Réponse publiée le 3 juin 2025

Le Gouvernement suit avec la plus grande attention le développement du marché du cloud, et ce dans le cadre de la stratégie nationale cloud, lancée en 2021. Il a, à ce titre, pris acte du lancement de l'offre l'AWS European Sovereign Cloud d'Amazon Web Services (AWS). La stratégie d'un cloud de confiance repose sur la certification « SecNumCloud ». Délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), elle assure un niveau de protection très élevé des services qualifiés, et cela contre tout accès non-autorisé aux données qu'ils hébergent et qu'ils traitent – notamment via des lois extraterritoriales. Par ailleurs, au moyen de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN), et à la demande des parlementaires, les dispositions législatives tenant à la protection des données sensibles contre les législations extraterritoriales s'agissant à la fois des administrations de l'État, de ses opérateurs ou de certains groupements d'intérêt public, ont été renforcées. À cet égard, toute offre d'informatique en nuage, qu'elle soit présentée par AWS ou tout autre prestataire, devra systématiquement être évaluée en conformité avec les critères relevant de la qualification SecNumCloud 3.2 pour pouvoir être qualifiée comme telle, y compris en ce qui concerne son niveau de protection vis-à-vis du droit extra-européen. Seules les offres étant in fine qualifiées SecNumCloud pourront – par définition – être retenues lorsque la loi impose le recours à une telle offre. Cela étant, l'Allemagne est et demeure souveraine dans ses choix. Les propos de la présidente du BSI (Office fédéral de la sécurité des technologies de l'information et homologue allemand de l'ANSSI) n'engagent nullement la France ou l'Union européenne. Le schéma de certification allemand repose, en effet, sur un système d'évaluation différent et indépendant du schéma français, étant précisé qu'il n'y a, aujourd'hui, pas encore de schéma européen. La certification allemande s'appuie ainsi sur le catalogue des contrôles de conformité de « cloud computing », dénommé C5, qui n'a pas été reconnu équivalent au référentiel français SecNumCloud. En tout état de cause, la France continue à soutenir l'ambition d'assurer le développement d'un marché diversifié et concurrentiel du cloud de confiance, en mesure de répondre aux besoins d'innovation et de sécurité de nos administrations et de nos entreprises. Une position que nous défendons également de manière cohérente et sans faillir dans le cadre des négociations au niveau européen, notamment dans le cadre de la certification de cybersécurité des services cloud (EUCS) afin de disposer d'un cadre fiable, complet, robuste, transparent et qui garantisse une protection efficace des données sensibles en Europe – en particulier contre l'application de législations extraterritoriales. Ces négociations sont complexes, mais la France continue de porter fortement, dans le cadre de ces discussions qui sont encore en cours, sa position visant à maintenir la possibilité pour les États membres de protéger les données les plus sensibles des administrations comme des entreprises, et nous ne ménageons pas nos efforts pour continuer de rallier les autres États membres à notre volonté d'assurer à l'UE une autonomie stratégique suffisante pour protéger ses données les plus sensibles.