M. le président. Quel est l’avis du Gouvernement ?
M. le président. L’amendement n° 27 rectifié quater, présenté par Mme Paoli-Gagin, MM. Verzelen, Malhuret, Decool, Guerriau, Chasseing, Capus et Wattebled, Mme Mélot et M. Lagourgue, est ainsi libellé :
Après l’alinéa 5
Insérer un paragraphe ainsi rédigé :
… – La définition de la notion d’équivalence fonctionnelle est précisée par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse précise, dans un délai ne pouvant excéder douze mois après la promulgation de la présente loi.
La parole est à M. Pierre-Jean Verzelen.
M. Pierre-Jean Verzelen. La notion d’équivalence fonctionnelle, comme son application, suscite de nombreux débats. C’est pourquoi, en complément de la définition qui figurera dans la version finale du Data Act, le présent amendement vise à donner à l’Arcep la mission d’affiner cette notion en concertation avec les acteurs de l’écosystème.
M. le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Ce projet de loi a été préparé en anticipation du Data Act, toujours en négociation à l’échelle européenne.
Les premières versions du Data Act ne prévoyaient pas de définition de l’équivalence fonctionnelle, mais, au regard des dernières informations dont nous disposons sur l’avancée des négociations, une telle définition est bel et bien prévue. Il faudra donc, dans le cadre de la navette parlementaire, et une fois le Data Act définitivement adopté, introduire cette définition. Nous le ferons en temps utile. La commission a donc émis un avis défavorable sur cet amendement, qui est prématuré.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Monsieur Verzelen, l’amendement n° 27 rectifié quater est-il maintenu ?
M. Pierre-Jean Verzelen. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 27 rectifié quater est retiré.
Je mets aux voix l’article 9.
(L’article 9 est adopté.)
Article 10
I. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l’accomplissement de ses missions, et sur la base d’une décision motivée :
1° Recueillir auprès des personnes physiques ou morales fournissant des services d’informatique en nuage les informations ou documents nécessaires pour s’assurer du respect par ces personnes des obligations mentionnées au II de l’article 8 et aux II et III de l’article 9 ;
2° Procéder auprès de ces mêmes personnes à des enquêtes.
Ces enquêtes sont menées dans les conditions prévues aux II à IV de l’article L. 32-4 et à l’article L. 32-5 du code des postes et des communications électroniques.
L’autorité veille à ce que ne soient pas divulguées les informations recueillies en application du présent article, lorsqu’elles sont protégées par un secret mentionné aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l’administration.
II. – En cas de désaccord sur les conditions de mise en œuvre des obligations mentionnées au II de l’article 8 et aux II et III de l’article 9 de la présente loi, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut être saisie des différends dans les conditions prévues à l’article L. 36-8 du code des postes et des communications électroniques.
Sa décision est motivée et précise les conditions équitables, d’ordre technique et financier, de mise en œuvre des obligations mentionnées au II de l’article 8 et aux II et III de l’article 9 de la présente loi.
III. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, soit d’office, soit à la demande du ministre chargé du numérique, d’une organisation professionnelle, d’une association agréée d’utilisateurs ou de toute personne physique ou morale concernée, sanctionner les manquements aux obligations mentionnées au II de l’article 8 et aux II et III de l’article 9 qu’elle constate de la part d’un fournisseur de services d’informatique en nuage.
Ce pouvoir de sanction est exercé dans les conditions prévues à l’article L. 36-11 du code des postes et des communications électroniques. Par dérogation aux dixième à douzième alinéas du III du même article L. 36-11, la formation restreinte de l’autorité mentionnée à l’article L. 130 du même code peut prononcer à l’encontre du fournisseur de services d’informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d’affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
IV (nouveau). – Le président de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit l’Autorité de la concurrence des abus de position dominante et des pratiques entravant le libre exercice de la concurrence dont il pourrait avoir connaissance dans le secteur de l’informatique en nuage. Cette saisine s’effectue dans les conditions prévues à l’article L. 36-10 du code des postes et des communications électroniques.
M. le président. L’amendement n° 139, présenté par M. Chaize, au nom de la commission spéciale, est ainsi libellé :
Alinéa 9, seconde phrase
Après les mots :
chiffre d’affaires
insérer le mot :
mondial
La parole est à M. le rapporteur.
M. Patrick Chaize, rapporteur. Il s’agit d’un amendement de précision juridique.
M. le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. Cet amendement de précision juridique a pour objet d’aligner le régime des sanctions, en matière de portabilité et d’interopérabilité, sur ce qui est prévu dans le code des postes et des télécommunications. Le Gouvernement émet donc un avis favorable sur cet amendement.
M. le président. Je mets aux voix l’article 10, modifié.
(L’article 10 est adopté.)
Après l’article 10
M. le président. L’amendement n° 114, présenté par Mme Morin-Desailly et M. Chaize, est ainsi libellé :
I. – Après l’article 10
Insérer un article additionnel ainsi rédigé :
I. – Les fournisseurs de services d’informatique en nuage prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers, non autorisé par les autorités publiques, direct ou indirect par l’intermédiaire de toute personne physique ou morale, aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration, aux données de santé à caractère personnel mentionnées à l’article L. 1111-8 du code de la santé publique, ainsi qu’aux données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au présent I, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au même I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.
Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de veto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :
Chapitre II bis …
Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage
La parole est à Mme Catherine Morin-Desailly.
Mme Catherine Morin-Desailly. J’ai déposé cet amendement avec Patrick Chaize, et je souhaite y associer Florence Blatrix Contat et André Gattolin, avec lesquels j’ai beaucoup travaillé sur le projet de Data Act, qui vise à renforcer l’industrie européenne de l’informatique en nuage. Ce secteur est en plein essor et ne saurait être réservé à trois géants extra-européens qui, en quelque sorte, le cannibalisent. Il s’agit aussi d’asseoir progressivement notre autonomie stratégique européenne et de satisfaire à nos impératifs de sécurité nationale et, bien sûr, de développement économique.
D’une part, la protection de nos données stratégiques et sensibles, notamment vis-à-vis des États tiers, doit être une priorité. Or elle n’est toujours pas assurée actuellement. D’autre part, l’industrie européenne de l’informatique en nuage doit bénéficier de la force de frappe de nos entreprises et de nos administrations pour se développer, comme je l’ai dit dans mon intervention en discussion générale.
Cet amendement a donc pour objet de rehausser notre niveau de protection collective face aux risques et aux menaces que les législations extraterritoriales, notamment extracommunautaires, font peser sur nos données dites sensibles. Il s’agit des données personnelles de santé, notamment, mais aussi des données nécessaires à l’accomplissement des missions essentielles de l’État et liées aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif.
Des précautions supplémentaires doivent en effet être prises par les fournisseurs de services d’informatique en nuage et par les autorités publiques recourant à leurs services, notamment en matière d’immatriculation des sociétés, de répartition du capital et de gouvernance – autant de critères qui peuvent déclencher l’application de législations extraterritoriales.
Cet amendement complète utilement les autres dispositions du projet de loi, qui vise à encadrer ce marché de l’informatique en nuage et qui, par anticipation, applique le futur Data Act.
M. le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Même si beaucoup d’initiatives ont été prises dernièrement, nous demeurons vulnérables à des législations extraterritoriales de plus en plus nombreuses et évolutives. C’est particulièrement vrai dans le domaine de l’informatique en nuage et d’autant plus important que ce sont nos données personnelles, les données de nos entreprises, voire les données sensibles et stratégiques de l’État, qui sont en jeu.
Nous souhaitons donc rehausser notre niveau de protection collective et inciter les fournisseurs de services d’informatique en nuage à prendre toutes les précautions nécessaires pour éviter les accès à nos données d’États tiers non autorisés par nos autorités publiques.
Cet amendement prévoit des avancées importantes en établissant pour la première fois dans la loi une liste de données stratégiques et sensibles : données personnelles de santé, données nécessaires à l’accomplissement des missions essentielles de l’État et données liées aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif.
En matière de souveraineté numérique, nous avons encore beaucoup de chemin à faire pour mieux nous protéger. Cet amendement est donc aussi un appel à la fin de la naïveté. Par le lieu de stockage de nos données, la nature des logiciels employés, le lieu d’immatriculation des sociétés de logiciels ou de leurs prestataires, leur gouvernance ou la répartition de leur capital, des États tiers peuvent accéder de façon non autorisée à nos données, et pas toujours à bon escient. Soyons-en conscients, et allons donc plus loin ensemble. La commission spéciale a donc émis un avis très favorable sur cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. Le Gouvernement demande le retrait de cet amendement. À défaut, il émettra un avis défavorable à son adoption.
La stratégie du Gouvernement pour soutenir le développement d’un marché de l’informatique en nuage souverain repose sur trois piliers.
Le premier de ces piliers, dont j’ai parlé hier, est la stratégie d’accélération consacrée à l’informatique en nuage dans le plan France 2030, avec 667 millions d’euros consacrés au développement de l’offre, à divers appels à manifestation d’intérêt, à la formation et à des programmes de recherche dans ce domaine. Un certain nombre d’acteurs souverains de l’informatique en nuage ont déjà pu en bénéficier. Le premier pilier est donc le soutien à l’offre.
Le deuxième pilier est l’usage du levier de la concurrence. C’est ainsi que la France a soutenu le règlement sur les données, y compris lors des trilogues entre le Conseil, le Parlement et la Commission européenne. Avec ce projet de loi, nous anticipons certaines des mesures destinées à ouvrir un marché qui était complètement verrouillé jusqu’à présent, en encadrant les frais de transfert, en encadrant les avoirs commerciaux et en imposant l’interopérabilité et la portabilité. Pour une fois, la politique de concurrence européenne, souvent critiquée comme un obstacle à la création de champions français et européens, devient un instrument de déverrouillage de marchés dominés par quelques acteurs américains.
Le troisième pilier est la définition d’un périmètre au sein duquel nous exigeons le plus haut niveau de sécurité pour nos données. Nous ne souhaitons pas que des acteurs issus de pays dotés de législations extraterritoriales hébergent nos données, les exposant ainsi aux réquisitions gouvernementales de ces pays. C’est pourquoi nous avons mis en place une certification appelée SecNumCloud, qui garantit aux clients des fournisseurs de solutions d’informatique en nuage que les données que ceux-ci hébergent ne peuvent être réquisitionnées par des puissances étrangères en vertu de leur législation extraterritoriale. Cette certification, très exigeante, est conférée par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Notre ambition n’est pas que toutes les données des Européens doivent être hébergées dans des services d’informatique en nuage ainsi certifiés, mais plutôt que les données sensibles, notamment celles des administrations, soient hébergées d’une manière qui les immunise contre toute législation extraterritoriale.
Les trois piliers que j’ai mentionnés sont donc la politique de soutien à l’offre, la politique de concurrence et la certification SecNumCloud.
Le 12 septembre 2022, à Strasbourg, lors de l’inauguration du nouveau centre de données d’OVHcloud, Bruno Le Maire et moi-même avons déclaré que nous allions préciser le périmètre des données pour lequel nous exigerions que les administrations choisissent des offres d’informatique en nuage certifiées SecNumCloud. Nous avons exhorté les entreprises les plus sensibles, qui manipulent le type de données visé par cet amendement, à réfléchir très sérieusement à s’équiper avec ces mêmes solutions.
Pourquoi avons-nous exhorté les entreprises, plutôt que de leur imposer directement de s’équiper de solutions certifiées SecNumCloud ? Parce que, en parallèle de notre effort de certification française, nous avons une discussion très serrée au niveau européen sur un schéma de certification. Ce schéma, une fois adopté, « écrasera » les schémas de certification nationaux, c’est-à-dire que ceux-ci devront correspondre à ce schéma de certification européen, du moins en grande partie.
Quelle est la position de la France ? Bien entendu, la France soutient que, dans ce schéma européen, le niveau de certification le plus élevé doit correspondre aux exigences que la France a fixées pour elle-même, notamment l’immunité aux législations extraterritoriales. Vous allez me dire que cela va de soi, et qu’un schéma de certification volontaire européen doit permettre à chacun de trouver ce qu’il souhaite. La France, en particulier, doit pouvoir se référer à un schéma qui inclut l’immunité aux législations extraterritoriales. Pourtant, un certain nombre de pays européens s’opposent à ce que le niveau de sécurité le plus élevé de ce schéma de certification incorpore l’immunité aux législations extraterritoriales. Nous nous battons depuis de nombreux mois pour éviter que ce groupe de pays ne l’emporte et pour garantir que l’immunité que nous souhaitons pour nous-mêmes figure bien dans ce schéma de certification européen, qui s’imposera ensuite à nous.
Parmi les arguments déployés par les opposants à l’immunité dans le schéma de certification européen, il y a l’idée que nous ne souhaitons pas réserver cette immunité aux données sensibles des administrations, mais l’étendre à toutes les entreprises de France. Chaque fois que nous avons ces discussions, ces pays nous accusent de vouloir imposer à toutes les entreprises d’Europe la certification que nous avons créée.
Mesdames, messieurs les sénateurs, nous avons les mêmes objectifs, nous voulons que nos données sensibles soient hébergées avec des solutions certifiées. Mais si vous adoptez cet amendement, la prochaine fois que je discuterai du schéma de certification européen, les opposants à l’immunité aux législations extraterritoriales m’accuseront de vouloir imposer notre vision à toutes les entreprises.
C’est pour cela que je demande le retrait de cet amendement, comme gage de notre bonne volonté. Le 12 septembre, nous avons déclaré que nous allions préciser le périmètre des données pour lesquelles nous exigerions que les administrations les placent dans des solutions d’informatique en nuage certifiées. La Première ministre a signé le mois dernier une circulaire qui, dans son paragraphe R9, précise ce périmètre. Nous avançons, donc, mais il y a deux chantiers en parallèle : le chantier français et le chantier européen.
Il est très important pour nous de gagner la bataille au niveau européen, c’est pourquoi je demande le retrait de cet amendement. Ce sont sans doute les mêmes arguments que j’utiliserai pour défendre l’amendement n° 108.
M. le président. La parole est à M. Pierre Ouzoulias, pour explication de vote.
M. Pierre Ouzoulias. J’aimerais vous faire part de mon expérience personnelle. J’ai essayé de trouver un opérateur d’informatique en nuage en France qui garantisse que mes données ne puissent pas être transmises à l’étranger. Je n’en ai pas trouvé. En effet, beaucoup des opérateurs français louent une partie de leurs infrastructures aux Gafam (Google, Apple, Facebook, Amazon, Microsoft) qui, elles, peuvent transmettre les données aux États-Unis. J’ai trouvé un tel opérateur en Suisse. Je sais que les données informatiques sont l’or du XXIe siècle ; il n’est donc pas étonnant que l’on trouve de telles solutions en Suisse… (Sourires.)
Nous pourrions toutefois trouver des solutions françaises. En ce qui me concerne, ce n’est pas trop grave, je n’ai pas de données très confidentielles. Imaginez cependant qu’un opérateur tiers puisse accéder à l’informatique en nuage des 348 sénateurs que nous sommes. Il pourrait créer un cloud du Sénat, sur lequel tester des stratégies d’expertise assez évoluées. Ce qui est en jeu est fondamental, c’est notre souveraineté. J’ai bien compris que vous défendiez notre souveraineté au niveau européen, monsieur le ministre, mais je pense que voter cet amendement va vous aider. Nous sommes avec vous dans ce combat. Si vous allez à la négociation en disant que le Parlement exige que la souveraineté de l’informatique en nuage soit garantie par la loi, cela ne peut que vous aider.
M. le président. La parole est à Mme la présidente de la commission spéciale.
Mme Catherine Morin-Desailly, présidente de la commission spéciale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique. Nous avons bien noté, monsieur le ministre, un infléchissement de la politique du Gouvernement, qui s’est caractérisé par l’ajout de la souveraineté numérique au portefeuille de votre ministre de tutelle. Nous avons bien noté, également, les trois piliers de votre action, et nous connaissons votre combat à Bruxelles pour faire avancer cette cause et harmoniser cette certification, dont vous avez dit vous-même qu’elle allait « écraser » les certifications nationales.
J’ai néanmoins quelques réserves. Vous avez dit que la Première ministre avait précisé le périmètre des données par une circulaire. Soyons honnêtes, cela a été fait en réponse à la pression exercée à l’Assemblée nationale lors de l’examen de la loi de programmation militaire. Notre collègue Philippe Latombe a amendé le texte pour mettre enfin la question sur la table, notamment pour les données de santé, et nous nous réjouissons que la Première ministre ait enfin publié cette circulaire, qui sera utile. Cependant, nous souhaitons que ce périmètre soit finalement inscrit dans la loi.
Pourquoi ? Des lois qui immunisent contre l’extraterritorialité, j’avoue que je ne comprends pas très bien ce que cela signifie. Nous sommes toujours dépendants de la fameuse loi Fisa (Foreign Intelligence Surveillance Act), la loi américaine sur l’espionnage, qui doit d’ailleurs être prorogée à partir du 31 décembre prochain.
Son article 102 permet aux agences fédérales de renseignement d’ordonner à tout moment aux fournisseurs américains de services informatiques en nuage de transférer les données sans condition. Cet article ne prévoit absolument aucune garantie pour les Européens, alors que les Américains peuvent être protégés par un recours auprès d’un juge.
Il y avait donc une occasion, à l’approche de cette échéance, de revoir cet article 102 et d’y prévoir des garanties similaires à celles que l’on peut trouver en Europe grâce à la Cnil. Cela n’a pas eu lieu, et l’Europe a manqué une étape importante. Nous risquons de retourner vers une potentielle invalidation par la Cour de justice de l’Union européenne de l’accord de transfert de données, qui ne s’appelle plus Safe Harbor, ni Privacy Shield, mais désormais Data Privacy Framework. Les Cnil européennes se sont déjà prononcées sur ce texte et ont déjà tiré la sonnette d’alarme, tout comme le Parlement européen, bien que celui-ci n’ait été que consulté et n’ait pas été amené à voter.
Tant que cela subsiste, nous devons rester fermes sur nos bases et protéger nos données. Nous ne saurions trop souligner la gravité de la situation, monsieur le ministre. Ce texte doit être un moteur pour soutenir et accompagner l’industrie de l’informatique en nuage, qui a également besoin d’un coup de pouce. Nous avons des opérateurs capables de gérer nos données sensibles dans le cadre de programmes multifournisseurs. Nous devons donc accélérer, car les mesures que vous avez contribué à inscrire dans la loi, en prévision du Data Act, ne suffiront pas. Il faut qu’elles soient soutenues par une politique industrielle très volontariste. Au Sénat, nous en sommes convaincus de longue date.
M. le président. La parole est à M. le ministre délégué.
M. Jean-Noël Barrot, ministre délégué. C’est un sujet passionnant, qui a suscité de nombreux travaux sénatoriaux, lesquels ont inspiré ces articles. Je tiens à remercier les sénateurs et sénatrices qui ont contribué à installer ce débat dans notre pays.
Mes réticences de principe sont liées aux discussions en cours, dont j’ai souligné à quel point elles sont serrées. Je tiens vraiment à vous rappeler la différence entre les discussions que nous avons eues sur l’informatique en nuage concernant les questions de concurrence, où nous trouvons aisément une majorité au niveau européen, et celles qui concernent les questions d’immunité et de schémas de certification, où il est beaucoup plus compliqué d’en trouver une.
Nous anticipons donc sur le Data Act pour les sujets de concurrence, car nous sommes confiants quant à l’obtention d’un accord final. Mais sur les sujets d’immunité, nous sommes plus prudents, parce que les réticences sont plus grandes.
J’ajouterai une observation sur la nécessité de retravailler cette rédaction au cours de la navette. En effet, l’adoption de cet amendement imposerait de nombreuses obligations aux fournisseurs de services d’informatique en nuage. Vous leur demandez en effet de prendre toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers non autorisé par les autorités publiques, directement ou indirectement. Mais il est difficile de savoir comment faire obstacle aux législations extraterritoriales ! Nous commençons à avoir l’habitude de parler de celle des États-Unis, sur laquelle nous disposons désormais d’une abondante littérature, notamment au Sénat et à l’Assemblée nationale, mais il y en a d’autres…
Si cet amendement est adopté, il faudra, pour répondre à l’obligation qu’il crée, que chaque fournisseur de services d’informatique en nuage devienne expert en législation extraterritoriale. Certains de nos acteurs, les plus éprouvés, les plus importants, pourront sans doute y parvenir, mais pour les plus petits, cela risque d’être un peu plus compliqué !
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 10.
Chapitre II bis
Transparence sur le marché de l’informatique en nuage
(Division nouvelle)
Article 10 bis (nouveau)
Les fournisseurs d’informatique en nuage et leurs intermédiaires mettent à disposition sur leur site internet les informations suivantes et les tiennent à jour :
1° Des informations concernant l’emplacement physique de toute l’infrastructure informatique déployée pour le traitement des données de leurs services individuels ;
2° L’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage ;
3° Une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné.
Les sites internet mentionnés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d’informatique en nuage et leurs intermédiaires.