CS numérique |
Projet de loi Sécuriser et réguler l'espace numérique (1ère lecture) (n° 593 ) |
N° COM-157 rect. bis 27 juin 2023 |
AMENDEMENTprésenté par |
|
||||
Mme PAOLI-GAGIN, MM. GRAND, DECOOL, CHASSEING, VERZELEN, GUERRIAU, WATTEBLED, CAPUS et LAGOURGUE et Mme MÉLOT ARTICLE ADDITIONNEL APRÈS ARTICLE 10 |
Après l'article 10
I. - Insérer un article additionnel ainsi rédigé :
Les fournisseurs d’informatique en nuage et leurs intermédiaires mettent à disposition sur leur site internet les informations suivantes et les tiennent à jour :
1° Des informations concernant l’emplacement physique de toute l’infrastructure informatique déployée pour le traitement des données de leurs services individuels ;
2° L’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage ;
3° Une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union ou le droit national de l’État membre concerné.
Les sites internet visés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d’informatique en nuage et leurs intermédiaires.
II. – En conséquence, faire précéder cet article d'une division additionnelle et de son intitulé ainsi rédigés :
Chapitre III
Transparence sur le marché de l'informatique en nuage
Objet
La donnée est devenue un actif stratégique majeur pour les organisations. Dès lors, celles-ci doivent disposer de la pleine maîtrise des données qu’elles traitent, notamment pour répondre à des enjeux réglementaires (conformité aux réglementations en matière de protection des données) ; à des enjeux éthiques (assurer la confiance et la transparence vis-à-vis de leurs clients finaux) ; mais aussi à des enjeux économiques (s’assurer que leurs données stratégiques ne seront pas monétisées, exploitées par leurs concurrents, ou utilisées comme des armes de guerre économique par d’autres organisations).
Pourtant, il est aujourd’hui fréquent que les organisations françaises aient recours à des services non-européens pour l’hébergement de leurs données, y compris les plus stratégiques. Or, certains de ces services sont offerts par des fournisseurs soumis à des législations extraterritoriales qui peuvent être tenus par les autorités étrangères dont ils dépendent - sans en informer leurs clients - de transmettre des données de manière ponctuelle ou de manière massive et continue.
La transparence vis-à-vis des utilisateurs du risque liés à l’extraterritorialité devrait dès lors être un pré requis essentiel pour leur donner de la visibilité sur le risque associé au choix de tel ou tel fournisseur de cloud, et donc leur permettre d’effectuer un choix véritablement éclairé pour l’hébergement de leurs données.
Cette transparence doit s’appliquer :
- Sur l’ensemble de la chaîne de valeur des services cloud, à savoir directement par le fournisseur de cloud, qu’il vende des services SaaS PaaS ou IaaS, mais aussi les intermédiaires qui re vendent ces services pour des acheteurs, c’est-à-dire les intégrateurs ;
- Auprès de tous les utilisateurs, qu’ils soient des particuliers ou des professionnels.
Le présent amendement reprend la formulation actuelle proposée dans le cadre des débats sur le règlement sur les données mais ajoute un point : l’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage doit être clairement exprimé. Le périmètre concerne bien les fournisseurs d’informatique en nuage et leurs intermédiaires.