- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Dans le cadre de la mise en œuvre des obligations relatives à la cybersécurité des entités essentielles et importantes, les prestataires de services, y compris les hébergeurs de données, établis dans un pays tiers peuvent être sollicités à condition que :
1° Le pays tiers en question soit lié à l’Union européenne par un accord de commerce et de coopération comprenant des engagements explicites en matière de protection des données et de cybersécurité ;
2° L’entreprise concernée s’engage contractuellement à respecter les obligations issues du droit européen en matière de cybersécurité, notamment celles prévues par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
3° Cette conformité fasse l’objet d’un audit régulier par une autorité compétente désignée par décret.
La liste des pays et catégories de prestataires concernés est fixée par décret en Conseil d’État, après avis de la Commission nationale de l'informatique et des libertés et de l’Agence nationale de la sécurité des systèmes d'information.
Le présent amendement vise à intégrer, dans les règles encadrant le recours à des prestataires non européens, la possibilité de travailler avec des entreprises établies dans des pays ayant un accord de commerce et de coopération avec l’Union européenne, à condition qu’elles acceptent explicitement d’être soumises aux normes européennes en matière de cybersécurité et de protection des données.
Il s’agit de trouver un équilibre entre la protection de la souveraineté numérique et l’ouverture à des partenaires fiables, tout en renforçant l’attractivité d’une conformité aux standards européens à l’échelle internationale.