place d’un label de qualité SecNumCloud par l’Anssi n’est à l’évidence pas suffisante, comme en témoigne le renouvellement par le ministère de l’éducation nationale, via un accord-cadre, de ses licences Microsoft en mars 2025, pour un montant estimé à 75 millions d’euros sur quatre ans. Ce marché comprend également une partie cloud. Le ministère de l’éducation nationale n’a même pas saisi pour avis la direction interministérielle du numérique (Dinum)…
Alors, certes, nous connaissons les difficultés pour localiser les prestataires répondant aux marchés publics, mais l’auteur de la proposition de loi a tenté de mettre en place un cadre plus clair pour les critères de stockage des données : exclure les prestataires qui seraient soumis à des lois étrangères qui l’obligeraient à communiquer ces données à des autorités étrangères ; garantir que les données soient hébergées sur le territoire de l’Union européenne dans des conditions assurant leur protection contre toute ingérence par d’autres États.
Ce principe est clair et plus efficace que les prescriptions actuelles, qui ont démontré leurs limites.
C’est pourquoi nous regrettons un peu les modifications apportées par la commission des lois, que nous avons déjà connue plus ambitieuse sur ces sujets.
La rapporteure a rappelé le risque d’inconventionnalité et d’inconstitutionnalité du dispositif proposé, lequel conduisait indirectement à écarter les acteurs non européens de la commande publique de cloud.
Elle a toutefois rappelé que les textes français et européens, ainsi que les engagements internationaux de la France, notamment l’accord sur les marchés publics de l’Organisation mondiale du commerce (OMC), admettaient de telles restrictions d’accès pour des motifs impérieux d’intérêt général.
Encore une fois, la guerre hybride tend à nous démontrer que les données restent un point d’entrée pour la déstabilisation d’un État, même si, selon l’Anssi, toutes les données détenues par des entités publiques ne présentent pas le même intérêt pour des puissances étrangères.
Selon nous, la rédaction initiale de la proposition de loi répond bien à un motif impérieux d’intérêt général.
La frilosité dont notre commission a fait preuve nous amène à exprimer de vraies réserves, car les modifications qu’elle a apportées au texte semblent le vider d’une partie de son ambition, en diminuant son efficacité pour protéger nos données.
En se fondant sur une mesure existante, dont la commission d’enquête a démontré qu’elle n’était pas bien appliquée, en se basant sur la formulation « veiller à », en abandonnant une obligation claire pesant sur l’acheteur public qui aurait pu permettre l’annulation contentieuse des marchés passés en méconnaissance de celle-ci, l’amendement déposé par la rapporteure en commission restreint l’intérêt de ce texte.
Nous partageons les réserves sur les coûts que cela représenterait pour les collectivités territoriales, puisque 80 % des marchés publics ont été lancés par elles en 2023. Il s’agit bien d’un facteur limitant, car le recours à un prestataire souverain présentant de fortes garanties de sécurité risque d’entraîner un surcoût pour les acheteurs. Ainsi, pour un même prestataire, les tarifs des offres qualifiées SecNumCloud sont supérieurs de l’ordre de 25 % à 40 % à ceux des autres offres.
Cependant, les vols de données récents dans les systèmes de prise de rendez-vous pour des renouvellements de titres dans certaines mairies devraient nous alerter.
Je crains que les modifications de la commission s’apparentent à un pas de côté. L’obstacle reste devant nous et il faudra bien le franchir.
Pour autant, malgré nos réticences sur le manque d’efficacité de ce qui est désormais proposé, nous voterons pour ce texte, en espérant qu’il soit amélioré lors de la navette. (Applaudissements sur les travées des groupes GEST, SER et RDPI.)
Mme la présidente. La parole est à Mme Sophie Briante Guillemont.
Mme Sophie Briante Guillemont. Madame la présidente, madame la ministre, monsieur le ministre, mes chers collègues, nous examinons aujourd’hui la proposition de loi de Dany Wattebled, qui vise à garantir, pour la passation des marchés publics, la souveraineté numérique de la France et la confidentialité de nos données sensibles.
Avant d’aborder le fond de ce texte, je tiens à saluer l’initiative de notre collègue, qui met en œuvre une des recommandations de la commission d’enquête sur les coûts et les modalités de la commande publique, dont il était le rapporteur.
Tout comme la loi sur le narcotrafic, également issue de travaux préalables du Sénat, cette proposition de loi fait visiblement consensus dans son principe. Le texte a été modifié par notre commission des lois dans un sens qui nous paraît opportun. Je tiens d’ailleurs à saluer les travaux de la rapporteure.
La souveraineté numérique et la confidentialité de nos données sensibles sont deux sujets d’une importance fondamentale pour la France et pour la protection de nos intérêts.
La commission d’enquête a découvert de fortes vulnérabilités concernant les données publiques hébergées par certains acteurs non européens, en raison de leur soumission à un cadre juridique extraterritorial.
En d’autres termes, lorsque l’administration ou les collectivités décident de faire appel, dans le cadre d’un marché public numérique, à certaines entreprises de cloud étrangères, les données risquent d’être transmises au pays d’origine de ces fournisseurs.
Trois États concentrent principalement le risque : les États-Unis, l’Inde et la Chine. Ces pays ont en effet adopté des textes permettant à leurs services, pour des motifs de sécurité ou d’intérêt général, d’accéder aux données hébergées sur leur cloud, y compris lorsqu’elles concernent administrations ou citoyens étrangers.
Ainsi, en vertu de la législation américaine, notamment le Foreign Intelligence Surveillance Act (Fisa) et le Cloud Act, les États-Unis peuvent contraindre un fournisseur de cloud à transmettre des données sur des citoyens étrangers, même si les serveurs ne sont pas hébergés aux États-Unis. Des législations semblables existent en Chine et en Inde.
On comprend bien le risque : en choisissant une solution étasunienne, chinoise ou indienne, nos administrations et nos collectivités peuvent, sans toujours en avoir pleinement conscience, rendre certaines de leurs données accessibles aux gouvernements de ces États.
Dans les faits, selon la Cour des comptes, et sans grande surprise, trois fournisseurs de cloud américains, à savoir Amazon, Microsoft et Google, captent 70 % des parts de marché en Europe. Les fournisseurs européens, eux, ont connu une diminution de leurs parts de marché : elle est passée de 27 % en 2017 à 16 % en 2021.
Face à cette situation, la France a progressivement affirmé, avec la stratégie dite « cloud au centre », puis avec la loi Sren de mai 2024, un objectif de cloud souverain immunisé autant que possible contre les réglementations extraterritoriales.
Ainsi, l’article 31 de la loi Sren encadre l’hébergement des données présentant une sensibilité particulière pour l’État et ses opérateurs : celles-ci doivent être confiées à des prestataires offrant un niveau de sécurité élevé et une véritable protection contre l’accès d’autorités étrangères, une qualification spécifique étant délivrée par l’Anssi.
La proposition de loi que nous étudions aujourd’hui, telle que modifiée par la commission, vise précisément à étendre le dispositif de l’article 31 de la loi Sren aux grandes collectivités territoriales : régions, départements, communes de plus de 30 000 habitants et principales intercommunalités.
Grâce à une entrée en vigueur différée, les collectivités et les prestataires souverains disposeront du temps nécessaire pour adapter leurs contrats, leurs infrastructures et leurs pratiques.
Nous estimons donc que ce texte permettra de s’assurer effectivement que les données les plus sensibles des personnes publiques ne pourront plus être consultées ou exploitées par des États tiers, en particulier lorsqu’il ne s’agit pas, ou plus, de partenaires alignés avec nos intérêts.
Le groupe du RDSE, considérant notre autonomie stratégique comme fondamentale, votera naturellement ce texte. (Applaudissements sur des travées des groupes SER, GEST, UC et INDEP.)