Amendement

Proposition de loi Intervention des cabinets privés

Direction de la Séance

N°6 rect.

27 mai 2024

(2ème lecture)

(n° 616 , 615 )

C	Défavorable
G	Défavorable
Rejeté

présenté par

Mme BLATRIX CONTAT, MM. ROS, PLA, TEMAL, Michaël WEBER et ROIRON, Mme BÉLIM, MM. TISSOT, MARIE et REDON-SARRAZY, Mme MONIER et M. Patrice JOLY

ARTICLE 18

Consulter le texte de l'article

Alinéa 2

Après la deuxième occurrence du mot :

sécurité

insérer les mots :

et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre,

Objet

Cet amendement vise à renforcer la protection des données sensibles en garantissant leur immunité contre tout accès non autorisé par des autorités publiques d'États tiers lors des prestations de conseil privé, en cohérence avec les mesures de protection introduites par la loi SREN.

Lorsqu’un marché implique que le prestataire ait accès à des données sensibles, dont la violation pourrait menacer l’ordre public, la sécurité publique, la santé, la vie des personnes ou la protection de la propriété intellectuelle, il est essentiel que des mesures strictes de sécurité soient en place. Actuellement, l'administration bénéficiaire peut exiger la transmission des conclusions d’un audit de sécurité réalisé par un tiers. Toutefois, cette exigence ne garantit pas suffisamment la protection des données contre l'accès non autorisé par des autorités publiques d'États tiers.

À cet égard, il convient de rappeler que la circulaire du 5 juillet 2021, mise à jour le 31 mai 2023, impose que les services numériques de l'État utilisent le cloud par défaut, avec des critères de sécurité stricts, incluant la qualification SecNumCloud de l'ANSSI et la protection contre les accès non autorisés par des autorités d'États tiers. De même, l'article 10 bis A du projet de loi visant à sécuriser et réguler l'espace numérique, adopté en octobre dernier, établit des règles pour l'utilisation de prestataires d'informatique en nuage par l'administration lorsque des données sensibles sont concernées.

Les cabinets de conseil privés, pour leur part, accèdent également à des données sensibles. C’était notamment le cas lors de la mission de réorganisation du service de santé des armées (2018-2021), comme l’a révélé la commission d'enquête du Sénat sur l'influence de ces cabinets. Cependant, ces cabinets ne se soumettent pas aux mêmes règles que l'administration. Il convient pourtant de rappeler que la maîtrise des données des administrations et la souveraineté numérique française sont des enjeux essentiels, soulignés dans le rapport de 2021 sur « Bâtir et promouvoir une souveraineté numérique nationale et européenne ».

Ainsi, pour garantir une protection adéquate des données sensibles de l'État, il est impératif que les audits de sécurité incluent des garanties contre tout accès non autorisé par des autorités publiques d'États tiers, conformément à l'article 31 de la loi SREN. Sans cette modification, une brèche majeure subsisterait dans la protection des données du secteur public.

Cet amendement a été rédigé en collaboration avec OVHcloud.

NB :La présente rectification porte sur la liste des signataires.