EXAMEN EN COMMISSION
Mme Muriel Jourda, présidente. - Nous en venons au rapport de notre collègue Olivia Richard sur la proposition de loi relative à la sécurisation des marchés publics numériques, dont l'auteur, Dany Wattebled, nous expose d'abord les motivations.
M. Dany Wattebled, auteur de la proposition de loi. - Cette proposition de loi prolonge les travaux de la commission d'enquête sénatoriale sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française, dont j'étais le rapporteur. Mon collègue Simon Uzenat, qui en assurait la présidence, et moi-même avons conduit pendant plusieurs mois cinquante-huit auditions, effectué trois déplacements et rencontré les représentants de centre trente-quatre structures.
Notre point de départ était simple : forte d'un enjeu de 400 milliards d'euros chaque année et équivalant à 14 % du PIB national, la commande publique est un moteur de notre économie.
Dans nos territoires, élus et entreprises témoignent de procédures lourdes, complexes, parfois anxiogènes ; s'y associent la crainte du contentieux et du pénal, l'impression d'un empilement des règles et, parfois, le sentiment d'une déconnexion de la réalité.
Au fil des auditions, un sujet s'est imposé, celui de la commande publique numérique, devenue un enjeu de souveraineté. Certaines des réponses que nous avons reçues ont été très éclairantes. Ainsi, lorsque nous avons demandé à l'entreprise Microsoft France si elle pouvait nous garantir que les données françaises hébergées en France ne seraient jamais transmises à une autorité étrangère sans l'accord de notre pays, sa réponse a été clairement négative. Et cette impossibilité résulte de l'existence dans le droit américain de lois fédérales extraterritoriales, spécialement le Cloud Act, qui permettent d'exiger la communication des données hébergées par toute entreprise américaine sur le sol français.
Nous avons étudié plusieurs dossiers. Le premier est aberrant. Il concerne la plateforme des données de santé ou Health Data Hub, c'est-à-dire l'hébergement sur une plateforme unique de l'intégralité des données de santé des Français - une idée en elle-même remarquable. Pour sa concrétisation, la puissance publique a investi 80 millions d'euros et s'est adressée à... Microsoft ! Or, avec l'essor de l'intelligence artificielle, ces données représentent le pétrole de demain.
On a ensuite récidivé avec l'enseignement supérieur et la pépite qu'est l'École polytechnique, en engageant 130 millions d'euros pour l'hébergement des données auprès d'acteurs américains. On marche sur la tête. Notre constat est le suivant : il n'y a aujourd'hui plus aucune souveraineté française ni européenne sur nos données numériques.
L'Union des groupements d'achats publics (Ugap) reconnaît elle-même qu'elle n'a pas assez conseillé la puissance publique sur les aspects de souveraineté numérique. Elle a laissé le champ libre à Microsoft et au développement d'autres acteurs étrangers.
La commission d'enquête a, en conséquence, conclu à l'existence d'un risque majeur et stratégique pour la souveraineté numérique des entités publiques françaises. La présente proposition de loi s'inspire de la recommandation no 24 formulée par la commission d'enquête au terme de ses travaux et l'intention première qui la sous-tend est simple : protéger les données françaises publiques, et particulièrement les données sensibles. Ce texte n'est dirigé contre personne en particulier, c'est un texte de protection et de bon sens. Si nous poursuivons d'abord l'objectif de sécuriser les acheteurs publics, nous ne négligeons pas non plus celui d'envoyer un signal clair aux acteurs français et européens, pour qui l'obtention de tels marchés publics représenterait un levier considérable de développement économique.
Je salue le travail et l'écoute de Mme la rapporteure Olivia Richard, qui a su renforcer juridiquement le dispositif que nous proposons, en en préservant l'objectif essentiel. Inscrite à la suite de l'article 31 de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (Sren), cette proposition de loi est une étape nécessaire pour que nous recouvrions notre souveraineté numérique, qu'elle soit française ou européenne. Il en est grand temps dans le monde de guerre économique qui est le nôtre, et c'est pourquoi je vous invite à l'adopter.
Mme Olivia Richard, rapporteure. - Je salue l'initiative de notre collègue Dany Wattebled ainsi que son engagement, que je pourrais qualifier de passionné, sur le sujet qui nous occupe ce matin. Ses travaux ont révélé de véritables failles dans la protection et la confidentialité des données de nos acteurs publics, lorsqu'elles sont hébergées en nuage auprès de prestataires étrangers.
Comme l'a démontré la commission d'enquête dont il a été le rapporteur, ces entreprises, notamment les géants américains, ne sont pas en mesure de garantir la pleine protection du contenu qu'elles hébergent, en raison de leur soumission à des lois extraterritoriales étrangères.
Aux États-Unis, par exemple, le Foreign Intelligence Surveillance Act (Fisa) et le Cloud Act permettent aux autorités américaines de contraindre les entreprises à leur révéler le contenu d'une communication ou d'une information qu'elles détiennent ; et cela y compris lorsque ces données sont hébergées sur des serveurs situés hors de leur territoire national. Elles y sont soumises même lorsqu'elles sont en France.
Lorsqu'une telle demande leur est adressée, les entreprises ne sont en outre pas tenues d'en informer leurs clients. Un rapport de la Cour des comptes, paru en octobre dernier, atteste ces pratiques, et fait même état d'une hausse alarmante des requêtes auprès de certaines entreprises américaines, dont notamment Google et Microsoft.
Depuis quelques années, la Chine et l'Inde consolident également leurs outils juridiques extraterritoriaux, permettant de la même manière des détournements de données stockées en nuage.
Face à ces menaces, l'Agence nationale de la sécurité des systèmes d'information (Anssi) tient un discours très clair : ni le chiffrement ni la segmentation du contenu ne sont en mesure d'assurer pleinement la sécurisation des données ; seul le choix d'un prestataire français ou européen constitue une véritable garantie de la souveraineté des données hébergées.
Depuis quelques années, la France a, en conséquence, entrepris de consolider son cadre juridique afin de limiter l'exposition de données stratégiques au risque de captation par des autorités étrangères.
Premièrement, depuis 2021, la doctrine « cloud au centre » soutient le développement des solutions cloud par et pour l'État. Ces serveurs ont vocation à héberger certaines données, dont la compromission nuirait au bon fonctionnement du pays. Elles sont à la disposition du ministère de l'intérieur - il partage d'ailleurs cet espace de stockage avec le ministère des affaires étrangères - et du ministère de l'économie et des finances.
Deuxièmement, l'article 31 de la loi Sren impose désormais aux administrations publiques et aux opérateurs de l'État d'héberger leurs données sensibles dans un cloud souverain, c'est-à-dire un cloud privé français ou européen qui présente de fortes garanties de sécurité. Le périmètre des données jugées sensibles correspond, aux termes de cette loi, aux données nécessaires à l'accomplissement des missions essentielles de l'État, dont la violation serait susceptible de causer une atteinte à l'ordre public, à la sécurité publique, à la santé des personnes ou encore à la propriété intellectuelle.
Pourtant, les travaux de la commission d'enquête ont permis de démontrer que ces exigences de protection ne sont encore que partiellement appliquées. C'est notamment ce qui explique que certains marchés publics d'hébergement hautement stratégiques, comme celui de la plateforme des données de santé, ou celui du ministère de l'éducation nationale, soient encore confiés à de grandes entreprises américaines, en dépit de la loi.
Par ailleurs, si un suivi du recours à des clouds souverains est effectué par la Dinum, nous ne disposons d'aucun élément pour évaluer le niveau de protection des données détenues par les autres acheteurs publics, notamment par les collectivités territoriales.
Pour répondre à ces défaillances, la proposition de loi de notre collègue vise à renforcer substantiellement notre cadre juridique de protection des données, en confiant les données de l'ensemble des acheteurs publics à des prestataires français ou européens.
Concrètement, l'article unique rend obligatoire, dans les marchés publics contenant des prestations d'hébergement en nuage, la présence de conditions d'exécution garantissant l'immunité du prestataire à toute législation extraterritoriale et l'hébergement des données sur le territoire de l'Union européenne.
Au regard des risques dont je viens de vous faire part, nul ne peut remettre en cause l'intention légitime du texte. Nous ne devons pas être naïfs. Il est grand temps que les entités publiques prennent la mesure de leur vulnérabilité face à des législations puissantes, notamment dans un contexte géopolitique très incertain, et qu'elles agissent pour garantir leur souveraineté numérique.
Toutefois, le dispositif soulève des difficultés d'ordre juridique et opérationnel ; c'est la raison pour laquelle je vous proposerai un amendement visant à le rendre plus soutenable.
En effet, dans sa rédaction actuelle, le texte soumet l'ensemble des données publiques aux obligations d'hébergement souverain. Si l'on comprend tout à fait l'intention de l'auteur, cette restriction systématique d'accès aux marchés pour les prestataires non européens pourrait s'apparenter à une discrimination sur la base de l'origine géographique, ce qui est strictement interdit par les directives européennes. Cette mesure contreviendrait également aux engagements internationaux de la France, qui, dans le cadre de l'accord sur les marchés publics de l'Organisation mondiale du commerce (OMC), prohibe toute inégalité de traitement d'opérateurs économiques de pays signataires, tels que les États-Unis.
Par ailleurs, les auditions menées laissent à penser que ces obligations nouvelles seront difficilement mises en oeuvre par les petits acheteurs publics, parmi lesquels les petites communes. De fait, le plus souvent, leurs équipes ne comptent pas d'acheteur public professionnel, et il est à craindre que les agents de mairie ne rencontrent des difficultés pour inclure ou contrôler les garanties apportées quant aux conditions d'exécution ayant trait au droit international. Pour le dire autrement, les acheteurs ne disposent pas nécessairement des moyens techniques et humains nécessaires pour se conformer au dispositif.
En outre, le recours à un prestataire souverain et sécurisé, disposant par exemple de la qualification SecNumCloud délivrée par l'Anssi, représente des coûts importants. La Cour des comptes estime ainsi qu'une offre SecNumCloud a un coût de l'ordre de 25 % à 40 % supérieur à une offre standard. Là encore, au regard du contexte budgétaire contraint qu'elles connaissent, le dispositif semble problématique pour les petites collectivités.
Enfin et surtout, différents acteurs, dont l'Anssi, ont souligné l'impératif de proportionnalité que nous devons observer. Nous pouvons convenir que les données détenues par une petite commune ne représentent pas nécessairement un intérêt substantiel pour des autorités publiques étrangères et que ce risque ne les concerne pas au premier chef.
En accord avec l'auteur du texte, j'ai souhaité parvenir à un équilibre entre la protection nécessaire des données publiques stratégiques et la prise en compte des difficultés des petits acheteurs publics.
L'amendement que je vous soumets prévoit donc plusieurs évolutions du dispositif sans, je le crois, le dénaturer ou en compromettre l'objet.
Tout d'abord, alors que le dispositif crée une nouvelle catégorie de données à protéger - les « données publiques » - qui n'est pas définie en droit, je vous propose, pour faciliter sa mise en oeuvre, de revenir au périmètre des données sensibles telles que définies par la loi Sren. Restreindre les obligations d'hébergement souverain aux seules données sensibles semble être plus proportionné au regard des risques réels encourus, et permet de conserver la définition inscrite dans la loi Sren, qui est en cours d'appropriation par les acheteurs publics et dont le décret d'application devrait bientôt être publié. De plus, le périmètre des données sensibles inscrit dans la loi Sren a d'ores et déjà été validé par la Commission européenne et n'est donc pas susceptible d'être qualifié de restriction d'accès disproportionnée aux marchés publics. Cet amendement conforterait ainsi la validité juridique des marchés publics d'hébergement, et permettrait aux acheteurs d'assurer une transition progressive en matière de protection des données.
En outre, afin de tenir compte des difficultés techniques et financières que pourraient rencontrer les petits acheteurs publics dans la mise en oeuvre de ce texte, l'amendement que je vous soumets prévoit d'exclure du dispositif les communes de moins de 30 000 habitants et les communautés de communes. Ces dernières risquent en effet de ne pas disposer des ressources humaines et techniques suffisantes pour adapter leurs marchés publics, et les données qu'elles détiennent sont moins susceptibles de faire l'objet de détournements.
Je vous propose de reprendre le seuil de 30 000 habitants, figurant au sein d'un autre texte que nous avons adopté au Sénat en séance publique et qui crée des obligations nouvelles en matière de cybersécurité, le projet relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en cours d'examen par l'Assemblée nationale. Cet alignement permettra de constituer un ensemble cohérent de mesures nouvelles afin de sécuriser les systèmes d'information des grandes collectivités.
Les acteurs de terrain rencontrés dans le cadre des auditions ont également souligné que le marché français du cloud est en plein essor, mais n'est pas encore arrivé à maturité, ce qui explique notamment les surcoûts des offres constatés par la Cour des comptes. Dès lors, afin de laisser le temps aux entreprises de développer leurs technologies et de faire face à la hausse des sollicitations, je propose une entrée en vigueur différée du texte, au 1er janvier 2028.
Ces deux années devront également permettre aux acheteurs publics d'anticiper ces nouvelles exigences de protection, bien que, devant les difficultés soulevées par le dispositif, je vous propose également de prévoir un mécanisme de dérogation. Grâce à celui-ci, toute collectivité ayant déjà engagé un projet nécessitant un recours à un service d'informatique en nuage qui rencontrerait des difficultés techniques pour se conformer au dispositif proposé ou qui justifierait de surcoûts importants pourrait déroger temporairement au respect de ses obligations.
Mon objectif est à la fois de rassurer et d'avancer résolument dans la direction indiquée par notre collègue. Loin de trahir l'esprit initial du texte, je propose une évolution du périmètre de l'amendement afin d'inciter l'ensemble des entités concernées à développer progressivement leur stratégie de protection des données. Sans ajouter de complexité démesurée aux missions des acheteurs, ces évolutions doivent néanmoins garantir de réels progrès pour la souveraineté de nos données dans les années à venir.
M. Marc-Philippe Daubresse. - Si la rapporteure n'avait pas présenté d'amendement, j'aurais moi-même proposé de limiter le champ d'application de la proposition de loi aux communautés d'agglomération et aux communes d'une certaine importance, en cohérence avec les seuils déjà définis par ailleurs.
Pour avoir beaucoup travaillé, avec Jérôme Durain, sur les questions de cybersécurité, je constate que nous sommes confrontés à une triple contrainte.
Premièrement, nous sommes, mes chers collègues, en guerre ! C'est une guerre économique qui nous oppose aux deux superpuissances, les États-Unis et la Chine. Je comprends les raisons d'un report du nouveau dispositif au 1er janvier 2028, liées à sa complexité. Toutefois, pendant ce temps, la guerre s'intensifie, la puissance des deux géants s'accentue et les spécialistes de la cybersécurité que sont les Russes, les Chinois et, dans une moindre mesure, les Américains et les Israéliens progressent beaucoup plus vite que nous.
Deuxièmement, les collectivités locales, en particulier les petites communes et les communautés de communes, ne disposent pas à l'évidence des moyens pour mettre en oeuvre un tel dispositif. Il est cependant exact qu'elles sont aussi moins exposées au risque contre lequel il vise à lutter.
Troisièmement, nous sommes confrontés à la complexité de notre système normatif, avec la prise en compte de la législation européenne. Les simplifications que nous souhaitons entreprendre, à grand renfort de discours, se traduisent invariablement par un surcroît de complexification ! Tel a déjà été le résultat de la récente « simplification » du droit de l'urbanisme.
Je soutiens la démarche de Dany Wattebled et l'amendement de la rapporteure, tout à fait pertinent en l'état de la législation, mais nous ne ferons pas l'économie d'aller plus loin sur ces questions, et peut-être nous faudra-t-il envisager une mission plus globale. Nous n'avons pas réuni en effet, tant s'en faut, les munitions qui nous permettront de gagner la guerre. Nous sommes plutôt en train de la perdre !
M. Christophe Chaillou. - Pour notre part, nous accueillons très favorablement la proposition de loi issue des travaux de la commission d'enquête présidée par Simon Uzenat. Si elle ne répond sans doute pas complètement aux enjeux, elle constitue une première étape importante dans l'élaboration de cette réponse.
L'enjeu essentiel est celui de notre souveraineté et de la sécurisation de nos données numériques. S'y ajoute la nécessité de soutenir nos acteurs européens.
L'amendement proposé nous semble concilier la réalité des normes déjà applicables, notamment à l'échelle européenne, nos contraintes nationales, spécialement celles de nos petites collectivités, et la préoccupation d'aboutir à un dispositif véritablement opérationnel. Nous sommes en particulier favorables au report d'un an de l'entrée en vigueur du dispositif.
Mme Audrey Linkenheld. - Pour avoir été membre de la commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ayant pour objet la transposition de trois directives européennes, dont la directive NIS 2, je ne peux que constater que nous avons pris du retard. Cette transposition, qui devait être effective en octobre 2024, n'est ainsi toujours pas réalisée. C'est fâcheux au regard des enjeux majeurs qui s'imposent à nous.
Il est indispensable que toutes les institutions publiques et que tous les acteurs privés aient conscience de la menace qui pèse sur eux. À cet égard, contrairement à ce qu'a dit Marc-Philippe Daubresse, je ne crois pas que certains y soient moins exposés que d'autres ; la différence tient de mon point de vue davantage, en fonction de leur importance respective, au poids des conséquences en cas de perte de données. Aussi, il est pertinent que vous proposiez d'adapter les mesures opérationnelles à la nature et à la taille de ces institutions et de ces acteurs.
Sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, notre collègue Florence Blatrix Contat a fait adopter un amendement sur la question spécifique de la souveraineté numérique, afin d'encourager le recours à des infrastructures et à des solutions, en particulier des solutions de cloud, françaises ou européennes.
Il importe que nous nous assurions de la convergence de l'ensemble des textes et des propositions sur lesquels nous travaillons, tant sur le fond que sous l'angle du calendrier. Nos collectivités et nos entreprises doivent en effet pouvoir disposer d'un minimum de visibilité sur ce que nous attendons d'elles. Pour l'heure, ces exigences demeurent assez obscures ; quant à l'accompagnement de l'État, notamment auprès des collectivités, il reste relativement faible. Le Gouvernement sait dire ce qu'il faut faire, beaucoup moins comment il convient d'accompagner, y compris financièrement, les collectivités pour y parvenir. Nous pourrons pour notre part encore travailler au texte du projet de loi sur ces aspects.
Mme Dominique Vérien. -Au sein de notre groupe politique, Catherine Morin-Desailly nous alerte depuis des années sur le sujet de la souveraineté de nos données. Elle s'est opposée à la volonté du Gouvernement de confier l'hébergement de nos données de santé à Microsoft et a fait adopter plusieurs propositions de résolution sur le sujet. Avec la présente proposition de loi, elle peut enfin avoir l'impression d'être entendue par le Sénat.
C'est une bonne chose, car je confirme que nous sommes en guerre et que la souveraineté de nos données est primordiale.
Se posent des problèmes de complexité juridique et de conformité au droit européen. Nous avons souvent souligné que le Digital Services Act (DSA) ou la loi Sren, pour importants qu'ils soient, n'allaient pas encore assez loin. La rapporteure, dont je salue le travail comme je salue celui de l'auteur du texte, a su définir la bonne ligne de crête pour progresser autant qu'il était possible sur ces questions de souveraineté. Nous en suivrons les propositions.
M. Dany Wattebled. - La rapporteure a réussi un bel équilibre en s'adossant à la loi Sren, en ménageant les collectivités de moins de 30 000 habitants et en ne heurtant pas de plein front le nouveau projet de loi de simplification des normes en cours d'élaboration.
Cependant, une entrée en vigueur du dispositif en 2028 me paraît trop éloignée. Marc-Philippe Daubresse a rappelé que nous étions en guerre. Je proposerai de nous en tenir impérativement au 1er janvier 2027. Cette commission a permis d'affirmer la volonté de rapatriement des données de santé des Français dans des clouds souverains et l'on parle également de revenir sur l'hébergement des données de l'enseignement supérieur. Nous voyons l'intérêt qu'il y a de provoquer au plus tôt de telles initiatives. Une guerre se gagne aussi par la rapidité de manoeuvre. Ne donnons pas un an de plus à nos adversaires. La loi proposée n'est pas une loi de circonstance, elle est importante, et tous les jours nous déplorons la fuite de données, tandis que nos start-up font l'objet de rachats et que la commande publique ne s'adresse pas non plus aux acteurs français d'importance européenne tels que les hébergeurs Scaleway ou OVH.
Mme Olivia Richard, rapporteure. - Merci de votre soutien tant à la proposition de loi qu'à l'amendement que je vous propose.
L'initiative de notre collègue est heureuse, ne serait-ce que parce qu'elle permet d'ouvrir le débat. Les travaux de la commission d'enquête sénatoriale avaient déjà provoqué une sorte d'électrochoc auprès des acteurs économiques concernés. Avant même l'adoption d'un texte législatif, le seul fait de poser des questions, de mettre en lumière les difficultés et de tirer la sonnette d'alarme permet de faire avancer les lignes.
Nous sommes nombreux à partager la préoccupation d'une autonomie stratégique. Les auditions que j'ai conduites se sont tenues en parallèle du sommet organisé à Berlin, où la France a clamé haut et fort son souhait d'une souveraineté numérique. Nous allons dans la bonne direction, mais nous butons, c'est exact, sur la complexité du système normatif en vigueur. Ne cédons pas pour autant au sentiment d'impuissance qui, parfois, peut nous gagner. Trouver un équilibre était pour moi prioritaire.
Votre souhait, monsieur Wattebled, d'une mise en oeuvre la plus rapide possible de nouvelles dispositions législatives, et en tout cas anticipée par rapport à la proposition que je formule, présente de mon point de vue certains inconvénients. L'échéance des élections municipales nous occupera en mars prochain. Les communes de plus de 30 000 habitants seront concernées par ce texte et elles disposeraient alors de moins d'un an pour former leurs agents puis organiser des procédures de passation de marchés et sélectionner de nouveaux prestataires. Ce délai paraît très court. Il importe qu'elles puissent se préparer et avancer de façon prudente, sans s'exposer au risque de contentieux. Une entrée en vigueur du dispositif au 1er janvier 2028, une date du reste pas excessivement éloignée, semble préférable.
M. Dany Wattebled. - L'Ugap est l'un des principaux donneurs d'ordre en matière de marchés publics. Forte d'un effectif de 2 000 professionnels, capable d'engager quelque 200 millions d'euros pour les marchés relatifs à l'hébergement des données de santé et de l'enseignement supérieur, elle a sans conteste les moyens de se mettre en ordre de marche sans retard. De plus, tous les acteurs sont aujourd'hui alertés sur les enjeux de la souveraineté numérique. Il est possible de les mettre en branle progressivement en fonction de leur poids et de leurs moyens respectifs. Je m'en tiens à ma position et je proposerai, si nécessaire, un amendement en ce sens.
Mme Muriel Jourda, présidente. - Le débat pourra se poursuivre en séance. Le sujet est en effet d'importance et chacun doit prendre le temps de la réflexion.
Concernant le périmètre de ce projet de loi, en application du vade-mecum sur l'application des irrecevabilités au titre de l'article 45 de la Constitution, adopté par la Conférence des présidents, je vous propose de considérer que le périmètre de la proposition de loi inclut les dispositions relatives aux modalités de sélection des titulaires et d'exécution des marchés publics comportant des prestations d'hébergement et de traitement de données publiques en nuage.
EXAMEN DE L'ARTICLE UNIQUE
Article unique
L'amendement COM-1 est adopté.
L'article unique constituant l'ensemble de la proposition de loi est adopté dans la rédaction issue des travaux de la commission.
Le sort de l'amendement examiné par la commission est retracé dans le tableau suivant :
|
Auteur |
N° |
Objet |
Sort de l'amendement |
|
Article unique |
|||
|
Mme Olivia RICHARD, rapporteure |
1 |
Amendement de réécriture globale |
Adopté |