Intervention de Jean-Noël Barrot

Le Gouvernement est favorable à ces deux amendements de suppression très bien défendus par Mme Chassaniol et par Mme la rapporteure. J'aimerais apporter quelques précisions concernant la stratégie de l'État en matière de protection des données sensibles des Français.

La France compte parmi les tout premiers pays à avoir décidé de se doter d'une stratégie de cloud de confiance. Elle a élaboré une certification, délivrée par l'Anssi, qui s'impose à toutes les administrations désireuses d'organiser leur migration vers le cloud. Cette politique de l'État a été fixée dans une circulaire du 5 juillet 2021, qui s'appuie sur une doctrine dénommée « Cloud au centre », récemment actualisée et présentée à l'Assemblée nationale lors des débats sur la loi de programmation militaire.

Aux termes de cette doctrine, qui s'impose à toutes les administrations, « tous les systèmes et applications informatiques traitant des données à caractère personnel, y compris celles des agents publics, doivent être conformes au règlement général sur la protection des données (RGPD). À ce titre, une attention particulière doit être portée à d'éventuels transferts de données à caractère personnel en dehors de l'Union européenne et il est rappelé que l'hébergement sur le territoire de l'Union européenne, de l'Espace économique européen ou d'un pays tiers faisant l'objet d'une décision d'adéquation de la Commission européenne, adoptée en application de l'article 45 du RGPD, permet notamment d'assurer un niveau de protection adéquat aux données. Par ailleurs, même lorsque les données sont localisées dans l'Union, conformément aux articles 28 et 48 du RGPD, ces données doivent être immunisées contre toute demande d'autorité publique d'États tiers – judiciaire ou administrative – en dehors d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre. Pour les systèmes contenant des données de santé, l'hébergeur doit de plus être conforme à la législation sur l'hébergement de données de santé.

« Si le système ou l'application informatique traite des données, à caractère personnel ou non, d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, l'offre de cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud – ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité – et être immunisée contre tout accès non autorisé par des autorités publiques d'États tiers. Dans le cas contraire, le recours à une offre de cloud commerciale qualifiée SecNumCloud et immunisée contre tout accès non autorisé par des autorités publiques d'États tiers n'est pas requis.

« Ces données d'une sensibilité particulière recouvrent : les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration […] ; les données nécessaires à l'accomplissement des missions essentielles de l'État, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes. »

Cette clarification du périmètre des données sensibles, Bruno Le Maire et moi l'avions annoncée le 12 septembre 2022 lors d'un déplacement dans un centre de données d'OVHcloud.

Bien que ces règles s'appliquent aux administrations, c'est-à-dire à l'ensemble de la sphère de l'État, notre politique ne s'arrête pas là. Aussi Bruno Le Maire a-t-il déclaré, ce même jour : « Je le dis avec beaucoup de gravité : si jamais nos entreprises qui ont des données extraordinairement sensibles ne se saisissaient pas librement de cette offre de sécurisation de leurs données », c'est-à-dire d'une offre qualifiée SecNumCloud, « je ne peux pas exclure que, à un moment ou à un autre, nous en venions à une norme obligatoire pour protéger notre souveraineté industrielle et protéger notre indépendance. »

Pourquoi ne pas imposer dès aujourd'hui cette obligation aux entreprises, en particulier aux opérateurs d'importance vitale et aux opérateurs essentiels ? Au-delà des problèmes rédactionnels, techniques, posés par l'article 10 bis A, sur lesquels je reviendrai dans quelques instants, Mme la rapporteure et Mme Chassaniol ont bien expliqué qu'une négociation très serrée était en cours concernant le schéma européen de certification de cybersécurité pour les services de cloud. Bien que volontaire, ce schéma européen encadrera les schémas de certification et de qualification nationaux.

Si nous gagnons la bataille et réussissons à intégrer dans ce schéma européen, au moins pour le niveau de sécurité le plus élevé, les critères que nous avons déterminés pour la qualification SecNumCloud, ce sera une très bonne nouvelle car nous pourrons continuer d'opérer avec cette qualification ; par ailleurs, les entreprises françaises ayant réalisé des efforts considérables pour l'obtenir auront la possibilité d'exercer directement leurs activités dans le reste de l'Union européenne. Si, au contraire, nous ne parvenons pas à convaincre nos partenaires européens d'intégrer dans ce schéma de certification volontaire le même niveau d'exigence que celui auquel nous avons décidé de nous astreindre, c'est l'existence même de ce niveau d'exigence associé à la qualification SecNumCloud qui se trouvera fragilisée juridiquement, puisqu'il ne sera pas conforme au schéma européen.

Certains d'entre vous considèrent que l'adoption de l'article 10 bis A serait de nature à renforcer la position de nos négociateurs, qui pourraient mettre en avant le fait que les parlementaires français poussent leur gouvernement à aller plus loin. En réalité, comme nous l'a montré l'expérience de ces derniers mois, c'est l'inverse qui se produirait : nos adversaires dans cette discussion européenne prétendraient que, sous prétexte de vouloir protéger les données sensibles, nous essaierions de conquérir leurs marchés. Cet argument est certes de mauvaise foi, mais nos négociateurs l'ont déjà entendu de manière répétée.

Un consensus européen a pu se former s'agissant du règlement sur les données, qui fait l'objet des articles 7, 8 et 9 que vous venez d'examiner et qui impose des règles de concurrence permettant de rouvrir le jeu. Cependant, en matière de protection des données sensibles, ce n'est pas du tout la même musique : les oppositions sont assez fortes. Si nous voulons remporter la bataille et obtenir que le schéma européen corresponde à nos exigences de sécurité, nous devons refréner notre envie d'étendre dès aujourd'hui à d'autres acteurs les obligations pesant sur l'administration. Réservons-nous la possibilité de le faire dans le cadre de prochains textes. Je pense notamment au futur projet de loi de transposition de la directive NIS 2 (Network and Information Security 2) et du règlement Dora (Digital Operational Resilience Act), qui portent sur des sujets très proches et nous amèneront d'ailleurs à redéfinir le périmètre des opérateurs d'importance vitale et des opérateurs essentiels.

Enfin, d'un point de vue purement technique, l'article 10 bis A ne décrit que certaines des dimensions de la certification SecNumCloud. Je comprends ce choix : comme l'a fait remarquer le directeur général de l'Anssi lors de son audition, s'il fallait intégrer l'ensemble des critères de la qualification SecNumCloud dans la loi, cette dernière ferait des milliers de pages ! Cette certification technique, très lourde et complexe, ne se résume pas à des critères d'actionnariat. Dès lors, l'article 10 bis A manque sa cible.