Logo : Sénat français

Direction de la séance

Proposition de loi

Intervention des cabinets privés

(2ème lecture)

(n° 616 , 615 )

N° 6 rect.

27 mai 2024


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BLATRIX CONTAT, MM. ROS, PLA, TEMAL, Michaël WEBER et ROIRON, Mme BÉLIM, MM. TISSOT, MARIE et REDON-SARRAZY, Mme MONIER et M. Patrice JOLY


ARTICLE 18


Alinéa 2

Après la deuxième occurrence du mot :

sécurité

insérer les mots :

et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre,

Objet

Cet amendement vise à renforcer la protection des données sensibles en garantissant leur immunité contre tout accès non autorisé par des autorités publiques d'États tiers lors des prestations de conseil privé, en cohérence avec les mesures de protection introduites par la loi SREN.

Lorsqu’un marché implique que le prestataire ait accès à des données sensibles, dont la violation pourrait menacer l’ordre public, la sécurité publique, la santé, la vie des personnes ou la protection de la propriété intellectuelle, il est essentiel que des mesures strictes de sécurité soient en place. Actuellement, l'administration bénéficiaire peut exiger la transmission des conclusions d’un audit de sécurité réalisé par un tiers. Toutefois, cette exigence ne garantit pas suffisamment la protection des données contre l'accès non autorisé par des autorités publiques d'États tiers.

À cet égard, il convient de rappeler que la circulaire du 5 juillet 2021, mise à jour le 31 mai 2023, impose que les services numériques de l'État utilisent le cloud par défaut, avec des critères de sécurité stricts, incluant la qualification SecNumCloud de l'ANSSI et la protection contre les accès non autorisés par des autorités d'États tiers. De même, l'article 10 bis A du projet de loi visant à sécuriser et réguler l'espace numérique, adopté en octobre dernier, établit des règles pour l'utilisation de prestataires d'informatique en nuage par l'administration lorsque des données sensibles sont concernées.

Les cabinets de conseil privés, pour leur part, accèdent également à des données sensibles. C’était notamment le cas lors de la mission de réorganisation du service de santé des armées (2018-2021), comme l’a révélé la commission d'enquête du Sénat sur l'influence de ces cabinets. Cependant, ces cabinets ne se soumettent pas aux mêmes règles que l'administration. Il convient pourtant de rappeler que la maîtrise des données des administrations et la souveraineté numérique française sont des enjeux essentiels, soulignés dans le rapport de 2021 sur « Bâtir et promouvoir une souveraineté numérique nationale et européenne ».

Ainsi, pour garantir une protection adéquate des données sensibles de l'État, il est impératif que les audits de sécurité incluent des garanties contre tout accès non autorisé par des autorités publiques d'États tiers, conformément à l'article 31 de la loi SREN. Sans cette modification, une brèche majeure subsisterait dans la protection des données du secteur public.

Cet amendement a été rédigé en collaboration avec OVHcloud.



NB :La présente rectification porte sur la liste des signataires.