relative à la sécurisation des marchés publics numériques

Le présent amendement précise et consolide le dispositif adopté par le Sénat, dont il étend le champ d’application.

En effet, dans sa rédaction initiale, l’article unique de la proposition de loi tendait à renforcer substantiellement les exigences en matière de sécurité et de protection des données pesant sur les offres de cloud, en confiant les données de l’ensemble des acheteurs publics à des prestataires français ou européens.

Tout en reconnaissant l’intention légitime du texte, la commission des Lois du Sénat s’est attachée à rechercher un meilleur équilibre entre la nécessaire protection des données publiques stratégiques et la prise en compte des difficultés juridiques et opérationnelles soulevées par cette rédaction initiale.

Elle a donc opté pour une nouvelle écriture de l’article, qui prévoit d’étendre les obligations actuellement prévues à l’article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi « Sren », à certaines collectivités territoriales ainsi qu’à certains établissements publics de coopération intercommunale à fiscalité propre.

Si cette modification constitue une évolution bienvenue, des précisions techniques doivent encore être apportées afin de garantir l’efficacité du dispositif.

Le présent amendement procède ainsi à plusieurs évolutions.

Premièrement, il précise et complète le champ des administrations locales concernées, en le rapprochant de celui actuellement défini pour les entités dites « essentielles » par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en cours de discussion à l’Assemblée nationale.

Concrètement, l’amendement étend les obligations de protection des données sensibles aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs, ainsi qu’à certains organismes sensibles qui n’appartiennent pas à ces catégories, comme les services départementaux d’incendie et de secours.

Afin de tenir compte des contraintes qui pèsent sur les petites communes, et par cohérence avec le seuil retenu dans le projet de loi précité, seules les communes et les communautés de communes de plus de 30 000 habitants seraient concernées.

Deuxièmement, l’amendement précise et étend la notion de données d’une sensibilité particulière, afin de l’adapter aux compétences des administrations locales concernées.

Ainsi, en plus des catégories déjà consacrées par la doctrine « cloud au centre » et l’article 31 de la loi « Sren », seraient également qualifiées de données sensibles « les données nécessaires à la mise en œuvre des compétences essentielles des collectivités territoriales, notamment la prévention des risques de toute nature, la gestion des crises, le maintien de l’ordre public et la protection de la santé et de la vie des personnes ».

Troisièmement, l’amendement encadre la clause dérogatoire qui avait été introduite par le Sénat. Si la possibilité de déroger à ces obligations nouvelles paraît pertinente pour permettre une transition harmonieuse vers des infrastructures d’informatique en nuage sécurisées, la rédaction actuelle paraît trop vague. Elle risque de réduire significativement la portée du dispositif en ouvrant largement la possibilité de se soustraire aux exigences posées par le texte.

Afin d’éviter de tels écueils, l’amendement propose que la décision de déroger à ces obligations nouvelles, prise par l’administration locale concernée, soit motivée et rendue publique, et que les conditions et modalités dans lesquelles les dérogations peuvent être prises soient précisées par décret en Conseil d’État, par analogie au cadre prévu par l’article 31 de la loi « Sren ».

Surtout, la dérogation serait encadrée dans le temps : celle-ci ne pourrait dépasser dix-huit mois. Un tel mécanisme paraît plus pertinent qu’une entrée en vigueur décalée, car il incite et contraint l’administration locale concernée à planifier la migration de ses données sensibles, tout en lui apportant la souplesse nécessaire à cette opération.

Enfin, l’amendement sécurise la possibilité pour l’administration locale concernée de résilier les contrats en cours, dans le cas où le prestataire auprès duquel elle héberge déjà ses données ne présenterait pas les garanties de sécurité exigées.

Rédiger ainsi cet article :

« I. – (Supprimé)

« II. – Après l’article 31 de la loi n° 2024 449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, il est inséré un article 31‑1 ainsi rédigé :

« Art. 31‑1. – I. – Le I de l’article 31 est applicable aux administrations suivantes :

« a) Les régions, les départements, les communes d’une population supérieure à 30 000 habitants, ainsi que leurs établissements publics administratifs ;

« b) Les centres de gestion de la fonction publique territoriale mentionnés à l’article L. 452‑1 du code général de la fonction publique ;

« c) Les services départementaux d’incendie et de secours mentionnés à l’article L. 1424‑1 du code général des collectivités territoriales ;

« d) Les communautés de communes dont la population est supérieure à 30 000 habitants, les communautés d’agglomération, les communautés urbaines et les métropoles ainsi que leurs établissements publics administratifs ;

« e) Les syndicats mentionnés aux articles L. 5212‑1, L. 5711‑1 et L. 5721‑2 du même code dont la population est supérieure à 30 000 habitants ;

« f) Les institutions et les organismes interdépartementaux mentionnés à l’article L. 5421‑1 dudit code.

« I bis. – Pour l’application du II du même article, sont également qualifiées de données d’une sensibilité particulière les données nécessaires à la mise en œuvre des compétences essentielles des collectivités territoriales, notamment la prévention des risques de toute nature, la gestion des crises, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.

« II. – Lorsque, à la date d’entrée en vigueur du présent article, une administration mentionnée au I du présent article a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage, cette administration peut décider de déroger au même I, dans des conditions et selon des critères définis par décret en Conseil d’État, sans que cette dérogation ne puisse excéder dix-huit mois.

« La décision mentionnée à l’alinéa précédent est motivée et rendue publique. Elle est prise sur délibération de l’assemblée délibérante ou du conseil d’administration de l’administration mentionnée au I.

« L’administration concernée peut résilier les contrats conclus avec le prestataire ne mettant pas en œuvre les critères de sécurité et de protection des données mentionnés au deuxième alinéa du I de l’article 31 qui sont encore en cours à la date d’entrée en vigueur du présent article.

« III. – (Supprimé) ».