- Texte visé : Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, visant à sécuriser et réguler l’espace numérique (n°1514 rectifié)., n° 1674-A0
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Rétablir cet article dans la rédaction suivante :
« I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès, direct ou indirect par l’intermédiaire de toute personne physique ou morale, d’un État tiers, non autorisé par les autorités publiques aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311‑5 et L. 311‑6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111‑8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes. Cette mise en conformité se fait par étapes progressives définies par décret en Conseil d’État.
« II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au I du présent article, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au même I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
« Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne soit pas détenu directement, indirectement ou collectivement à plus d’un certain seuil par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne. Ce seuil est défini par décret en Conseil d’État.
« Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de veto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
« III. – Les modalités du présent article sont définies par décret en Conseil d’État. »
Par cet amendement, le groupe LR vise à réintroduire en partie l'article 10 bis A introduit au Sénat afin de se pencher sérieusement sur les moyens de rehausser notre niveau de protection collective face aux risques et aux menaces que les législations extra-territoriales peuvent faire peser sur nos données dites sensibles.
Les députés LR sont conscients que des précautions supplémentaires doivent être prises par les fournisseurs de services d’informatique en nuage, et par les autorités publiques recourant à leurs services, notamment en matière d’immatriculation des sociétés, de répartition du capital et de gouvernance, soit autant de critères qui peuvent déclencher l’application de législations extra-territoriales.
Cependant, ce n’est pas en forçant sans délai raisonnable les entreprises à se numériser ou développer des innovations avec des solutions qui mettent à risque leur cybersécurité, et les obligeraient à utiliser les solutions technologiques moins disantes. C'est pourquoi cet amendement ajuste l'article sénatoriale afin de laisser le Gouvernement fixer notamment un calendrier raisonnable tout en encourageant le fait d’atteindre une plus grande souveraineté numérique et une plus grande autonomie stratégique au niveau de l’Union européenne que nous appelons conjointement de nos vœux avec les Sénateurs.