relative à la sécurisation des marchés publics numériques

Par cet amendement, le groupe LFI souhaite souligner l'importance d'assurer la cybersécurité des données hébergées par les services de l'informatique en nuage ou "cloud", alors que la cybermenace atteint des niveaux particulièrement préoccupant.

Dans sa dernière édition du "Panorama de la cybermenace" publié le mercredi 11 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (Anssi) rappelle que la France reste sous pression constante de la menace cyber, avec 2 209 signalements et 1 366 incidents portés à la connaissance de cette dernière en 2025. Parmi les principaux secteurs d'activités particulièrement visés, les ministères et des collectivités territoriales étant le 2ème secteur le plus visé l'année dernière, avec 24% des incidents enregistrés. Dans ce contexte, la sécurité des données sensibles issues de l'exercice par les collectivités territoriales des différentes compétences qui leurs sont dévolues se pose légitimement, d'autant plus que ces dernières manquent des moyens humains et financiers pour y répondre correctement - les coupes budgétaires successives qui leurs sont imposées par l'Etat au fil des différents PLF n'ayant pas contribué à améliorer leur situation.

Cette question se pose d'autant plus que les principaux fournisseurs de "clouds", tels que Microsoft, ne sont pas infaillibles en matière de sécurité. Ainsi, on relève régulièrement des tentatives réussies de piratage de comptes par des acteurs, principalement non-étatiques, à diverses fins. Dans ce contexte, le risque de voir des données sensibles collectées par les collectivités territoriales entre de mauvaises mains n'est pas négligeable, et peut entraîner pour les personnes concernées des conséquences particulièrement graves. Pour toutes ces raisons, il nous semble indispensable d'établir un état des lieux précis de la menace afin de proposer des pistes de solutions pour que les collectivités territoriales assurent la meilleure protection possible des données sensibles qu'elles récoltent et hébergent au sein de "clouds".

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport visant à évaluer les protocoles de cybersécurité appliqués par les services de l’informatique en nuage à la protection des données hébergées appartenant aux collectivités territoriales assujetties aux obligations de la présente proposition de loi. Ce rapport présente les différentes solutions existantes, ainsi que leurs avantages et leurs inconvénients, et propose, le cas échéant, des mesures pour renforcer leur niveau de protection.

Par cet amendement, le groupe LFI s'interroge sur le coût environnemental induit par le recours de plus en plus massif des acteurs publics - notamment les collectivités territoriales assujetties aux nouvelles obligations issues de la présente proposition de loi - à des services de l'informatique en nuage ou "cloud" pour héberger leurs données, parfois très sensibles.

Contrairement à ce que l'on pourrait penser, le coût environnemental du "cloud" n'est absolument pas neutre. En effet, son usage repose largement sur des infrastructures physiques telles que des centres de données ou datas centers dont la fabrication implique une exploitation très polluante de nombreux matériaux comme les terres rares, dont l'installation nécessite d'artificialiser toujours plus de surfaces au sol et dont le fonctionnement repose sur une très forte consommation d'eau et d'électricité. De nombreuses études, telles que celle publiée annuellement par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse intitulée "Pour un numérique soutenable" - édition 2025 et qui montre notamment que la quantité d'émission de gaz à effet de serre émise par les data centers a augmenté de + 11% pour l'année 2023 par rapport à 2022 (de 123 à 137 milliers de TCO2 eq.), mais également leur consommation électrique (+ 8% entre 2022 et 2023, soit 2,4 TWh) ainsi que le volume d'eau prélevé (+19% entre 2022 et 2023, soit 681 milliers de m3). De manière générale, selon l'Agence de la transition écologique (Ademe), au niveau mondial, les centres de données représentaient déjà l'équivalent de la consommation de 415 TWh en 2024, et si les tendances actuelles de consommation au niveau national se poursuivent, la consommation d’électricité induite par les usages français pourrait progresser d’un facteur de 3,7 d’ici 2035. Dont les ⅔ auront lieu à l’étranger, dans des pays dont le mix électrique est en moyenne beaucoup plus carboné qu’en France.

Dans ce contexte, et au vu de l'urgence climatique, il est légitime de s'interroger sur le rôle des pouvoirs publics, et notamment les collectivités territoriales, pour réduire l'impact environnemental des "clouds". En raison du manque de données spécifiques concernant la part de ces derniers dans l'usage des "clouds", la publication d'un rapport spécifique sur le sujet permettra d'analyser plus précisément le niveau de responsabilité des collectivités territoriales en la matière, et de proposer, le cas échéant, des pistes de mesures pour qu'elles puissent réduire leur empreinte environnementale numérique.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport visant à évaluer les implications environnementales du recours à des services de l’informatique en nuage par les collectivités territoriales assujetties aux obligations de la présente proposition de loi. Le rapport établit le plus précisément possible l’ensemble des éléments pertinents pour évaluer le coût environnemental d’un tel usage, notamment en matière de consommation d’électricité par les centres de données et d’artificialisation du foncier induite, et propose des mesures pour en réduire le coût.

Par cet amendement, le groupe LFI réaffirme son souhait de renforcer la souveraineté numérique française en ligne, en s'émancipant des géants du numériques étrangers - et notamment américain - par le développement de l'usage de services de l'informatique en nuage (aussi appelé "cloud") réversibles.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Dans ce contexte, la question de l'extraterritorialité se pose.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectué à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique.

Les services de cloud réversibles jouent un rôle majeur en la matière. En effet, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées. Il ne s'agit en réalité que d'une traduction législative d'une exigence déjà existante : en effet, la circulaire du Premier ministre n° 628-SG du 5 juillet 2021 définit la doctrine d’utilisation de l’informatique en nuage par l’État via la circulaire dite « cloud au centre » qui souligne que « l’État doit veiller scrupuleusement à la protection de ses données et de celles des citoyens, et notamment à leur hébergement sur le territoire de l’Union européenne » en encourageant les services et les organisations publiques à recourir à des solutions d’hébergement en nuage qui intègrent des exigences de réversibilité, de portabilité et d’interopérabilité et qui « n’entravent pas l’autonomie de l’État dans ses choix numériques à venir ». Le recours à un service de "cloud" non réversible et non développé par des structures publiques ne deviendrait alors qu'une exception dûment justifiée, une évaluation comparative de nature technique et économique devant démontrer qu’il est impossible d’accéder à des solutions équivalentes déjà développées au sein de l’administration publique en matière de fonctionnalités, de coût total et de cybersécurité, réalisée sous la supervision de la direction interministérielle du numérique (Dinum).

Après l’alinéa 10, insérer les deux alinéas suivants :

« I ter. – Les entités mentionnées au I du présent article utilisent des services de l’informatique en nuage réversibles.

« La mise en œuvre par les entités mentionnées au même I d’un service de l’informatique en nuage non réversible n’est autorisée que lorsque l’évaluation comparative de nature technique et économique démontre qu’il est impossible d’accéder à des solutions réversibles et déjà développées au sein de l’administration publique équivalentes en matière de fonctionnalités, de coût total et de cybersécurité. L’évaluation visée au présent paragraphe est effectuée conformément aux procédures et aux critères définis par la direction interministérielle du numérique, qui, à la demande des parties intéressées, émet également un avis sur leur conformité. »

Par cet amendement, le groupe LFI souhaite s'interroger sur les moyens humains et financiers alloués aux entités assujetties à la nouvelle obligation prévue par la loi, et notamment ceux des collectivités territoriales à qui on demande toujours plus, sans une augmentation proportionnelle des moyens.

Dans le cadre de l'adoption par 49 al. 3 du projet de loi de finances pour 2026, une nouvelle coupe budgétaire de "près de 2 milliards d'euros" a été imposée aux collectivités territoriales, obligeant ces dernières à faire des arbitrages budgétaires toujours plus difficiles pour tenter de mener à bien leurs missions. Par conséquent, certaines dépenses, comme celles liées au numérique, vont en faire les frais, alors même que les dépenses qui y étaient allouées jusqu'à présent étaient déjà très insuffisantes pour y faire face : à titre d'illustration, lors d’une audition organisée dans le cadre de l’examen du PJL Cybersécurité et Résilience actuellement discuté à l’Assemblée, l’Association des départements de France (ADF) indiquait que les crédits dédiés à l'informatique étaient en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. Par ailleurs, de nombreuses collectivités, et notamment les plus petites, ne disposent pas des compétences techniques pour identifier des solutions numériques adéquates aux enjeux de préservation de la souveraineté numérique : ainsi, seules 9,74 % des communes sollicitées dans le cadre d'une consultation des élus locaux réalisée par la commission d’enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" dont les conclusions ont été adoptées le 8 juillet 2025 disposaient par exemple d’un acheteur professionnel.

Par conséquent, il nous semble à minima indispensable d'établir une évaluation des coûts induits par la mise en place des obligations prévues par la présente proposition de loi, et le cas échéant, de faire des propositions afin de doter les différents acteurs assujettis des moyens nécessaires pour y répondre correctement.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport visant à évaluer les moyens alloués aux entités mentionnés au I de l’article 31‑1 de la loi n° 2024‑449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. Le rapport présente les éventuelles difficultés financières et humaines rencontrées par ces derniers, et propose le cas échéant des solutions afin d’y remédier.

Par cet amendement, le groupe LFI souligne à nouveau l'importance de la préservation de la sécurité de l'hébergement de nos données numériques, en ayant recours à des solutions locales d'hébergement de ces dernières.

La numérisation croissante de la société a notamment entraîné une production massive de données numériques, parfois très sensibles comme les données personnelles. Or, l'hébergement de ces dernières s'est souvent reposé sur des services d'hébergement en nuage - aussi appelé "cloud" - qui permettent notamment d'avoir accès aux données stockées partout dans le monde, en ayant uniquement besoin d'une connexion à Internet pour ce faire. Or, en raison de la nationalité d'origine des acteurs économiques dominants sur ce marché, principalement des acteurs américains comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud, les données que nous faisons héberger sur ces services sont soumis à des législations extra-territoriales permettant à des puissances étrangères d'y avoir accès, sans notre autorisation. Ainsi, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. D'autres pays comme la Chine ou l'Inde ont également des législations similaires.

Face à cette situation, il est indispensable de réfléchir à d'autres solutions techniques d'hébergement plus fiables en termes de préservation de la sécurité de nos données, les solutions locales de stockage ayant un rôle important à jouer en la matière. Très concrètement, les solutions locales désignent des solutions où les données sont stockées sur des dispositifs physiques comme des serveurs internes, des disques durs externes ou des NAS (Network Attached Storage), et ces dernières présentent plusieurs avantages non négligeables : tout d'abord, le recours à ce type de solution permet aux propriétaires des données d'avoir un contrôle total sur la configuration et les autorisations d'accès des utilisateurs, d'autant plus que l'absence de nécessité d'utiliser Internet pour y avoir accès est une garantie de sécurité supplémentaire. Par ailleurs, les coûts pour ce type d'installation sont beaucoup moins élevés que pour le "cloud" puisqu'il s'agit souvent de coûts fixes (achat de l'infrastructure) et non de coûts récurrents (abonnement à un service "cloud"). Enfin, de nombreuses études démontrent que le recours au "cloud" a des conséquences environnementales majeures, les data centers utilisés pour héberger les données étant très énergivores. Ainsi, selon une étude publiée par l'Agence de la transition écologique (Ademe) le mardi 6 janvier 2026, les data centers sont « parmi les infrastructures les plus concentrées spatialement et intensives énergétiquement », leur développement devant être maitrisé pour être compatible avec la transition écologique. Sur l'année 2024, les data centers installés en France avaient une consommation totale d’environ 10 térawattheures (TWh) d’électricité (sur une consommation annuelle totale du pays de 450 TWh). Si les tendances actuelles se poursuivent, l’Ademe estime que cette demande pourrait être multipliée par 3,7 d’ici à 2035 (37 TWh) et par 6,4 à l’horizon 2060.

Après l’alinéa 10, insérer l’alinéa suivant :

« I ter. – Les entités mentionnés au I du présent article doivent, dans la mesure du possible, avoir recours à des solutions locales d’hébergement des données afin d’assurer le plus haut niveau de protection et de sécurité de ces dernières. »

Par cet amendement, le groupe LFI souhaite réaffirmer l'importance d'utiliser des solutions numériques souveraines, en garantissant l'hébergement des données récoltées par les pouvoirs publics sur des serveurs situés sur le territoire national (ou européen) et sur lesquels s'applique le droit national et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmises à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectuée à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique. En l'absence de telles mesures, notre pays risque de devenir une véritable "colonie numérique" de puissances étrangères, annihilant ainsi notre capacité même à agir. Cette situation n'est pas tolérable.

Après l’alinéa 10, insérer l’alinéa suivant :

« I ter. – Les entités mentionnées au I du présent article doivent prévoir des conditions d’exécution de marchés comportant des prestations d’hébergement et de traitement de données par les services de l’informatique en nuage les protégeant de tout effet extraterritorial d’une législation étrangère aboutissant à contraindre le titulaire d’un marché à communiquer ou à transférer ces données à des autorités étrangères. Par ailleurs, les titulaires de marchés retenus par les entités mentionnées au I doivent garantir que les données récoltées dans le cadre de l’exécution du marché soient hébergées sur des serveurs situés sur le territoire national ou de l’Union européenne. »

Par cet amendement, le groupe LFI souhaite réaffirmer la nécessité de protéger les données numériques des citoyennes et citoyens récoltées par les différents acteurs publics, en ayant systématiquement recours à des solutions développées par des structures publiques nationales, et qui prévoient un hébergement des données sur des serveurs régis par le droit national et/ou européen et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe.

Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmise à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

Dans ce contexte, et s'afin de s'assurer que la France continue d'avoir un accès souverain aux données numériques qu'elle a collectées, il nous semble indispensable d'avoir recours à des solutions développées par des structures publiques - d'autant plus qu'elles existent. A titre d'illustration, l’État a développé deux offres de services d’hébergement et de traitement des données entièrement maîtrisés par des ressources internes, incluant l’hébergement, l’ingénierie, l’exploitation et la surveillance des données sensibles, exploitées et surveillées par le ministère de l’Intérieur (cloud Pi), initialement associé à un niveau de sécurité « Diffusion restreinte » ou encore le ministère des finances (cloud Nubo) associé au standard SecNumCloud - qui garantit un haut niveau d’exigences tant du point de vue technique, qu’opérationnel ou juridique car protégée des législations extra-territoriales et donc un niveau de sécurité de la solution dans son ensemble.

Après l’alinéa 10, insérer l’alinéa suivant :

« I ter. – Les titulaires de marchés retenus par les entités mentionnées au I du présent article ne peuvent être que des structures publiques qui doivent garantir que les données récoltées dans le cadre de l’exécution du marché soient hébergées sur des serveurs situés sur le territoire national ou de l’Union européenne. Les titulaires de ces marchés doivent également s’assurer de prendre toutes les mesures indispensables pour se prémunir de tout effet extraterritorial d’une législation étrangère qui aboutirait à les contraindre à communiquer ou à transférer d’une manière ou d’une autre ces données à des autorités étrangères. »