relative à la sécurisation des marchés publics numériques

Par cet amendement, le groupe LFI souhaite réaffirmer la nécessité de protéger les données numériques des citoyennes et citoyens récoltées par les différents acteurs publics, en ayant systématiquement recours à des solutions développées par des structures publiques nationales, et qui prévoient un hébergement des données sur des serveurs régis par le droit national et/ou européen et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe.

Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmise à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

Dans ce contexte, et s'afin de s'assurer que la France continue d'avoir un accès souverain aux données numériques qu'elle a collectées, il nous semble indispensable d'avoir recours à des solutions développées par des structures publiques - d'autant plus qu'elles existent. A titre d'illustration, l’État a développé deux offres de services d’hébergement et de traitement des données entièrement maîtrisés par des ressources internes, incluant l’hébergement, l’ingénierie, l’exploitation et la surveillance des données sensibles, exploitées et surveillées par le ministère de l’Intérieur (cloud Pi), initialement associé à un niveau de sécurité « Diffusion restreinte » ou encore le ministère des finances (cloud Nubo) associé au standard SecNumCloud - qui garantit un haut niveau d’exigences tant du point de vue technique, qu’opérationnel ou juridique car protégée des législations extra-territoriales et donc un niveau de sécurité de la solution dans son ensemble.

Après l’alinéa 3, insérer l’alinéa suivant :

« I bis. – Les titulaires de marchés retenus par les entités mentionnées au I du présent article ne peuvent être que des structures publiques qui doivent garantir que les données récoltées dans le cadre de l’exécution du marché soient hébergées sur des serveurs situés sur le territoire national ou de l’Union européenne. Les titulaires de ces marchés doivent également s’assurer de prendre toutes les mesures indispensables pour se prémunir de tout effet extraterritorial d’une législation étrangère qui aboutirait à les contraindre à communiquer ou à transférer d’une manière ou d’une autre ces données à des autorités étrangères. »

Par cet amendement, le groupe LFI souligne à nouveau l'importance de la préservation de la sécurité de l'hébergement de nos données numériques, en ayant recours à des solutions locales d'hébergement de ces dernières.

La numérisation croissante de la société a notamment entraîné une production massive de données numériques, parfois très sensibles comme les données personnelles. Or, l'hébergement de ces dernières s'est souvent reposé sur des services d'hébergement en nuage - aussi appelé "cloud" - qui permettent notamment d'avoir accès aux données stockées partout dans le monde, en ayant uniquement besoin d'une connexion à Internet pour ce faire. Or, en raison de la nationalité d'origine des acteurs économiques dominants sur ce marché, principalement des acteurs américains comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud, les données que nous faisons héberger sur ces services sont soumis à des législations extra-territoriales permettant à des puissances étrangères d'y avoir accès, sans notre autorisation. Ainsi, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. D'autres pays comme la Chine ou l'Inde ont également des législations similaires.

Face à cette situation, il est indispensable de réfléchir à d'autres solutions techniques d'hébergement plus fiables en termes de préservation de la sécurité de nos données, les solutions locales de stockage ayant un rôle important à jouer en la matière. Très concrètement, les solutions locales désignent des solutions où les données sont stockées sur des dispositifs physiques comme des serveurs internes, des disques durs externes ou des NAS (Network Attached Storage), et ces dernières présentent plusieurs avantages non négligeables : tout d'abord, le recours à ce type de solution permet aux propriétaires des données d'avoir un contrôle total sur la configuration et les autorisations d'accès des utilisateurs, d'autant plus que l'absence de nécessité d'utiliser Internet pour y avoir accès est une garantie de sécurité supplémentaire. Par ailleurs, les coûts pour ce type d'installation sont beaucoup moins élevés que pour le "cloud" puisqu'il s'agit souvent de coûts fixes (achat de l'infrastructure) et non de coûts récurrents (abonnement à un service "cloud"). Enfin, de nombreuses études démontrent que le recours au "cloud" a des conséquences environnementales majeures, les data centers utilisés pour héberger les données étant très énergivores. Ainsi, selon une étude publiée par l'Agence de la transition écologique (Ademe) le mardi 6 janvier 2026, les data centers sont « parmi les infrastructures les plus concentrées spatialement et intensives énergétiquement », leur développement devant être maitrisé pour être compatible avec la transition écologique. Sur l'année 2024, les data centers installés en France avaient une consommation totale d’environ 10 térawattheures (TWh) d’électricité (sur une consommation annuelle totale du pays de 450 TWh). Si les tendances actuelles se poursuivent, l’Ademe estime que cette demande pourrait être multipliée par 3,7 d’ici à 2035 (37 TWh) et par 6,4 à l’horizon 2060.

Après l’alinéa 4, insérer l’alinéa suivant :

« I bis. – Les entités mentionnés au I du présent article doivent, dans la mesure du possible, avoir recours à des solutions locales d’hébergement des données afin d’assurer le plus haut niveau de protection et de sécurité de ces dernières. »

Par cet amendement, le groupe LFI souhaite s'interroger sur les moyens humains et financiers alloués aux entités assujetties à la nouvelle obligation prévue par la loi, et notamment ceux des collectivités territoriales à qui on demande toujours plus, sans une augmentation proportionnelle des moyens.

Dans le cadre de l'adoption par 49 al. 3 du projet de loi de finances pour 2026, une nouvelle coupe budgétaire de "près de 2 milliards d'euros" a été imposée aux collectivités territoriales, obligeant ces dernières à faire des arbitrages budgétaires toujours plus difficiles pour tenter de mener à bien leurs missions. Par conséquent, certaines dépenses, comme celles liées au numérique, vont en faire les frais, alors même que les dépenses qui y étaient allouées jusqu'à présent étaient déjà très insuffisantes pour y faire face : à titre d'illustration, lors d’une audition organisée dans le cadre de l’examen du PJL Cybersécurité et Résilience actuellement discuté à l’Assemblée, l’Association des départements de France (ADF) indiquait que les crédits dédiés à l'informatique étaient en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. Par ailleurs, de nombreuses collectivités, et notamment les plus petites, ne disposent pas des compétences techniques pour identifier des solutions numériques adéquates aux enjeux de préservation de la souveraineté numérique : ainsi, seules 9,74 % des communes sollicitées dans le cadre d'une consultation des élus locaux réalisée par la commission d’enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" dont les conclusions ont été adoptées le 8 juillet 2025 disposaient par exemple d’un acheteur professionnel.

Par conséquent, il nous semble à minima indispensable d'établir une évaluation des coûts induits par la mise en place des obligations prévues par la présente proposition de loi, et le cas échéant, de faire des propositions afin de doter les différents acteurs assujettis des moyens nécessaires pour y répondre correctement.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport visant à évaluer les moyens alloués aux entités mentionnés au I de l’article premier de la même loi. Le rapport présente les éventuelles difficultés financières et humaines rencontrées par ces derniers, et propose le cas échéant des solutions afin d’y remédier.

Par cet amendement, le groupe LFI souhaite réaffirmer l'importance d'utiliser des solutions numériques souveraines, en garantissant l'hébergement des données récoltées par les pouvoirs publics sur des serveurs situés sur le territoire national (ou européen) et sur lesquels s'applique le droit national et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmises à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectuée à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique. En l'absence de telles mesures, notre pays risque de devenir une véritable "colonie numérique" de puissances étrangères, annihilant ainsi notre capacité même à agir. Cette situation n'est pas tolérable.

Après l’alinéa 3, insérer l’alinéa suivant :

« I bis. – Les entités mentionnées au I du présent article doivent prévoir des conditions d’exécution de marchés comportant des prestations d’hébergement et de traitement de données par les services de l’informatique en nuage les protégeant de tout effet extraterritorial d’une législation étrangère aboutissant à contraindre le titulaire d’un marché à communiquer ou à transférer ces données à des autorités étrangères. Par ailleurs, les titulaires de marchés retenus par les entités mentionnées au I doivent garantir que les données récoltées dans le cadre de l’exécution du marché soient hébergées sur des serveurs situés sur le territoire national ou de l’Union européenne. »

Par cet amendement, le groupe LFI réaffirme son souhait de renforcer la souveraineté numérique française en ligne, en s'émancipant des géants du numériques étrangers - et notamment américain - par le développement de l'usage de services de l'informatique en nuage (aussi appelé "cloud") réversibles.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Dans ce contexte, la question de l'extraterritorialité se pose.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectué à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique.

Les services de cloud réversibles jouent un rôle majeur en la matière. En effet, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées. Il ne s'agit en réalité que d'une traduction législative d'une exigence déjà existante : en effet, la circulaire du Premier ministre n° 628-SG du 5 juillet 2021 définit la doctrine d’utilisation de l’informatique en nuage par l’État via la circulaire dite « cloud au centre » qui souligne que « l’État doit veiller scrupuleusement à la protection de ses données et de celles des citoyens, et notamment à leur hébergement sur le territoire de l’Union européenne » en encourageant les services et les organisations publiques à recourir à des solutions d’hébergement en nuage qui intègrent des exigences de réversibilité, de portabilité et d’interopérabilité et qui « n’entravent pas l’autonomie de l’État dans ses choix numériques à venir ». Le recours à un service de "cloud" non réversible et non développé par des structures publiques ne deviendrait alors qu'une exception dûment justifiée, une évaluation comparative de nature technique et économique devant démontrer qu’il est impossible d’accéder à des solutions équivalentes déjà développées au sein de l’administration publique en matière de fonctionnalités, de coût total et de cybersécurité, réalisée sous la supervision de la direction interministérielle du numérique (Dinum).

Après l’alinéa 3, insérer les deux alinéas suivants :

« I bis. – Les entités mentionnées au I du présent article utilisent des services de l’informatique en nuage réversibles.

« La mise en œuvre par les entités mentionnées au même I d’un service de l’informatique en nuage non réversible n’est autorisée que lorsque l’évaluation comparative de nature technique et économique démontre qu’il est impossible d’accéder à des solutions réversibles et déjà développées au sein de l’administration publique équivalentes en matière de fonctionnalités, de coût total et de cybersécurité. L’évaluation visée au présent paragraphe est effectuée conformément aux procédures et aux critères définis par la direction interministérielle du numérique, qui, à la demande des parties intéressées, émet également un avis sur leur conformité. »