Le présent amendement vise à préciser, à travers un décret en Conseil d’Etat, ce qui est entendu par « difficultés techniques » et « risque de surcoût important ».

Cela répond à une exigence de sécurité juridique pour les collectivités territoriales, notamment les plus petites. Ces dernières sont nombreuses à ne pas disposer de services juridiques ou techniques internes spécialisés dans la gouvernance numérique, et se trouveraient démunies si elles devaient interpréter de manière autonome de telles notions. Un encadrement clair permettrait de sécuriser leurs décisions, d’éviter toute remise en cause future et de favoriser l’adhésion des acteurs locaux aux objectifs de la loi.

Cet amendement du groupe Écologiste et Social vise à étendre l’application de cette proposition de loi et d’appliquer à l’ensemble des communes les obligations prévues par l’article 31 de la loi n° 2024‑449 du 21 mai 2024. 

En effet, les communes de moins de 30 000 habitants, non incluses dans le périmètre actuel ne peuvent être considérées, par nature, comme ne traitant aucune données sensibles.

Les risques, qui peuvent résulter notamment de relations contractuelles avec des acteurs soumis à des législations étrangères, ne dépendent pas uniquement de la taille démographique des collectivités. Même les communes de taille modeste peuvent être confrontées à ces enjeux dans le cadre de leurs compétences et de leurs activités.

Dans sa rédaction actuelle, le dispositif exclut de nombreuses communes du champ des obligations de conformité fixées par cet article puisque seules 288 communes seraient concernées, tandis que 36 241 communes en seraient exclues de fait. Une telle distinction apparaît difficilement justifiable au regard des objectifs poursuivis par la loi et ce d'autant plus que généralement, les services d'informatique en nuage sont gérés par par un EPCI auquel appartient la commune.

Cet amendement du groupe Écologiste et Social vise à questionner la dérogation prévu par l'alinéa 4 et reposant sur le critère imprécis de « surcoûts importants ».

En effet, la rédaction actuelle de la proposition de loi ouvre la voie à une dérogation trop large dans la mise en œuvre des objectifs de souveraineté numérique dans la mesure où la disposition reposant sur un surcoût « important » ne repose pas sur aucun critères objectif. Cette dérogation présente donc un caractère subjectif, susceptible de donner lieu à des interprétations divergentes selon les acheteurs publics.

Le renforcement de la souveraineté numérique implique, par nature, des investissements supplémentaires, notamment dans les phases initiales de transition (achat, formation, équipement,…). Les estimations disponibles indiquent que ces évolutions pourraient entraîner des surcoûts compris entre 15 % et 40 %. Dès lors, ce critère de dérogation pourrait s’appliquer à une grande partie des futurs marchés publics. A ce titre, le groupe Écologiste et Social rappelle que ces dépenses doivent être perçues non comme des pertes financières mais des investissements.

Le présent amendement des députés Socialistes et apparentés vise à renforcer l’ambition du dispositif prévu par la loi SREN et que la présente proposition de loi entend étendre aux collectivités territoriales d’une certaine taille quant à la protection des données dans le cadre des marchés publics numériques. 

Cette loi, en son article 31, impose à l’État et à ses opérateurs mettant en oeuvre des système d’informatique en nuage, de veiller à ce que le service fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre.

Ces systèmes représentent effectivement des infrastructures stratégiques à l’ère du capitalisme numérique ou les données personnelles et la propriété intellectuelle sont des armes dans une guerre commerciale de moins en moins feutrée. 

Cela suppose donc que ces systèmes ne soient pas opérés par des sociétés soumises à la législation d’États qui comporte une portée extraterritoriale comme outil de guerre économique plus ou moins agressive. A cet égard, par deux fois, la Cour de Justice de l’Union européenne avait annulé des accords négociés entre la Commission européenne et les États-Unis (Safe Harbor et Privacy Shield) comme ne garantissant pas un niveau effectif et suffisant de protection des données personnelles. Des décisions portant d’ailleurs sur des accords passés antérieurement au Cloud Act (HR. 4943) de 2018 qui permet aux autorités judiciaires américaines d’imposer à leurs entreprises technologiques de transmettre toute donnée stockée sur leurs serveurs, y compris implantés à l’étranger. A l’heure de l’administration Trump et d’un usage démontré désormais de l’appareil judiciaire fédéral à des fins politiques, cette réalité doit fortement nous inquiéter.

Ce faisant, les obligations pesant sur les pouvoirs adjudicateurs ne peuvent relever de la simple « veille » dans la rédaction de leur cahiers des charges afin que leurs opérateurs mettent en oeuvre une protection suffisante de nos données sensibles. Il doit bien s’agir d’une garantie à défaut de pouvoir concrètement écarter certains prestataires, notamment américains, au regard de la structuration du marché de la donnée ou des règles européennes en matière de commande publique. 

Considérant la nécessité de mettre en oeuvre rapidement cette extension aux collectivités territoriales par l’adoption conforme du texte cet amendement se veut d’abord d’appel mais il devient urgent d’adapter nos législations à la dureté de nos concurrents.

Selon les statistiques de l'AMF, en France nous comptons 35 497 communes, et avec seulement 300 d'entre elles qui comptent une population supérieure ou égale à 30 000 habitants. La proposition de loi sénatoriale manque d'ambition pour la protection des marchés publics numériques, elle ne vise qu'une part infime des communes qui devraient se soumettre aux règles de sécurisation issue de la loi SREN de mai 2024 alors que des communes de moins de 30 000 habitants ont également recours à ces marchés publics numériques. 

Le présent amendement vise donc à supprimer la condition de plus de 30 000 habitants, afin que l'ensemble des communes soient concernées par ce texte, et que les données d'une particulière gravité qui seront traitées par des services d'informatique en nuage soient protégées.

Nous comptons en France plus de 1000 villes dont le nombre d'habitants est supérieur ou égal à 10 000. Au 1er janvier 2024, 50,7 % de la population française habitait dans ces villes de plus de 10 000 habitants. 

Cet amendement de repli vise donc à abaisser la condition tenant à la population des communes qui seront soumises aux règles de sécurisation des marchés publics numériques. Cela afin qu'un maximum de données d'une particulière sensibilité, traitées par des services d'informatique en nuage, soient protégées.

Par cet amendement, le groupe LFI réaffirme son souhait de renforcer la souveraineté numérique française en ligne, en s'émancipant des géants du numériques étrangers - et notamment américain - par le développement de l'usage de services de l'informatique en nuage (aussi appelé "cloud") réversibles.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Dans ce contexte, la question de l'extraterritorialité se pose.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectué à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique.

Les services de cloud réversibles jouent un rôle majeur en la matière. En effet, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées. Il ne s'agit en réalité que d'une traduction législative d'une exigence déjà existante : en effet, la circulaire du Premier ministre n° 628-SG du 5 juillet 2021 définit la doctrine d’utilisation de l’informatique en nuage par l’État via la circulaire dite « cloud au centre » qui souligne que « l’État doit veiller scrupuleusement à la protection de ses données et de celles des citoyens, et notamment à leur hébergement sur le territoire de l’Union européenne » en encourageant les services et les organisations publiques à recourir à des solutions d’hébergement en nuage qui intègrent des exigences de réversibilité, de portabilité et d’interopérabilité et qui « n’entravent pas l’autonomie de l’État dans ses choix numériques à venir ». Le recours à un service de "cloud" non réversible et non développé par des structures publiques ne deviendrait alors qu'une exception dûment justifiée, une évaluation comparative de nature technique et économique devant démontrer qu’il est impossible d’accéder à des solutions équivalentes déjà développées au sein de l’administration publique en matière de fonctionnalités, de coût total et de cybersécurité, réalisée sous la supervision de la direction interministérielle du numérique (Dinum).

Par cet amendement, le groupe LFI souhaite réaffirmer la nécessité de protéger les données numériques des citoyennes et citoyens récoltées par les différents acteurs publics, en ayant systématiquement recours à des solutions développées par des structures publiques nationales, et qui prévoient un hébergement des données sur des serveurs régis par le droit national et/ou européen et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe.

Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmise à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

Dans ce contexte, et s'afin de s'assurer que la France continue d'avoir un accès souverain aux données numériques qu'elle a collectées, il nous semble indispensable d'avoir recours à des solutions développées par des structures publiques - d'autant plus qu'elles existent. A titre d'illustration, l’État a développé deux offres de services d’hébergement et de traitement des données entièrement maîtrisés par des ressources internes, incluant l’hébergement, l’ingénierie, l’exploitation et la surveillance des données sensibles, exploitées et surveillées par le ministère de l’Intérieur (cloud Pi), initialement associé à un niveau de sécurité « Diffusion restreinte » ou encore le ministère des finances (cloud Nubo) associé au standard SecNumCloud - qui garantit un haut niveau d’exigences tant du point de vue technique, qu’opérationnel ou juridique car protégée des législations extra-territoriales et donc un niveau de sécurité de la solution dans son ensemble.

Par cet amendement, le groupe LFI souhaite réaffirmer l'importance d'utiliser des solutions numériques souveraines, en garantissant l'hébergement des données récoltées par les pouvoirs publics sur des serveurs situés sur le territoire national (ou européen) et sur lesquels s'applique le droit national et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmises à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectuée à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique. En l'absence de telles mesures, notre pays risque de devenir une véritable "colonie numérique" de puissances étrangères, annihilant ainsi notre capacité même à agir. Cette situation n'est pas tolérable.

Par cet amendement, le groupe LFI souhaite s'interroger sur les moyens humains et financiers alloués aux entités assujetties à la nouvelle obligation prévue par la loi, et notamment ceux des collectivités territoriales à qui on demande toujours plus, sans une augmentation proportionnelle des moyens.

Dans le cadre de l'adoption par 49 al. 3 du projet de loi de finances pour 2026, une nouvelle coupe budgétaire de "près de 2 milliards d'euros" a été imposée aux collectivités territoriales, obligeant ces dernières à faire des arbitrages budgétaires toujours plus difficiles pour tenter de mener à bien leurs missions. Par conséquent, certaines dépenses, comme celles liées au numérique, vont en faire les frais, alors même que les dépenses qui y étaient allouées jusqu'à présent étaient déjà très insuffisantes pour y faire face : à titre d'illustration, lors d’une audition organisée dans le cadre de l’examen du PJL Cybersécurité et Résilience actuellement discuté à l’Assemblée, l’Association des départements de France (ADF) indiquait que les crédits dédiés à l'informatique étaient en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. Par ailleurs, de nombreuses collectivités, et notamment les plus petites, ne disposent pas des compétences techniques pour identifier des solutions numériques adéquates aux enjeux de préservation de la souveraineté numérique : ainsi, seules 9,74 % des communes sollicitées dans le cadre d'une consultation des élus locaux réalisée par la commission d’enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" dont les conclusions ont été adoptées le 8 juillet 2025 disposaient par exemple d’un acheteur professionnel.

Par conséquent, il nous semble à minima indispensable d'établir une évaluation des coûts induits par la mise en place des obligations prévues par la présente proposition de loi, et le cas échéant, de faire des propositions afin de doter les différents acteurs assujettis des moyens nécessaires pour y répondre correctement.

Par cet amendement, le groupe LFI souligne à nouveau l'importance de la préservation de la sécurité de l'hébergement de nos données numériques, en ayant recours à des solutions locales d'hébergement de ces dernières.

La numérisation croissante de la société a notamment entraîné une production massive de données numériques, parfois très sensibles comme les données personnelles. Or, l'hébergement de ces dernières s'est souvent reposé sur des services d'hébergement en nuage - aussi appelé "cloud" - qui permettent notamment d'avoir accès aux données stockées partout dans le monde, en ayant uniquement besoin d'une connexion à Internet pour ce faire. Or, en raison de la nationalité d'origine des acteurs économiques dominants sur ce marché, principalement des acteurs américains comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud, les données que nous faisons héberger sur ces services sont soumis à des législations extra-territoriales permettant à des puissances étrangères d'y avoir accès, sans notre autorisation. Ainsi, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. D'autres pays comme la Chine ou l'Inde ont également des législations similaires.

Face à cette situation, il est indispensable de réfléchir à d'autres solutions techniques d'hébergement plus fiables en termes de préservation de la sécurité de nos données, les solutions locales de stockage ayant un rôle important à jouer en la matière. Très concrètement, les solutions locales désignent des solutions où les données sont stockées sur des dispositifs physiques comme des serveurs internes, des disques durs externes ou des NAS (Network Attached Storage), et ces dernières présentent plusieurs avantages non négligeables : tout d'abord, le recours à ce type de solution permet aux propriétaires des données d'avoir un contrôle total sur la configuration et les autorisations d'accès des utilisateurs, d'autant plus que l'absence de nécessité d'utiliser Internet pour y avoir accès est une garantie de sécurité supplémentaire. Par ailleurs, les coûts pour ce type d'installation sont beaucoup moins élevés que pour le "cloud" puisqu'il s'agit souvent de coûts fixes (achat de l'infrastructure) et non de coûts récurrents (abonnement à un service "cloud"). Enfin, de nombreuses études démontrent que le recours au "cloud" a des conséquences environnementales majeures, les data centers utilisés pour héberger les données étant très énergivores. Ainsi, selon une étude publiée par l'Agence de la transition écologique (Ademe) le mardi 6 janvier 2026, les data centers sont « parmi les infrastructures les plus concentrées spatialement et intensives énergétiquement », leur développement devant être maitrisé pour être compatible avec la transition écologique. Sur l'année 2024, les data centers installés en France avaient une consommation totale d’environ 10 térawattheures (TWh) d’électricité (sur une consommation annuelle totale du pays de 450 TWh). Si les tendances actuelles se poursuivent, l’Ademe estime que cette demande pourrait être multipliée par 3,7 d’ici à 2035 (37 TWh) et par 6,4 à l’horizon 2060.

Cet amendement du groupe Écologiste et Social vise à appliquer aux communautés de communes les obligations prévues par l’article 31 de la loi n° 2024‑449 du 21 mai 2024. 

Les communautés de communes en tant qu’association de communes « en vue de l’élaboration d’un projet commun de développement et d’aménagement de l’espace », selon l’article L5214‑1 du code général des collectivités territoriale, exercent de plein droit en lieu et place des communes membres les compétences dans de nombreux domaines comme l’aménagement de l’espace pour la conduite d’actions d’intérêt communautaire, l’action de développement économique, la gestion des milieux aquatiques et prévention des inondations, la collecte et traitement des déchets des ménages, l’assainissement des eaux usées ou l’eau. 

Les risques, qui peuvent résulter notamment de relations contractuelles avec des acteurs soumis à des législations étrangères, ne dépendent pas uniquement du statut administratif des collectivités. 

À ce titre, les communautés de communes génèrent et hébergent des données dont la « violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l’administration de l’État, ses opérateurs », selon les critères de la loi SREN. 

Dans sa rédaction actuelle, le dispositif les communautés de communes du champ des obligations de conformité. Cette restriction conduit à limiter considérablement la portée du mécanisme puisqu’un tiers de la population française vit dans des communautés de communes. Une telle distinction apparaît difficilement justifiable au regard des objectifs poursuivis par la loi.