L'essentiel de la proposition de loi
La proposition de loi entend préserver la souveraineté numérique de la France en protégeant davantage les données publiques et en en sécurisant l'hébergement et le traitement. Il s'agit de réduire la dépendance des administrations françaises aux solutions informatiques proposées par des acteurs extra-européens.
Les sénateurs ont largement amendé le texte initial en vue d'"assurer une mise en œuvre progressive, facilitée et réaliste pour les acheteurs publics". La version initiale entendait notamment, pour toute donnée publique détenue par des acheteurs publics, interdire l'application d'une législation étrangère à portée extraterritoriale et imposer la protection des données hébergées sur le territoire de l'Union européenne (UE) contre toute ingérence par des États tiers.
Les sénateurs proposent de compléter la loi du 21 mars 2024 visant à sécuriser et à réguler l'espace numérique (dite "loi SREN"), qui a fait de la France le premier État de l'UE à s'être doté d'un tel niveau de protection des données publiques. Par amendement, les sénateurs ont adopté une mesure visant à se conformer au cadre européen de la commande publique (notamment la Directive du 26 février 2014 sur la passation des marchés publics, qui interdit de totalement exclure les opérateurs économiques soumis à une législation extraterritoriale). Le droit de l'UE n'admet des restrictions d'accès aux marchés publics qu'en raison d'un motif impérieux d'intérêt général. La disposition adoptée par le Sénat consiste ainsi à restreindre les exigences d'hébergement souverain et sécurisé pour les seules données sensibles définies par la loi SREN.
La liste des entités soumises aux obligations de protection sera également restreinte. Le texte prévoit d'en exclure les communes de moins de 30 000 habitants et les communautés de communes dont les ressources humaines et techniques sont insuffisantes. Cette disposition est justifiée par le moindre risque d'interception de leurs données par une autorité publique étrangère. Les sénateurs se réfèrent au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Ce texte, qui doit encore être adopté, prévoit d'exempter ces communes et communautés de communes des obligations prévues en matière de cybersécurité.
En séance publique, la date d'entrée en vigueur de ces dispositions a été repoussée à un an après sa promulgation. Cette entrée en vigueur différée permettra de laisser le temps aux prestataires souverains de développer une offre à moindre coût et d'être en mesure de répondre à une hausse des sollicitations dans le cadre des achats publics.
Un mécanisme de dérogation est prévu pour les collectivités ou les établissements publics de coopération intercommunale (EPCI) qui, d'ici l'entrée en vigueur du texte, auraient déjà engagé un projet nécessitant le recours à un service d'informatique en cloud, rencontreraient des difficultés techniques pour se conformer au dispositif ou justifieraient d'un surcoût important causé par le changement de prestataire.
Contexte de la proposition de loi
La commande publique représente plus de 400 milliards d'euros par an, soit 16% du produit intérieur brut (PIB) national.
L'auteur de la proposition de loi se réfère au rapport de la commission d'enquête sénatoriale sur les coûts et modalités effectifs de la commande publique publié en juillet 2025. La commission y souligne les risques d'interception par des autorités étrangères de données françaises hébergées en nuage (cloud) par les acheteurs publics, en raison des législations non-européennes à portée extraterritoriale. En résulte une insuffisance de garanties de protection et d'information, notamment en matière de transmission de données publiques sensibles.
Cette page propose un résumé explicatif du texte pour le grand public. Elle ne remplace pas le texte officiel.