Intervention de Jean-Noël Barrot

Le Gouvernement demande le retrait de cet amendement. À défaut, il émettra un avis défavorable à son adoption.

La stratégie du Gouvernement pour soutenir le développement d'un marché de l'informatique en nuage souverain repose sur trois piliers.

Le premier de ces piliers, dont j'ai parlé hier, est la stratégie d'accélération consacrée à l'informatique en nuage dans le plan France 2030, avec 667 millions d'euros consacrés au développement de l'offre, à divers appels à manifestation d'intérêt, à la formation et à des programmes de recherche dans ce domaine. Un certain nombre d'acteurs souverains de l'informatique en nuage ont déjà pu en bénéficier. Le premier pilier est donc le soutien à l'offre.

Le deuxième pilier est l'usage du levier de la concurrence. C'est ainsi que la France a soutenu le règlement sur les données, y compris lors des trilogues entre le Conseil, le Parlement et la Commission européenne. Avec ce projet de loi, nous anticipons certaines des mesures destinées à ouvrir un marché qui était complètement verrouillé jusqu'à présent, en encadrant les frais de transfert, en encadrant les avoirs commerciaux et en imposant l'interopérabilité et la portabilité. Pour une fois, la politique de concurrence européenne, souvent critiquée comme un obstacle à la création de champions français et européens, devient un instrument de déverrouillage de marchés dominés par quelques acteurs américains.

Le troisième pilier est la définition d'un périmètre au sein duquel nous exigeons le plus haut niveau de sécurité pour nos données. Nous ne souhaitons pas que des acteurs issus de pays dotés de législations extraterritoriales hébergent nos données, les exposant ainsi aux réquisitions gouvernementales de ces pays. C'est pourquoi nous avons mis en place une certification appelée SecNumCloud, qui garantit aux clients des fournisseurs de solutions d'informatique en nuage que les données que ceux-ci hébergent ne peuvent être réquisitionnées par des puissances étrangères en vertu de leur législation extraterritoriale. Cette certification, très exigeante, est conférée par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Notre ambition n'est pas que toutes les données des Européens doivent être hébergées dans des services d'informatique en nuage ainsi certifiés, mais plutôt que les données sensibles, notamment celles des administrations, soient hébergées d'une manière qui les immunise contre toute législation extraterritoriale.

Les trois piliers que j'ai mentionnés sont donc la politique de soutien à l'offre, la politique de concurrence et la certification SecNumCloud.

Le 12 septembre 2022, à Strasbourg, lors de l'inauguration du nouveau centre de données OVHcloud, Bruno Le Maire et moi-même avons déclaré que nous allions préciser le périmètre des données pour lequel nous exigerions que les administrations choisissent des offres d'informatique en nuage certifiées SecNumCloud. Nous avons exhorté les entreprises les plus sensibles, qui manipulent le type de données visé par cet amendement, à réfléchir très sérieusement à s'équiper avec ces mêmes solutions.

Pourquoi avons-nous exhorté les entreprises, plutôt que de leur imposer directement de s'équiper de solutions certifiées SecNumCloud ? Parce que, en parallèle de notre effort de certification française, nous avons une discussion très serrée au niveau européen sur un schéma de certification. Ce schéma, une fois adopté, « écrasera » les schémas de certification nationaux, c'est-à-dire que ceux-ci devront correspondre à ce schéma de certification européen, du moins en grande partie.

Quelle est la position de la France ? Bien entendu, la France soutient que, dans ce schéma européen, le niveau de certification le plus élevé doit correspondre aux exigences que la France a fixées pour elle-même, notamment l'immunité aux législations extraterritoriales. Vous allez me dire que cela va de soi, et qu'un schéma de certification volontaire européen doit permettre à chacun de trouver ce qu'il souhaite. La France, en particulier, doit pouvoir se référer à un schéma qui inclut l'immunité aux législations extraterritoriales. Pourtant, un certain nombre de pays européens s'opposent à ce que le niveau de sécurité le plus élevé de ce schéma de certification incorpore l'immunité aux législations extraterritoriales. Nous nous battons depuis de nombreux mois pour éviter que ce groupe de pays l'emporte et pour garantir que l'immunité que nous souhaitons pour nous-mêmes figure bien dans ce schéma de certification européen, qui s'imposera ensuite à nous.

Parmi les arguments déployés par les opposants à l'immunité dans le schéma de certification européen, il y a l'idée que nous ne souhaitons pas réserver cette immunité aux données sensibles des administrations, mais l'étendre à toutes les entreprises de France. Chaque fois que nous avons ces discussions, ces pays nous accusent de vouloir imposer à toutes les entreprises d'Europe la certification que nous avons créée.

Mesdames, messieurs les sénateurs, nous avons les mêmes objectifs, nous voulons que nos données sensibles soient hébergées avec des solutions certifiées. Mais si vous adoptez cet amendement, la prochaine fois que je discuterai du schéma de certification européen, les opposants à l'immunité aux législations extraterritoriales m'accuseront de vouloir imposer notre vision à toutes les entreprises.

C'est pour cela que je demande le retrait de cet amendement, comme gage de notre bonne volonté. Le 12 septembre, nous avons déclaré que nous allions préciser le périmètre des données pour lesquelles nous exigerions que les administrations les placent dans des solutions d'informatique en nuage certifiées. La Première ministre a signé le mois dernier une circulaire qui, dans son paragraphe R9, précise ce périmètre. Nous avançons, donc, mais il y a deux chantiers en parallèle : le chantier français et le chantier européen.

Il est très important pour nous de gagner la bataille au niveau européen, c'est pourquoi je demande le retrait de cet amendement. Ce sont sans doute les mêmes arguments que j'utiliserai pour défendre l'amendement n° 108.