Amendement N° 136 (Rejeté)

La ciculaire du 5 juillet 2021 relative à l’application de la doctrine d'utilisation de l'informatique en nuage par l'État actualisée par la circulaire du 31 mai 2023 fait du cloud le mode d’hébergement et de production par défaut des services numériques de l’État et impose des critères stricts de sécurité pour les cloud proposés par les industriels à l’Etat. Pour chaque produit numérique manipulant des données, à caractère personnel ou non, d’une sensibilité particulière et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, l’offre de cloud commerciale retenue doit impérativement respecter la qualification SecNumCloud établie par l’ANSSI et être immunisée contre tout accès non autorisé par des autorités publiques d’État tiers.

Par ailleurs, l’article 10 bis A du projet de loi sécuriser et réguler l’espace numérique, voté à une large marjorité en séance publique en octobre dernier, a souhaité établir des règles sur le recours à des prestataires d’informatique en nuage pour l’administration de l’Etat ou ses opérateurs lorsque les données concernées sont d’une sensibilité particulière.

De même, la commission d’enquête du Sénat sur l’influence croissante des cabinets de conseil privés sur les politiques publiques a établi que les cabinets de conseil sont destinataires de données pouvant présenter un caractère sensible, comme en témoigne par exemple la mission de réorganisation du service de santé des armées (2018-2021) menée par des consultants au cours du quinquennat précédent.

La problématique de la maîtrise des données des administrations et la perte de souveraineté numérique française a été relevée de nombreuses fois, notamment dans le rapport de la mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (2021).

Ainsi, en cohérence avec les effort de protection des données sensibles de l’Etat, les administrations concernées par des prestations de conseils devraient être tenues d’évaluer si les données traitées sont d’une sensibilité particulière, cela afin de déterminer si des règles spécifiques doivent être imposées aux cabinets de conseils.

L’absence d’évaluation et de règles spécifiques de sécurité pour les prestations de conseil particulièrement sensibles constituerait une brèche majeure pour la protection des données de l’administration. Il est donc nécessaire que les administrations procèdent à cette évaluation et de prévoir, le cas échéant, d’avoir recours à un cabinet de conseils en capacité de traiter ses données en toute sécurité.