Réponse publiée le 2 septembre 2025

Le Gouvernement suit une politique ambitieuse visant à soutenir un marché du cloud diversifié, concurrentiel et de confiance. Cette ambition s'appuie ainsi sur deux piliers : l'instauration d'un cadre réglementaire protecteur et le soutien actif au développement d'une offre française et européenne. Cette politique s'illustre d'abord par la mise en place d'une stratégie de cloud de confiance qui repose sur la qualification SecNumCloud. Délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), elle garantit un niveau de protection élevé des services qualifiés contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment par le recours à des lois extraterritoriales. Nous défendons, par ailleurs, cette approche de manière cohérente et sans faillir au niveau européen, notamment dans le cadre de la certification de cybersécurité des services cloud (EUCS) pour disposer d'un cadre européen fiable et robuste, qui garantisse une protection adéquate des données les plus sensibles en Europe. La commande publique, au travers de la politique de « Cloud au centre » de l'administration, qui fait du cloud l'infrastructure par défaut des nouveaux projets informatique des administrations, est également un levier essentiel dans la stratégie du gouvernement. En 2024, les acteurs européens ont obtenu 73 % du marché cloud de l'UGAP. Pour accompagner cette dynamique et assurer une plus grande indépendance de l'Etat en privilégiant des solutions conçues et développées selon les standards européens, cette doctrine a été renforcée par la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN). Portée par le Gouvernement, cette loi précise désormais les conditions et garanties que les administrations de l'Etat, ses opérateurs et certains groupements d'intérêt public doivent remplir pour assurer la protection des données les plus sensibles, y compris à l'égard des législations non européennes à portée extraterritoriale, lorsqu'ils ont recours à des offres de cloud dites commerciales. Avec le Ministre de l'Action publique, de la Fonction publique et de la simplification et la Ministre chargée des Comptes publics, le Gouvernement a d'ailleurs envoyé le 22 avril dernier un courrier à destination des ministres et secrétaires d'État pour rappeler les principes de mise en œuvre du cloud pour les administrations, les organismes placés sous leurs tutelles ainsi que pour les GIP concernés par l'article 31 de la loi SREN. En particulier, il leur est demandé « d'impérativement s'assurer, que les hébergements et que les applications utilisées pour le traitement des données sensibles au titre [de l'article 31 de la loi SREN], et en particulier les solutions collaboratives, bureautiques, de messagerie ainsi que les solutions d'IA, sont conformes aux exigences de protection contre tout accès non autorisé par des autorités publiques d'Etats tiers ». Les CBCM ont reçu des instructions en ce sens. Par ailleurs, dans le cadre du projet de loi Résilience, visant à transposer trois directives européennes, dont la directive NIS2, des dispositions visent également à assurer une protection renforcée des données les plus sensibles des opérateurs d'importance vitale. Outre l'établissement d'un environnement réglementaire renforçant la confiance, le Gouvernement s'engage pleinement pour créer les conditions pour permettre le bon développement industriel du cloud à l'échelle française comme européenne, et ainsi renforcer la souveraineté numérique de la France. En témoigne d'abord la stratégie d'accélération cloud, dans le cadre du plan d'investissements France 2030, qui vise à : soutenir l'essor d'offres françaises innovantes - y compris provenant du logiciel libre, accélérer le passage à échelle des acteurs français sur les technologiques critiques, et intensifier le développement de technologies de rupture afin de positionner la filière française à la pointe de l'innovation. En l'espace de trois ans, près de 300 millions d'euros ont ainsi été investis dans l'innovation française au travers : D'un appel à manifestation d'intérêt qui a permis de faire émerger et de soutenir une grande diversité de projets sur toutes les thématiques du continuum cloud-edge. Du PIIEC Cloud, porté par la France et l'Allemagne en tant que co-coordinateurs et validé par la Commission européenne, avec 3 grands projets français pilotés par Orange, Atos et Amadeus accompagnés de laboratoires et de PME. D'appels à projets ciblés pour accompagner la structuration de certaines communautés (cf. suites collaboratives, espaces de données, etc.) et soutenir les développements technologiques les plus récents, notamment en matière d'intelligence artificielle. D'un programme et équipements prioritaires de recherche (PEPR) pour faire progresser les technologies cloud et faciliter le transfert des innovations et des solutions issues de la recherche vers l'industrie. En outre, comme vous le soulignez justement, il ne saurait y avoir de structuration d'une filière cloud sans développement d'infrastructures. La localisation en France et en Europe de centres de données et d'infrastructures de calcul sont, en effet, des éléments essentiels pour renforcer notre autonomie stratégique. C'est pourquoi, le gouvernement a identifié 63 sites susceptibles d'accueillir des centres de données, en sus des 315 installations déjà répertoriés en 2024 sur le territoire, et a mis en place une taskforce nationale pour faciliter l'implantation de centres de données. L'élargissement dans le PJL Simplification de la vie économique de l'éligibilité au statut de « Projet d'importance Nationale Majeur » (PINM), initialement prévu pour l'industrie dans la loi dite « Industrie Verte », ressort également de cet effort de facilitation. Enfin, cette stratégie nationale est complétée par un engagement constant de la France au niveau communautaire pour faire émerger un marché du cloud compétitif, ouvert et de confiance, répondant aux standards les plus exigeants en matière de sécurité, de transparence et de protection des données. La France joue, à cet égard, un rôle actif dans la construction d'un cadre réglementaire européen robuste comme en témoigne son implication active dans la négociation et le suivi des règlements sur les marchés numériques (DMA), sur la gouvernance des données (DGA), sur les données (Data Act) ou encore l'initiative sur le développement du cloud et de l'intelligence artificielle (Cloud and AI Development Act).