AMENDEMENT

I. – Après l’article 10

Insérer un article additionnel ainsi rédigé :

I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers, non autorisé par les autorités publiques, direct ou indirect par l’intermédiaire de toute personne physique ou morale, aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111-8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.

II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au présent I, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au dudit I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.

Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.

Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.

II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Chapitre II bis …

Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage

Ce projet de loi devrait aussi permettre de renforcer l’industrie européenne de l’informatique en nuage, qui sera une des clés de notre futur. Cependant, il est nécessaire d’aller plus loin pour garantir notre autonomie stratégique européenne, qui recouvre à la fois des impératifs de sécurité nationale et de développement économique, et ce pour deux raisons :

-   d’une part, la protection de nos données stratégiques et sensibles, notamment vis-à-vis des États tiers, doit être une priorité ;

-   d’autre part, l’industrie européenne de l’informatique en nuage doit bénéficier de la force de frappe de nos entreprises et de nos administrations pour se développer.

Cet amendement a donc pour objet de rehausser notre niveau de protection collective face aux risques et aux menaces que les législations extra-territoriales, notamment extra-communautaires, font peser sur nos données dites sensibles : données personnelles de santé, données essentielles à l’accomplissement des missions essentielles de l’État et données liées aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif.

Des précautions supplémentaires doivent en effet être prises par les fournisseurs de services d’informatique en nuage, et par les autorités publiques recourant à leurs services, notamment en matière d’immatriculation des sociétés, de répartition du capital et de gouvernance, soit autant de critères qui peuvent déclencher l’application de législations extra-territoriales.

Cet amendement complète ainsi utilement les autres dispositions du projet de loi visant à encadrer le marché de l’informatique en nuage, afin de nous permettre d’atteindre une plus grande souveraineté numérique et une plus grande autonomie stratégique au niveau de l’Union européenne.