Par cet amendement, le groupe LFI réaffirme son souhait de renforcer la souveraineté numérique française en ligne, en s'émancipant des géants du numériques étrangers - et notamment américain - par le développement de l'usage de services de l'informatique en nuage (aussi appelé "cloud") réversibles.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Dans ce contexte, la question de l'extraterritorialité se pose.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectué à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique.

Les services de cloud réversibles jouent un rôle majeur en la matière. En effet, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées. Il ne s'agit en réalité que d'une traduction législative d'une exigence déjà existante : en effet, la circulaire du Premier ministre n° 628-SG du 5 juillet 2021 définit la doctrine d’utilisation de l’informatique en nuage par l’État via la circulaire dite « cloud au centre » qui souligne que « l’État doit veiller scrupuleusement à la protection de ses données et de celles des citoyens, et notamment à leur hébergement sur le territoire de l’Union européenne » en encourageant les services et les organisations publiques à recourir à des solutions d’hébergement en nuage qui intègrent des exigences de réversibilité, de portabilité et d’interopérabilité et qui « n’entravent pas l’autonomie de l’État dans ses choix numériques à venir ». Le recours à un service de "cloud" non réversible et non développé par des structures publiques ne deviendrait alors qu'une exception dûment justifiée, une évaluation comparative de nature technique et économique devant démontrer qu’il est impossible d’accéder à des solutions équivalentes déjà développées au sein de l’administration publique en matière de fonctionnalités, de coût total et de cybersécurité, réalisée sous la supervision de la direction interministérielle du numérique (Dinum).

Les offices publics de l’habitat gèrent un parc immobilier important et traitent des données sociales et personnelles sensibles relatives aux locataires.

La sécurisation du recours à des services d’informatique en nuage pour le traitement de ces données participe directement à la protection des personnes et à la prévention des risques d’ingérence ou d’accès non autorisé par des autorités étrangères.

Le présent amendement vise ainsi à inclure les offices publics de l’habitat, tout en limitant son application aux structures disposant d’une taille critique suffisante.

 La définition des « données sensibles » applicable aux collectivités territoriales, distincte de celle applicable à l'État a le mérite d’être inscrite dans la loi, cependant, elle reste floue et nécessite des précisions.
 
Par cet amendement, il est demandé de travailler avec les collectivités à un document (circulaire, vade-mecum ou autre) précisant la définition de ces données sensibles afin de sécuriser juridiquement l’application de la présente loi.
 
Cet amendement a été travaillé avec Départements de France.  

Le présent amendement propose de faire passer la durée de dérogation de 18 à 24 mois, afin de laisser le temps aux collectivités assujetties de migrer leurs systèmes.
 
Ce délai permet de tenir davantage compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

Cet amendement a été travaillé avec Départements de France.

L’entrée en vigueur de cette proposition de loi entraînera des surcoûts importants pour les collectivités.
 
A défaut d’enveloppe dédiée ou de compensation de la part de l’État, il convient de prévoir une disposition spécifique, surtout dans un contexte de difficultés budgétaires pour certaines collectivités.
 
Le Sénat avait prévu une dérogation en cas de risque de surcoût important. Afin de sécuriser cette dérogation, les critères seraient également renvoyés à un décret.
 
Le passage à des solutions cloud souveraines ou équivalentes représente un coût non négligeable pour les collectivités assujetties, qui se décline en plusieurs postes :
·      Surcoût de migration des systèmes existants vers des offres conformes
·      Prime de prix des solutions souveraines par rapport aux offres des hyperscalers, estimée entre 20 et 40 % selon les solutions
·      Coût d'expertise juridique et technique pour la qualification des données « sensibles »
·      Coût de formation et d'organisation des équipes informatiques
·      Frais éventuels de résiliation anticipée de contrats en cours.

Cet amendement a été travaillé avec Départements de France. 

 
Cet amendement vise à simplifier la rédaction de l’alinéa 12, en s’en tenant à une délibération motivée pour prendre une décision de dérogation.
 
En effet, les délibérations sont publiques.

Cet amendement a été travaillé avec Départements de France.

Le décret en Conseil d'État prévu à l'article 31 de la loi SREN – qui devait préciser dans un délai de 6 mois les critères de sécurité et de protection, y compris les seuils de détention du capital – n’a pas été publié à jour.
 
En commission, le rapporteur a fait état d’une publication prochaine de décret.
Il semble toutefois complexe d’envisager une extension de l’article 31 aux collectivités alors même que le texte d’application est toujours en attente, au risque de générer de l’insécurité juridique.
 
Il est donc proposé par cet amendement de conditionner l’entrée en vigueur de la présente proposition de loi à la publication dudit décret.
 
En outre, afin de sécuriser les contrats ne pouvant pas être résiliés sans indemnités importantes, il est prévu une application uniquement aux nouveaux contrats.
 
L’entrée en vigueur interviendrait au plus tôt six mois après promulgation. A cette date, les collectivités ayant déjà engagé un recours à l’informatique en nuage pourraient conserver cette solution pendant dix-huit mois.
 
Au total, l’entrée en vigueur complète serait ainsi de 24 mois, ce qui laisse le temps aux collectivités assujetties de migrer leurs systèmes.
 
Ces délais permettent de tenir compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

Cet amendements a été travaillé avec Départements de France. 

La définition des « données sensibles » applicable aux collectivités territoriales, distincte de celle applicable à l’État a le mérite d’être inscrite dans la loi, cependant, elle reste floue et nécessite des précisions.

Par cet amendement, il est demandé de travailler avec les collectivités à un document (circulaire, vade-mecum ou autre) précisant la définition de ces données sensibles afin de sécuriser juridiquement l’application de la présente loi.

Le présent amendement propose de faire passer la durée de dérogation de 18 à 24 mois, afin de laisser le temps aux collectivités assujetties de migrer leurs systèmes.

Ce délai permet de tenir davantage compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

L’entrée en vigueur de cette proposition de loi entraînera des surcoûts importants pour les collectivités.

À défaut d’enveloppe dédiée ou de compensation de la part de l’État, il convient de prévoir une disposition spécifique, surtout dans un contexte de difficultés budgétaires pour certaines collectivités.

Le Sénat avait prévu une dérogation en cas de risque de surcoût important. Afin de sécuriser cette dérogation, les critères seraient également renvoyés à un décret.

Le passage à des solutions cloud souveraines ou équivalentes représente un coût non négligeable pour les collectivités assujetties, qui se décline en plusieurs postes :

• Surcoût de migration des systèmes existants vers des offres conformes
• Prime de prix des solutions souveraines par rapport aux offres des hyperscalers, estimée entre 20 et 40 % selon les solutions
• Coût d’expertise juridique et technique pour la qualification des données « sensibles »
• Coût de formation et d’organisation des équipes informatiques
• Frais éventuels de résiliation anticipée de contrats en cours.

Cet amendement vise à simplifier la rédaction de l’alinéa 12, en s’en tenant à une délibération motivée pour prendre une décision de dérogation.

En effet, les délibérations sont publiques.

Par cet amendement, le groupe LFI souhaite réaffirmer la nécessité de protéger les données numériques des citoyennes et citoyens récoltées par les différents acteurs publics, en ayant systématiquement recours à des solutions développées par des structures publiques nationales, et qui prévoient un hébergement des données sur des serveurs régis par le droit national et/ou européen et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs désormais incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe.

Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmise à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

Dans ce contexte, et s'afin de s'assurer que la France continue d'avoir un accès souverain aux données numériques qu'elle a collectées, il nous semble indispensable d'avoir recours à des solutions développées par des structures publiques - d'autant plus qu'elles existent. A titre d'illustration, l’État a développé deux offres de services d’hébergement et de traitement des données entièrement maîtrisés par des ressources internes, incluant l’hébergement, l’ingénierie, l’exploitation et la surveillance des données sensibles, exploitées et surveillées par le ministère de l’Intérieur (cloud Pi), initialement associé à un niveau de sécurité « Diffusion restreinte » ou encore le ministère des finances (cloud Nubo) associé au standard SecNumCloud - qui garantit un haut niveau d’exigences tant du point de vue technique, qu’opérationnel ou juridique car protégée des législations extra-territoriales et donc un niveau de sécurité de la solution dans son ensemble.

Le décret en Conseil d’État prévu à l’article 31 de la loi SREN – qui devait préciser dans un délai de 6 mois les critères de sécurité et de protection, y compris les seuils de détention du capital – n’a pas été publié à jour.

En commission, le rapporteur a fait état d’une publication prochaine de décret.

Il semble toutefois complexe d’envisager une extension de l’article 31 aux collectivités alors même que le texte d’application est toujours en attente, au risque de générer de l’insécurité juridique.

Il est donc proposé par cet amendement de conditionner l’entrée en vigueur de la présente proposition de loi à la publication dudit décret.

En outre, afin de sécuriser les contrats ne pouvant pas être résiliés sans indemnités importantes, il est prévu une application uniquement aux nouveaux contrats.

L’entrée en vigueur interviendrait au plus tôt six mois après promulgation. A cette date, les collectivités ayant déjà engagé un recours à l’informatique en nuage pourraient conserver cette solution pendant dix-huit mois.

Au total, l’entrée en vigueur complète serait ainsi de 24 mois, ce qui laisse le temps aux collectivités assujetties de migrer leurs systèmes.

Ces délais permettent de tenir compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

La définition des « données sensibles » applicable aux collectivités territoriales, distincte de celle applicable à l'État a le mérite d’être inscrite dans la loi, cependant, elle reste floue et nécessite des précisions.

Par cet amendement, il est demandé de travailler avec les collectivités à un document (circulaire, vade-mecum ou autre) précisant la définition de ces données sensibles afin de sécuriser juridiquement l’application de la présente loi.

Le présent amendement propose de faire passer la durée de dérogation de 18 à 24 mois, afin de laisser le temps aux collectivités assujetties de migrer leurs systèmes.

Ce délai permet de tenir davantage compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

L’entrée en vigueur de cette proposition de loi entraînera des surcoûts importants pour les collectivités.

A défaut d’enveloppe dédiée ou de compensation de la part de l’État, il convient de prévoir une disposition spécifique, surtout dans un contexte de difficultés budgétaires pour certaines collectivités.

Le Sénat avait prévu une dérogation en cas de risque de surcoût important. Afin de sécuriser cette dérogation, les critères seraient également renvoyés à un décret.

Le passage à des solutions cloud souveraines ou équivalentes représente un coût non négligeable pour les collectivités assujetties, qui se décline en plusieurs postes :

• Surcoût de migration des systèmes existants vers des offres conformes
• Prime de prix des solutions souveraines par rapport aux offres des hyperscalers, estimée entre 20 et 40 % selon les solutions
• Coût d'expertise juridique et technique pour la qualification des données « sensibles »
• Coût de formation et d'organisation des équipes informatiques
• Frais éventuels de résiliation anticipée de contrats en cours.

Cet amendement vise à simplifier la rédaction de l’alinéa 12, en s’en tenant à une délibération motivée pour prendre une décision de dérogation.

En effet, les délibérations sont publiques.

Le décret en Conseil d'État prévu à l'article 31 de la loi SREN – qui devait préciser dans un délai de 6 mois les critères de sécurité et de protection, y compris les seuils de détention du capital – n’a pas été publié à jour.

En commission, le rapporteur a fait état d’une publication prochaine de décret.

Il semble toutefois complexe d’envisager une extension de l’article 31 aux collectivités alors même que le texte d’application est toujours en attente, au risque de générer de l’insécurité juridique.

Il est donc proposé par cet amendement de conditionner l’entrée en vigueur de la présente proposition de loi à la publication dudit décret.

En outre, afin de sécuriser les contrats ne pouvant pas être résiliés sans indemnités importantes, il est prévu une application uniquement aux nouveaux contrats.

L’entrée en vigueur interviendrait au plus tôt six mois après promulgation. A cette date, les collectivités ayant déjà engagé un recours à l’informatique en nuage pourraient conserver cette solution pendant dix-huit mois.

Au total, l’entrée en vigueur complète serait ainsi de 24 mois, ce qui laisse le temps aux collectivités assujetties de migrer leurs systèmes.

Ces délais permettent de tenir compte des durées de passation des marchés, qui s’étalent sur plusieurs années.

Nous comptons en France plus de 1000 villes dont le nombre d'habitants est supérieur ou égal à 10 000. Au 1er janvier 2024, 50,7 % de la population française habitait dans ces villes de plus de 10 000 habitants. 
 
Cet amendement de repli vise donc à abaisser la condition tenant à la population des communes qui seront soumises aux règles de sécurisation des marchés publics numériques. Cela afin qu'un maximum de données d'une particulière sensibilité, traitées par des services d'informatique en nuage, soient protégées.

Selon les statistiques de l'AMF, en France nous comptons 35 497 communes, et avec seulement 300 d'entre elles qui comptent une population supérieure ou égale à 30 000 habitants. La proposition de loi sénatoriale manque d'ambition pour la protection des marchés publics numériques, elle ne vise qu'une part infime des communes qui devraient se soumettre aux règles de sécurisation issue de la loi SREN de mai 2024 alors que des communes de moins de 30 000 habitants ont également recours à ces marchés publics numériques. 
 
Le présent amendement vise donc à supprimer la condition de plus de 30 000 habitants, afin que l'ensemble des communes soient concernées par ce texte, et que les données d'une particulière gravité qui seront traitées par des services d'informatique en nuage soient protégées.

Le présent amendement vise à préciser les conditions cumulatives permettant de qualifier les données d'une sensibilité particulière pour les collectivités territoriales. Alors que la rédaction présente repose sur une condition unique fondée sur la notion de « compétences essentielles », susceptible d'entraîner une sur-inclusion massive et d'imposer des obligations disproportionnées, la nouvelle formulation rétablit une structure bipartite dans la continuité de l’article 31 de la loi SREN et cohérente avec le cadre applicable à l'État, tout en l'adaptant aux réalités du droit et de l'organisation territoriale.

En effet, le Code général des Collectivités territoriales, distinguent les compétences obligatoires, facultatives et optionnelles et ne parlent pas de compétences essentielles.

Les compétences obligatoires sont celles mentionnées dans les textes, généralement sous forme de listes. Certaines compétences obligatoires des communes ne peuvent pas être transférées (Art.s L. 2321-1 et 2 CGCT).
Les compétences optionnelles, également listées par le législateur, doivent faire l’objet d’un accord entre les communes.
Les compétences facultatives sont celles dont le transfert n’est pas prévu par la loi ou par la décision qui institue l’EPCI. Selon les juges administratifs, le choix des compétences transférées ne peut se faire de manière opportune : il doit répondre au projet commun de développement et d’aménagement de l’espace établi au préalable.

Le présent amendement vise à préciser les conditions dans lesquelles l’administration peut résilier les contrats en cours conclus avec des prestataires ne respectant pas les critères de sécurité et de protection des données prévus au deuxième alinéa du I de l’article 31.

S’il est légitime de permettre à l’administration de mettre un terme à de tels contrats afin de garantir un niveau élevé de sécurité juridique et technique, il importe également de rappeler que la résiliation unilatérale d’un contrat public pour motif d’intérêt général ouvre, en vertu d’un principe général du droit des contrats administratifs, un droit à indemnisation des pertes subies par le cocontractant. Ce principe, constant dans la jurisprudence administrative, impose de compenser les charges supplémentaires supportées par l’autre partie au contrat.

La contrepartie du droit de résilier un marché public pour un motif d’intérêt général réside dans le droit à indemnité totale du titulaire du marché public. Le Conseil d'Etat est constant en la matière. Ce même principe est applicable pour les contrats de concession en cas de résiliation pour motif d’intérêt général : « En l’absence de toute faute de sa part, l’entrepreneur a droit à la réparation intégrale du préjudice résultant pour lui de la résiliation anticipée du contrat ».

L’ajout proposé vise donc à sécuriser juridiquement le dispositif en rappelant expressément cette exigence d’indemnisation intégrale, afin d’assurer un équilibre entre la nécessaire protection des données et des systèmes d’information publics, et le respect des droits des opérateurs économiques.

Par cet amendement, le groupe LFI souhaite réaffirmer l'importance d'utiliser des solutions numériques souveraines, en garantissant l'hébergement des données récoltées par les pouvoirs publics sur des serveurs situés sur le territoire national (ou européen) et sur lesquels s'applique le droit national et protégé de tout effet d'une législation étrangère qui aboutirait d'une manière ou d'une autre à un transfert de données à des autorités étrangères.

Face à la numérisation de la société, l'usage de "cloud" est devenu indispensable au bon fonctionnement de l'administration publique. Selon les données de la Cour des Comptes sur le sujet, les dépenses publiques en la matière sont passées d’1 M€ en 2020 à 52 M€ en 2024 (les services de l’État représentent les 2/3 de la somme, soit 32 M€). Au total, entre 2020 et 2024, 120 M€ ont été dépensés. Si des données sont disponibles sur l’identité des fournisseurs d’accès choisis par l’État, il n’existe aucune donnée agrégée sur l’identité des fournisseurs choisis par les collectivités territoriales, alors même qu’elles sont des acteurs incontournables de l’action publique. Par conséquent, il est impossible d’évaluer le niveau d’exposition aux risques de ces dernières, ainsi que le coût engendré. Or, ces interrogations sont particulièrement légitimes, au vu de la structure du marché actuel. En effet, 3 grandes entreprises américaines en situation de quasi-monopole sur le numérique, Amazon Web Services (AWS), Microsoft Azure et Google Cloud, représentent à elles seules 70% des parts de marché en Europe, tandis que la part des fournisseurs de cloud européens a connu une diminution au cours des dernières années, représentant 27 % des parts en 2017 puis seulement 16 % en 2021. Par ailleurs, malgré une volonté affichée des pouvoirs publics de promouvoir des solutions alternatives, ces dernières restent largement dépendantes de solutions étrangères : à titre d’illustration, la conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord cadre pour le renouvellement de ses licences Microsoft en mars 2025, proposant des outils bureautiques et des prestations d’hébergement en nuage est très critiquée : interrogé dans le cadre de la commission d'enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" adopté le 8 juillet 2025, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a avoué que son entreprise ne pouvait pas garantir que les données hébergées ne soit jamais transmises à des autorités étrangères – ce qui pose la question de l’extraterritorialité.

En effet, de nombreuses législations étrangères permettent aux États les ayant mises en place de récupérer les données collectées par les entreprises, même lorsque cette récolte a été effectuée à l’étranger. A titre d'illustration, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. Face à cela, il est donc indispensable de développer l'usage de nouveaux outils permettant de garantir un accès souverain aux données, parfois très sensibles, hébergées par les administrations publiques afin de préserver notre souveraineté numérique. En l'absence de telles mesures, notre pays risque de devenir une véritable "colonie numérique" de puissances étrangères, annihilant ainsi notre capacité même à agir. Cette situation n'est pas tolérable.

Le présent amendement vise à rétablir un délai d'entrée en vigueur raisonnable pour l'obligation d'hébergement qualifié imposée aux collectivités territoriales. Alors que la suppression de ce délai conduirait à une application immédiate du dispositif, sans période d'adaptation, cette disposition constitue un compromis responsable entre l'urgence des enjeux de souveraineté numérique et les contraintes opérationnelles des collectivités territoriales.

Un délai de plusieurs permet aux administrations concernées de cartographier leurs données d'une sensibilité particulière, d'identifier les offres de service en nuage qualifiées disponibles sur le marché et d'engager les procédures de mise en conformité nécessaires. Cette période d'adaptation tient compte de la réalité des cycles de décision et de passation des marchés publics des collectivités territoriales, qui ne peuvent basculer vers de nouveaux prestataires sans préparation. Ce délai permet en outre de respecter l'annualité budgétaire des collectivités territoriales.

Le présent amendement des députés Socialistes et apparentés vise à renforcer l’ambition du dispositif prévu par la loi SREN et que la présente proposition de loi entend étendre aux collectivités territoriales d’une certaine taille quant à la protection des données dans le cadre des marchés publics numériques. 

Cette loi, en son article 31, impose à l’État et à ses opérateurs mettant en oeuvre des système d’informatique en nuage, de veiller à ce que le service fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre.

Ces systèmes représentent effectivement des infrastructures stratégiques à l’ère du capitalisme numérique ou les données personnelles et la propriété intellectuelle sont des armes dans une guerre commerciale de moins en moins feutrée. 

Cela suppose donc que ces systèmes ne soient pas opérés par des sociétés soumises à la législation d’États qui comporte une portée extraterritoriale comme outil de guerre économique plus ou moins agressive. A cet égard, par deux fois, la Cour de Justice de l’Union européenne avait annulé des accords négociés entre la Commission européenne et les États-Unis (Safe Harbor et Privacy Shield) comme ne garantissant pas un niveau effectif et suffisant de protection des données personnelles. Des décisions portant d’ailleurs sur des accords passés antérieurement au Cloud Act (HR. 4943) de 2018 qui permet aux autorités judiciaires américaines d’imposer à leurs entreprises technologiques de transmettre toute donnée stockée sur leurs serveurs, y compris implantés à l’étranger. A l’heure de l’administration Trump et d’un usage démontré désormais de l’appareil judiciaire fédéral à des fins politiques, cette réalité doit fortement nous inquiéter.

Ce faisant, les obligations pesant sur les pouvoirs adjudicateurs ne peuvent relever de la simple « veille » dans la rédaction de leur cahiers des charges afin que leurs opérateurs mettent en oeuvre une protection suffisante de nos données sensibles. Il doit bien s’agir d’une garantie à défaut de pouvoir concrètement écarter certains prestataires, notamment américains, au regard de la structuration du marché de la donnée ou des règles européennes en matière de commande publique. 

Considérant la nécessité de mettre en oeuvre rapidement cette extension aux collectivités territoriales par l’adoption conforme du texte cet amendement se veut d’abord d’appel mais il devient urgent d’adapter nos législations à la dureté de nos concurrents.

Par cet amendement, le groupe LFI souligne à nouveau l'importance de la préservation de la sécurité de l'hébergement de nos données numériques, en ayant recours à des solutions locales d'hébergement de ces dernières.

La numérisation croissante de la société a notamment entraîné une production massive de données numériques, parfois très sensibles comme les données personnelles. Or, l'hébergement de ces dernières s'est souvent reposé sur des services d'hébergement en nuage - aussi appelé "cloud" - qui permettent notamment d'avoir accès aux données stockées partout dans le monde, en ayant uniquement besoin d'une connexion à Internet pour ce faire. Or, en raison de la nationalité d'origine des acteurs économiques dominants sur ce marché, principalement des acteurs américains comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud, les données que nous faisons héberger sur ces services sont soumis à des législations extra-territoriales permettant à des puissances étrangères d'y avoir accès, sans notre autorisation. Ainsi, aux Etats-Unis, plusieurs législations permettent au Gouvernement d’accéder à nos données comme la section 702 du Foreign Intelligence Surveillance Act (Fisa) qui permet aux autorités américaines, sans nécessité de mandat, de recueillir des données personnelles de citoyens étrangers stockées sur des serveurs gérés par des fournisseurs de services cloud domiciliés aux États-Unis, y compris lorsque les serveurs ne sont pas situés sur le territoire américain. D'autres pays comme la Chine ou l'Inde ont également des législations similaires.

Face à cette situation, il est indispensable de réfléchir à d'autres solutions techniques d'hébergement plus fiables en termes de préservation de la sécurité de nos données, les solutions locales de stockage ayant un rôle important à jouer en la matière. Très concrètement, les solutions locales désignent des solutions où les données sont stockées sur des dispositifs physiques comme des serveurs internes, des disques durs externes ou des NAS (Network Attached Storage), et ces dernières présentent plusieurs avantages non négligeables : tout d'abord, le recours à ce type de solution permet aux propriétaires des données d'avoir un contrôle total sur la configuration et les autorisations d'accès des utilisateurs, d'autant plus que l'absence de nécessité d'utiliser Internet pour y avoir accès est une garantie de sécurité supplémentaire. Par ailleurs, les coûts pour ce type d'installation sont beaucoup moins élevés que pour le "cloud" puisqu'il s'agit souvent de coûts fixes (achat de l'infrastructure) et non de coûts récurrents (abonnement à un service "cloud"). Enfin, de nombreuses études démontrent que le recours au "cloud" a des conséquences environnementales majeures, les data centers utilisés pour héberger les données étant très énergivores. Ainsi, selon une étude publiée par l'Agence de la transition écologique (Ademe) le mardi 6 janvier 2026, les data centers sont « parmi les infrastructures les plus concentrées spatialement et intensives énergétiquement », leur développement devant être maitrisé pour être compatible avec la transition écologique. Sur l'année 2024, les data centers installés en France avaient une consommation totale d’environ 10 térawattheures (TWh) d’électricité (sur une consommation annuelle totale du pays de 450 TWh). Si les tendances actuelles se poursuivent, l’Ademe estime que cette demande pourrait être multipliée par 3,7 d’ici à 2035 (37 TWh) et par 6,4 à l’horizon 2060.

Par cet amendement, le groupe LFI souhaite s'interroger sur les moyens humains et financiers alloués aux entités assujetties à la nouvelle obligation prévue par la loi, et notamment ceux des collectivités territoriales à qui on demande toujours plus, sans une augmentation proportionnelle des moyens.

Dans le cadre de l'adoption par 49 al. 3 du projet de loi de finances pour 2026, une nouvelle coupe budgétaire de "près de 2 milliards d'euros" a été imposée aux collectivités territoriales, obligeant ces dernières à faire des arbitrages budgétaires toujours plus difficiles pour tenter de mener à bien leurs missions. Par conséquent, certaines dépenses, comme celles liées au numérique, vont en faire les frais, alors même que les dépenses qui y étaient allouées jusqu'à présent étaient déjà très insuffisantes pour y faire face : à titre d'illustration, lors d’une audition organisée dans le cadre de l’examen du PJL Cybersécurité et Résilience actuellement discuté à l’Assemblée, l’Association des départements de France (ADF) indiquait que les crédits dédiés à l'informatique étaient en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. Par ailleurs, de nombreuses collectivités, et notamment les plus petites, ne disposent pas des compétences techniques pour identifier des solutions numériques adéquates aux enjeux de préservation de la souveraineté numérique : ainsi, seules 9,74 % des communes sollicitées dans le cadre d'une consultation des élus locaux réalisée par la commission d’enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française" dont les conclusions ont été adoptées le 8 juillet 2025 disposaient par exemple d’un acheteur professionnel.

Par conséquent, il nous semble à minima indispensable d'établir une évaluation des coûts induits par la mise en place des obligations prévues par la présente proposition de loi, et le cas échéant, de faire des propositions afin de doter les différents acteurs assujettis des moyens nécessaires pour y répondre correctement.

Le II de l’article 31-1, tel qu’issu du texte de la commission renvoie intégralement au décret en Conseil d’État la définition des conditions et critères de la dérogation à l’obligation de recourir à un service d’informatique en nuage conforme. Cette délégation totale prive le législateur de tout contrôle sur le périmètre de la dérogation et fait courir le risque que celle-ci devienne, par l’effet d’un décret « trop » permissif, le régime de droit commun. Par cet amendement, il s’agit de substituer au renvoi réglementaire un régime législatif encadré, plus proche de la version initiale du texte.

Par cet amendement, le groupe LFI s'interroge sur le coût environnemental induit par le recours de plus en plus massif des acteurs publics - notamment les collectivités territoriales assujetties aux nouvelles obligations issues de la présente proposition de loi - à des services de l'informatique en nuage ou "cloud" pour héberger leurs données, parfois très sensibles.

Contrairement à ce que l'on pourrait penser, le coût environnemental du "cloud" n'est absolument pas neutre. En effet, son usage repose largement sur des infrastructures physiques telles que des centres de données ou datas centers dont la fabrication implique une exploitation très polluante de nombreux matériaux comme les terres rares, dont l'installation nécessite d'artificialiser toujours plus de surfaces au sol et dont le fonctionnement repose sur une très forte consommation d'eau et d'électricité. De nombreuses études, telles que celle publiée annuellement par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse intitulée "Pour un numérique soutenable" - édition 2025 et qui montre notamment que la quantité d'émission de gaz à effet de serre émise par les data centers a augmenté de + 11% pour l'année 2023 par rapport à 2022 (de 123 à 137 milliers de TCO2 eq.), mais également leur consommation électrique (+ 8% entre 2022 et 2023, soit 2,4 TWh) ainsi que le volume d'eau prélevé (+19% entre 2022 et 2023, soit 681 milliers de m3). De manière générale, selon l'Agence de la transition écologique (Ademe), au niveau mondial, les centres de données représentaient déjà l'équivalent de la consommation de 415 TWh en 2024, et si les tendances actuelles de consommation au niveau national se poursuivent, la consommation d’électricité induite par les usages français pourrait progresser d’un facteur de 3,7 d’ici 2035. Dont les ⅔ auront lieu à l’étranger, dans des pays dont le mix électrique est en moyenne beaucoup plus carboné qu’en France.

Dans ce contexte, et au vu de l'urgence climatique, il est légitime de s'interroger sur le rôle des pouvoirs publics, et notamment les collectivités territoriales, pour réduire l'impact environnemental des "clouds". En raison du manque de données spécifiques concernant la part de ces derniers dans l'usage des "clouds", la publication d'un rapport spécifique sur le sujet permettra d'analyser plus précisément le niveau de responsabilité des collectivités territoriales en la matière, et de proposer, le cas échéant, des pistes de mesures pour qu'elles puissent réduire leur empreinte environnementale numérique.

Par cet amendement, le groupe LFI souhaite souligner l'importance d'assurer la cybersécurité des données hébergées par les services de l'informatique en nuage ou "cloud", alors que la cybermenace atteint des niveaux particulièrement préoccupant.

Dans sa dernière édition du "Panorama de la cybermenace" publié le mercredi 11 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (Anssi) rappelle que la France reste sous pression constante de la menace cyber, avec 2 209 signalements et 1 366 incidents portés à la connaissance de cette dernière en 2025. Parmi les principaux secteurs d'activités particulièrement visés, les ministères et des collectivités territoriales étant le 2ème secteur le plus visé l'année dernière, avec 24% des incidents enregistrés. Dans ce contexte, la sécurité des données sensibles issues de l'exercice par les collectivités territoriales des différentes compétences qui leurs sont dévolues se pose légitimement, d'autant plus que ces dernières manquent des moyens humains et financiers pour y répondre correctement - les coupes budgétaires successives qui leurs sont imposées par l'Etat au fil des différents PLF n'ayant pas contribué à améliorer leur situation.

Cette question se pose d'autant plus que les principaux fournisseurs de "clouds", tels que Microsoft, ne sont pas infaillibles en matière de sécurité. Ainsi, on relève régulièrement des tentatives réussies de piratage de comptes par des acteurs, principalement non-étatiques, à diverses fins. Dans ce contexte, le risque de voir des données sensibles collectées par les collectivités territoriales entre de mauvaises mains n'est pas négligeable, et peut entraîner pour les personnes concernées des conséquences particulièrement graves. Pour toutes ces raisons, il nous semble indispensable d'établir un état des lieux précis de la menace afin de proposer des pistes de solutions pour que les collectivités territoriales assurent la meilleure protection possible des données sensibles qu'elles récoltent et hébergent au sein de "clouds".

Les sociétés d’économie mixte locales et les sociétés publiques locales assurent fréquemment la gestion de services publics essentiels, notamment dans les domaines de l’eau, de l’énergie, des transports, des déchets ou de l’aménagement.

À ce titre, elles sont amenées à traiter des données relatives aux infrastructures locales et aux usagers.

Bien qu’exerçant une mission de service public et majoritairement contrôlées par des collectivités territoriales, ces sociétés, en raison de leur statut de droit privé, ne sont pas incluses dans le périmètre actuel du dispositif.

Le présent amendement vise à combler cette lacune, tout en limitant, à nouveau, son application aux structures disposant d’une taille critique suffisante.