- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Les fournisseurs de services d’informatique en nuage et les personnes qui y recourent pour des services essentiels mettent en œuvre des mesures garantissant la réversibilité et la portabilité des données et des services.
À ce titre, ils doivent :
1° Établir et tenir à jour un plan de réversibilité précisant les conditions techniques et contractuelles permettant la migration vers un autre environnement ;
2° Prévoir des mécanismes documentés d’export et de reconstitution des données et configurations, sans dépendances exclusives ;
3° Garantir l’accès aux journaux et métadonnées nécessaires à la reconstitution de service ;
4° Assurer que les sauvegardes critiques ne sont pas exclusivement sous le contrôle d’un seul prestataire.
Les modalités d’application du présent article sont précisées par décret ou référentiel de sécurité.
Au cours de son audition, le secrétaire général de la défense et de la sécurité nationale, M. Nicolas Roche, a mis en avant les enjeux relatifs à la dépendance accrue envers certains fournisseurs numériques. Cet amendement introduit une obligation de réversibilité et de portabilité pour les services cloud utilisés par les opérateurs essentiels. Il vise à assurer la continuité des services critiques, prévenir le verrouillage technique et renforcer la souveraineté numérique, en cohérence avec la doctrine de l’ANSSI et les initiatives européennes.