- Texte visé : Texte n°1674, adopté par la commission spéciale, sur le projet de loi, adopté par le Sénat visant à sécuriser et réguler l’espace numérique (n°1514 rectifié)
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Rétablir cet article dans la rédaction suivante :
« I. – Lorsque les administrations de l’État ou ses opérateurs, dont la liste est annexée au projet de loi de finances, ont recours à un service d’informatique en nuage fourni par un prestataire privé pour la mise en œuvre de systèmes ou applications informatiques, elles veillent au respect des dispositions du présent article.
« Si le système ou l’application informatique concerné traite de données d’une sensibilité particulière, telles que définies au II du présent article, qu’elles soient à caractère personnel ou non, et que leur violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou la vie des personnes ou à la protection de la propriété intellectuelle, l’administration veille à ce que le service d’informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données, garantissant notamment la protection des données traitées ou stockées contre tout accès non autorisé par des autorités publiques d’États en dehors de l’Union européenne.
« II. – Sont qualifiées de données d’une sensibilité particulière au sens du I :
« 1° les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311‑5 et L. 311‑6 du code des relations entre le public et l’administration ;
« 2° les données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
« III. – Lorsque, lors de l’entrée en vigueur du présent article, l’administration de l’État ou son opérateur mentionné au I, a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage, cette administration ou cet opérateur peut solliciter une dérogation au présent article.
« IV. – Un décret en Conseil d’État précise les modalités d’application du présent article, et notamment les critères de sécurité et de protection des données visés au I, les conditions dans lesquelles une dérogation peut être accordée par le Premier ministre pour des projets déjà engagés et la durée de cette dérogation, ainsi que les conditions dans lesquelles les administrations de l’État ou les opérateurs concernés doivent solliciter l’avis du directeur interministériel du numérique. »
La protection de nos données stratégiques et sensibles, notamment vis-à-vis des États tiers, doit être une priorité. Par ailleurs, le levier de la commande publique est indispensable pour permettre à une véritable industrie numérique européenne de se développer.
Toutefois, le rétablissement en l’état de l’article 10bisA tel que voté au Sénat ne reprend qu’une partie des exigences imposées par la qualification SecNumCloud de l’Agence Nationale de la sécurité des systèmes d’informations (ANSSI). En effet, la qualification SecNumCloud impose des exigences assurant la protection des données par le respect de mesures techniques, opérationnelles et juridiques. Cependant, l’écriture de l’article 10bisA voté au Sénat n’intègre pas l’intégralité des exigences SecNumCloud et ne mentionne que les critères juridiques. En l’espèce, l’écriture proposée renvoie vers un décret permettant de préciser le respect de l’ensemble des exigences SecNumCloud.
Le présent amendement vise ainsi à assurer la protection des données sensibles traitées par les administrations publiques en s’assurant que celles-ci, lorsqu’elles doivent avoir recours à des services d’informatique en nuage privés, s’assurent de ce que ces services soient suffisamment fiables et protecteurs des données de nos concitoyens et respectent les critères fixés par décret.
Afin d’assurer la cohérence d’ensemble des cadres normatifs, le présent amendement propose d’adapter au niveau législatif la doctrine Cloud au centre, qui repose elle-même sur la qualification SecNumCloud déployée par l’ANSSI.
Un décret en Conseil d’État précisera également les détails de l’application du présent article, et notamment les conditions dans lesquelles l’avis du directeur interministériel du numérique devra être consulté, ainsi que les conditions dans lesquelles une dérogation au présent article peut être accordée aux administrations de l’État ou leurs opérateurs pour les projets déjà engagés lors de l’entrée en vigueur de cette obligation.