Texte de la question
M. Sylvain Waserman interroge M. le secrétaire d'État auprès des ministres de l'économie, des finances et de la relance, et de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques, sur le sujet de la souveraineté numérique en matière d'hébergement des données. Suite à une rencontre avec la société OVH aux côtés du député Thierry Michels, il semble que l'impact du « Cloud Act américain » s'applique à toute filiale d'entreprise américaine qui opère partout dans le monde ainsi qu'à tout acteur qui opère aux États-Unis d'Amérique. En conséquence, les données des entreprises françaises qui hébergent leurs données en signant leur contrat en France peuvent très bien se retrouver totalement soumises sans même le savoir au Cloud Act américain. C'est le cas par exemple si le fournisseur d'hébergement est une filiale d'un groupe américain, ou si elle ne l'est pas mais qu'elle héberge ses données aux États-Unis d'Amérique, directement ou par l'intermédiaire d'un sous-traitant. M. le député est bien conscient que les enjeux sont phénoménaux et relèvent d'une stratégie européenne de souveraineté des clouds. Mais il pose la question de la transparence que les hébergeurs doivent à leurs clients. Ce qui choque profondément c'est que ces hébergeurs n'ont aucune obligation de transparence en la matière. Ainsi, M. le député interroge M. le ministre sur la volonté du Gouvernement de rendre obligatoire la transparence des fournisseurs envers leurs clients quant au fait qu'ils relèvent ou pas du Cloud Act américain ou de toute autre législation de cette nature. Dès lors, les entreprises françaises pourraient enfin acheter des solutions d'hébergement en comprenant l'impact réel de leur choix de fournisseur d'hébergement - ce qui n'est nullement le cas aujourd'hui. Au vu de l'importance stratégique de l'hébergement des donnés et des enjeux de « big data », il semble que l'absence de transparence actuelle pénalise gravement les entreprises sur un sujet fondamental. Enfin, il l'interroge sur la doctrine de l'achat public en la matière.
Texte de la réponse
La crise sanitaire actuelle a mis en évidence le caractère essentiel des services numériques pour la résilience de notre société. La plupart de ces services existent aujourd'hui grâce aux technologies d'informatique en nuage qui permettent d'héberger et de traiter les données des entreprises, des administrations et des citoyens. L'enjeu économique lié au Cloud s'accompagne de deux autres enjeux majeurs, d'une part la souveraineté numérique française et européenne et, d'autre part, la compétitivité des entreprises. En matière de souveraineté, la dépendance des entreprises et des administrations françaises à des acteurs étrangers soulève des enjeux importants mais ne peut néanmoins bloquer indéfiniment l'adoption de technologies de rupture comme le Cloud. Au fur et à mesure de la numérisation de nos sociétés, le Cloud a investi tous les pans de notre économie. Hier, seuls les géants du numériques y avaient recours ; demain dans tous les domaines de l'industrie, dans le secteur public, dans l'éducation, nous aurons recours au Cloud pour héberger et traiter toujours plus de données. Dans les années à venir, le Cloud sera donc l'une des briques essentielles des innovations dans de nombreux secteurs. Les enjeux économiques sont indéniables, tout comme les enjeux de souveraineté car une part croissante de nos services numériques s'appuie désormais sur le Cloud. Dans ce contexte, nous ne pouvons plus faire preuve de naïveté : le marché du Cloud est dominé par des acteurs internationaux dont certains sont soumis à des lois à portée extraterritoriale qui pourraient exposer les données des citoyens, des administrations et des entreprises françaises à un risque important de captation de leurs données. Compte tenu de ce double enjeu, compétitivité et souveraineté, le Gouvernement a décidé la mise en œuvre d'une stratégie nationale portant sur les technologies Cloud, en cohérence avec les initiatives européennes en la matière. Cette stratégie s'articule autour de 3 piliers que sont le label SecNumCloud, la politique « Cloud au centre » des administrations et enfin une politique industrielle mise en œuvre dans le prolongement de France Relance. Ces piliers s'articuleront en bonne intelligence avec l'initiative européenne Gaia-X qui aura notamment pour objectif d'adresser les problématiques liées à la domination commerciale que nous observons sur le marché du cloud. Plus particulièrement, Gaia-X aura pour objectif d'assurer la transparence, la portabilité, et l'interopérabilité des offres cloud en permettant notamment une meilleure visibilité des risques de captation de données par voie extra territoriale auxquels les utilisateurs européens sont susceptibles d'être soumis. Enfin, au-delà de cette approche « contractuelle » des problématiques d'exposition à des juridictions extra territoriales, nous œuvrons progressivement à favoriser l'émergence de solutions technologiques pleinement immunes au droit non-européen et identifiables par les utilisateurs grâce au label SecNumCloud.