II. LA PROPOSITION DE LOI VISE À PROTÉGER L'ENSEMBLE DES DONNÉES PUBLIQUES DU RISQUE DE CAPTATION
La commission d'enquête sénatoriale sur le coût et les modalités effectifs de la commande publique a néanmoins constaté, d'une part, que les récentes avancées règlementaires et législatives visant à renforcer la souveraineté des données peinent à être pleinement appliquées par les entités publiques qui y sont assujetties et, d'autre part, que ce cadre normatif demeure insuffisant face à l'étendue des risques de captation des données par des États tiers. Le rapporteur de la commission d'enquête et auteur de la présente proposition de loi, Dany Wattebled, a ainsi souhaité transcrire dans la loi les conclusions des travaux conduits.
En conséquence, l'article unique de la proposition de loi vise à rendre obligatoire, pour les marchés publics comportant des prestations d'hébergement et de traitement des données publiques en nuage, l'introduction, par l'acheteur public, de conditions d'exécution du marché garantissant :
· d'une part, la non-application d'une législation étrangère à portée extraterritoriale de nature à contraindre le titulaire à communiquer ou à transférer ces données à des autorités étrangères ;
· d'autre part, l'hébergement de ces données sur le territoire de l'Union européenne dans des conditions assurant leur protection contre toute ingérence par des États tiers.
Le dispositif proposé représente donc une évolution substantielle du cadre juridique français : alors qu'en l'état du droit, seules les données d'une sensibilité particulière des administrations et des opérateurs de l'État doivent faire l'objet d'un hébergement souverain et immun aux législations extraterritoriales, l'article unique entend imposer de telles obligations pour toute donnée publique détenue par les acheteurs publics, y compris les collectivités locales.
III. L'AVIS DE LA COMMISSION : UN OBJECTIF LÉGITIME MAIS QUI DOIT ÊTRE CONCILIÉ AVEC LES EXIGENCES EUROPÉENNES ET LES CONTRAINTES OPÉRATIONNELLES DES ACHETEURS PUBLICS
Selon Olivia Richard, rapporteure, le dispositif proposé, s'il témoigne d'une volonté politique légitime au vu des conclusions alarmantes de la commission d'enquête, soulève néanmoins un certain nombre de difficultés juridiques et opérationnelles.
Les travaux conduits préalablement à l'examen du texte ont permis de démontrer que si la prépondérance d'acteurs étrangers sur le marché de l'hébergement en nuage est avérée à l'échelle de l'Union européenne, ce constat est à nuancer s'agissant des administrations publiques françaises, qui s'adaptent progressivement aux nouvelles obligations d'hébergement souverain.
A. UN RISQUE DE NON-CONFORMITÉ DES MARCHÉS PUBLICS AUX EXIGENCES DE NON-DISCRIMINATION ET D'ÉGALITÉ DE TRAITEMENT
En premier lieu, les obligations nouvelles que l'article unique entend imposer dans tous les marchés publics présentent un risque d'inconventionnalité et d'inconstitutionnalité. En effet, le dispositif proposé, conduisant indirectement à écarter les acteurs non-européens de la commande publique de cloud, pourrait s'apparenter à une discrimination en raison de la nationalité du fournisseur. Or, les textes français et européens, ainsi que les engagements internationaux de la France, notamment l'accord sur les marchés publics de l'OMC, n'admettent de telles restrictions d'accès que lorsque celles-ci sont prévues en raison d'un motif impérieux d'intérêt général.
Cependant, selon l'ANSSI, toutes les données détenues par des entités publiques ne présentent par le même intérêt pour des puissances étrangères, et ne connaissent donc pas le même besoin de protection. Dès lors, les restrictions d'accès à certains marchés publics d'hébergement de données peu sensibles apparaissent disproportionnées.