N° 199
SÉNAT
SESSION ORDINAIRE DE 2025-2026
Enregistré à la Présidence du Sénat le 10 décembre 2025
RAPPORT
FAIT
au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur la proposition de loi relative à la sécurisation des marchés publics numériques,
Par Mme Olivia RICHARD,
Sénatrice
(1) Cette commission est composée de : Mme Muriel Jourda, présidente ; M. Christophe-André Frassa, Mme Marie-Pierre de La Gontrie, M. Marc-Philippe Daubresse, Mmes Laurence Harribey, Isabelle Florennes, Patricia Schillinger, Cécile Cukierman, MM. Dany Wattebled, Guy Benarroche, Michel Masset, vice-présidents ; Mmes Marie Mercier, Jacqueline Eustache-Brinio, Lauriane Josende, M. Olivier Bitz, secrétaires ; M. Jean-Michel Arnaud, Mme Nadine Bellurot, MM. Jean-Baptiste Blanc, François Bonhomme, Hussein Bourgi, Mme Sophie Briante Guillemont, M. Ian Brossat, Mme Agnès Canayer, MM. Christophe Chaillou, Mathieu Darnaud, Mmes Catherine Di Folco, Françoise Dumont, MM. Patrick Kanner, Éric Kerrouche, Henri Leroy, Stéphane Le Rudulier, Mme Audrey Linkenheld, MM. Alain Marc, David Margueritte, Hervé Marseille, Thani Mohamed Soilihi, Mme Corinne Narassiguin, M. Paul Toussaint Parigi, Mme Anne-Sophie Patru, M. Hervé Reynaud, Mme Olivia Richard, MM. Teva Rohfritsch, Pierre-Alain Roiron, Mme Elsa Schalck, M. Francis Szpiner, Mmes Lana Tetuanui, Dominique Vérien, M. Louis Vogel, Mme Mélanie Vogel.
Voir les numéros :
|
Sénat : |
8 et 200 (2025-2026) |
L'ESSENTIEL
La proposition de loi n° 8 (2025-2026) relative à la sécurisation des marchés publics numériques, inscrite à l'ordre du jour réservé du groupe Les Indépendants - République et Territoire (LIRT) entend renforcer le niveau de protection des données hébergées en nuage par les acheteurs publics. La commission d'enquête1(*) issue du droit de tirage de ce même groupe a en effet mis en lumière les risques d'interception par des autorités étrangères de ces données du fait des législations non-européennes à portée extraterritoriale.
Dans un contexte géopolitique incertain, la volonté de préserver les données françaises fait consensus et rejoint d'ailleurs un ensemble de dispositions réglementaires et législatives adoptées ces dernières années afin de protéger les données dites « sensibles ». Pour autant, la rapporteure a souligné que le périmètre retenu par l'article unique présentait des limites tant d'un point de vue juridique qu'opérationnel.
En conséquence, la commission a restreint le périmètre du dispositif afin de le rendre cohérent avec la nature du risque encouru et elle a tenu compte des difficultés, notamment financières et techniques, qu'il pourrait présenter pour certaines collectivités, afin de garantir sa bonne application.
I. LE RECOURS À DES PRESTATAIRES ÉTRANGERS CONSTITUE UN RISQUE POUR LA SOUVERAINETÉ DES DONNÉES HÉBERGÉES EN NUAGE
A. LES GRANDS PRESTATAIRES DE CLOUD ÉTRANGERS SONT SOUMIS À DES LÉGISLATIONS À PORTÉE EXTRATERRITORIALE
La commission d'enquête sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française a mis en lumière la dépendance des administrations françaises aux solutions informatiques proposées par des acteurs extra-européens. Cette situation est source de vulnérabilités pour les données publiques hébergées chez ces acteurs, en raison de leur soumission à un cadre juridique de nature extraterritorial. De fait, certaines législations étrangères peuvent compromettre la souveraineté et la confidentialité des données hébergées en nuage :
· Aux États-Unis, le Foreign Intelligence Surveillance Act (FISA), l'Executive Order 12.333 et le Clarifying Lawful Overseas Use of Data (Cloud) Act permettent aux autorités américaines de contraindre un fournisseur de services informatiques à distance à lui dévoiler toute communication ou information concernant un client se trouvant en sa possession, que cette donnée se trouve ou non aux États-Unis.
· En Chine, la loi sur le renseignement national impose aux citoyens et aux entreprises de « soutenir, assister et coopérer aux efforts des services de renseignement nationaux [...] tant à l'intérieur qu'à l'extérieur du pays ».
· En Inde, le Digital Personnal Data Protection Act prévoit également que toute personne responsable du traitement de données est tenue de communiquer à l'État les données qu'il détient, lorsque cette donnée est nécessaire à l'exercice d'une fonction légale, contribue à la sécurité, la souveraineté et l'intégrité du pays, ou au maintien de l'ordre public.
* 1 L'urgence d'agir pour éviter la sortie de route : piloter la commande publique au service de la souveraineté économique, rapport n° 830 (2024-2025) fait par Simon Uzenat (Président) et Dany Wattebled (rapporteur) au nom de la commission d'enquête sur les coûts et les modalités effectifs de la commande publique et la mesure de leur entraînement sur l'économie française, déposé le 8 juillet 2025.