Ce texte étend aux grandes collectivités territoriales les obligations de protection des données sensibles prévues par la loi SREN renforçant ainsi la doctrine « cloud au centre ». Par ailleurs, le texte prévoit des mécanismes de dérogation pour les projets déjà engagés ou en cas de difficultés techniques ou de surcoût important. Ces dispositions soulignent la nécessité d’une mise en œuvre pragmatique tout en maintenant l’objectif central de sécurisation effective des données publiques sensibles.

Nous saluons, en tant qu’acteur engagé de l’écosystème cloud français, cette initiative qui vise à associer l’ensemble des parties prenantes au débat public sur la sécurisation des marchés publics numériques.

La Commission des Lois examinera le 25 février la proposition de loi adoptée par le Sénat visant à renforcer la sécurisation juridique des marchés publics numériques. À l’initiative de Philippe Latombe, député de la Vendée (1re circonscription) et rapporteur du texte, une table ronde, organisée le 20 février, réunira plusieurs acteurs du cloud opérant en France, dont Clever Cloud, OVHcloud, Orange Business Services, Scaleway, Outscale, Cloud Temple et Numspot.

Des obligations “cloud” élargies au niveau territorial

L’article 31 de la loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (loi SREN) encadre l’usage des services en nuage par l’État et ses opérateurs lorsqu’ils traitent des données sensibles. Il exige que ces données soient effectivement protégées contre tout accès par des autorités étrangères qui ne serait pas autorisé par le droit de l’Union européenne.

La proposition de loi insère l’article 31-1 afin de rendre ce mécanisme applicable aux régions, départements, communes de plus de 30 000 habitants, communautés urbaines, communautés d’agglomération, métropoles, ainsi qu’aux principaux établissements publics de coopération intercommunale.

Cette disposition prolonge l’article 31 de la loi SREN et s’inscrit dans la dynamique européenne, notamment avec l’entrée en application du Data Act en septembre 2025. Il vise notamment à limiter l’exposition des services publics aux effets de législations extraterritoriales et étend ainsi au niveau territorial un mécanisme jusqu’ici centré sur l’État.

Une responsabilité collective

Clever Cloud se félicite de pouvoir contribuer aux travaux parlementaires sur ce texte.

« Cette audition marque une prise de conscience essentielle : la protection des données publiques ne peut plus être pensée uniquement à l’échelle de l’État. Les collectivités possèdent et traitent de nombreuses données sensibles qui jouent un rôle clé dans la continuité des services publics et dans la protection des citoyens. Les accompagner vers des solutions qui garantissent une sécurité juridique réelle n’est pas une option, c’est une responsabilité collective. » précise Quentin Adam, CEO de Clever Cloud.

Clever Cloud entend participer activement au débat législatif et accompagner les collectivités territoriales dans la mise en œuvre de solutions techniquement fiables et juridiquement sécurisées.