B. DES OBLIGATIONS NOUVELLES POUR LES ACHETEURS PUBLICS QUI POURRAIENT ÊTRE SOURCES DE DIFFICULTÉS
En second lieu, les obligations créées par l'article unique semblent trop importantes et complexes pour être mises en oeuvre par l'ensemble des acheteurs publics.
Alors que la commission d'enquête sur les coûts et les modalités effectifs de la commande publique a mis en avant les difficultés rencontrées par les petits acheteurs publics pour se conformer aux exigences du code de la commande publique, l'introduction de conditions d'exécution relatives au domaine d'application de lois étrangères extraterritoriales en matière numérique sera inévitablement complexe pour les petites collectivités, qui ne comptent, le plus souvent, pas d'acheteur professionnel au sein de leur équipe.
La rédaction de l'article unique présente en outre certaines imprécisions - car elle ne définit notamment pas clairement le terme de donnée publique - et engendre ainsi un risque de confusion pour les acheteurs quant au périmètre de données à protéger.
Enfin, l'obligation de recourir à un prestataire souverain présentant de fortes garanties de sécurité risque d'engendrer un surcoût pour ces acheteurs. Les tarifs des offres qualifiées SecNumCloud présentent en effet des coûts supérieurs par rapport aux offres non qualifiées d'un même prestataire, de l'ordre de 25 % à 40 %4(*). Au regard de l'état des finances locales, l'application indifférenciée du dispositif à l'ensemble des collectivités serait problématique.
C. DES EFFETS INCERTAINS SUR LES ENTREPRISES FRANÇAISES
Selon l'Autorité de la concurrence, le recours obligatoire de l'ensemble des acheteurs publics à des prestataires souverains hautement sécurisés, disposant par exemple de la qualification SecNumCloud, pourrait de surcroît avoir des effets contre-productifs pour l'émergence d'acteurs français et européens. Les coûts d'investissement nécessaires à l'obtention d'une telle qualification sont en effet susceptibles d'exclure du marché les entreprises européennes émergentes.
D. EN CONSÉQUENCE, LA RAPPORTEURE A PROPOSÉ UNE ÉVOLUTION DU PÉRIMÈTRE ET DE LA PORTÉE DU DISPOSITIF
Devant les limites juridiques et opérationnelles soulevées par la proposition de loi, la commission a adopté un amendement de la rapporteure visant à recentrer le dispositif et ainsi permettre une mise en oeuvre progressive et réaliste.
Afin de se conformer au cadre juridique français et européen en matière de commande publique, la commission a premièrement limité le dispositif aux seules données sensibles, selon la définition retenue par l'article 31 de la loi SREN. Pour rappel, cet article est aujourd'hui uniquement applicable aux administrations de l'État et aux opérateurs publics.
La commission a également restreint le nombre d'entités soumises à ces obligations de protection, en excluant les communes de moins de 30 000 habitants et les communautés de communes qui risqueraient de ne pas disposer de ressources humaines et techniques suffisantes afin d'adapter leurs marchés publics, et pour lesquelles le risque d'interception des données par une autorité publique étrangère est, selon l'ANSSI, plus faible. Ces entités ont d'ailleurs également été exemptées des obligations nouvelles en matière de cybersécurité prévues par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en cours d'examen à l'Assemblée nationale.
Afin de tenir compte des enjeux de développement des marchés français et européen de cloud, la commission a fixé la date d'entrée en vigueur du dispositif au 1er janvier 2030. Durant cette période, les prestataires souverains devraient être en mesure de développer une offre à moindre coût et de se préparer à une hausse des sollicitations dans le cadre des achats publics.
Enfin, au regard des difficultés techniques ou financières que pourraient rencontrer les collectivités pour se conformer aux exigences de protection souveraine de leurs marchés, la commission a créé un mécanisme de dérogation au présent dispositif, avec la volonté de garantir ainsi une trajectoire de sécurisation des données publiques progressive et réaliste.
*
* *
La commission a adopté la proposition de loi ainsi modifiée.
* 4 Observations définitives de la Cour des comptes sur les enjeux de souveraineté des systèmes d'informations civils de l'État, publié le 31 octobre 2025.