La souveraineté de la donnée est un enjeu majeur
Le 7 octobre 2025, une proposition de loi relative à la sécurisation des marchés publics numériques a été déposée au Sénat, notamment par les sénateurs MM. Dany Wattebled et Simon Uzenat. J’ai été l’un des premiers à écrire sur le sujet de l’hébergement dans le cloud de données sensibles, confronté au droit de la commande publique en 2022, je ne peux donc que me féliciter de voir enfin se concrétiser des initiatives sur cet enjeu et son impact en matière d’achat public.
La proposition de loi fait suite aux conclusions d’un rapport du Sénat du 8 juillet 2025 dont le titre disait beaucoup : « L’urgence d’agir pour éviter la sortie de route : Piloter la commande publique au service de la souveraineté économique ». Dans sa rédaction initiale, la proposition de loi proposait d’introduire dans le Code de la commande publique, un nouvel article L. 2112-4-1 ainsi rédigé : « Pour les marchés comportant des prestations d’hébergement et de traitement de données publiques en nuage, l’acheteur prévoit des conditions d’exécution excluant l’application d’une législation étrangère à portée extraterritoriale de nature à contraindre le titulaire à communiquer ou à transférer ces données à des autorités étrangères, et garantissant l’hébergement de ces données sur le territoire de l’Union européenne dans des conditions assurant leur protection contre toute ingérence par des États tiers. »
C’était assez subtil (mais pas suffisamment) puisqu’il n’était pas ici question de fixer de nouvelles exclusions au stade de la candidature – ce qui était sans aucun doute contraire au droit européen – mais plutôt d’imposer aux acheteurs publics de fixer des exigences d’immunité contre les lois d’application extraeuropéenne (comme le CLOUD Act et la FISA américaine) et de localisation européenne de l’hébergement des données, dans les conditions d’exécution des marchés publics concernés.
Cet article serait venu compléter l’actuel article L. 2112-4 CCP selon lequel « l’acheteur peut imposer que les moyens utilisés pour exécuter tout ou partie d’un marché, pour maintenir ou pour moderniser les produits acquis soient localisés sur le territoire des États membres de l’Union européenne afin, (…) d’assurer la sécurité des informations et des approvisionnements. »
Des faiblesses initiales
En l’état de sa rédaction initiale, ce projet de loi présentait néanmoins plusieurs faiblesses.
D’abord, le périmètre des marchés publics concernés par la rédaction est très vaste, car nombre de marchés publics, y compris en dehors des segments d’achat du numérique, peuvent induire des prestations d’hébergement en nuage des données collectées. Par exemple, un marché d’automate de diagnostic médical induit l’utilisation d’un logiciel pour recueillir les données, qui peuvent être hébergées dans le nuage. Certains fournisseurs étrangers, parfois essentiels aux acheteurs publics, ne seront pas en mesure de proposer des solutions d’hébergement conformes à ces exigences. Ce qui risque de créer des difficultés d’approvisionnement de fournitures critiques.
Du reste, le prescripteur lui-même n’a pas naturellement la préoccupation du traitement, par nature accessoire, des données collectées dans le cadre d’un marché dont l’objet premier est d’assurer un approvisionnement sur une fourniture ou un service donné, et non un hébergement de données.
En outre, la notion de « données publiques » utilisée dans la première version du projet de loi était très imprécise. Volontairement, pour permettre une application étendue du dispositif.
Elle était manifestement plus large que celle de « données d’une sensibilité particulière » issue de la doctrine cloud de l’État (circulaire n° 6404/SG du 31 mai 2023) et surtout de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Cet article définit en effet des critères qui restent d’application restrictive, avec cette définition légale donnée aux « données d’une sensibilité particulière » : « sont qualifiées de données d’une sensibilité particulière (…) :
- Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du Code des relations entre le public et l’administration ;
- Les données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes. »
Dans cet article 31, il faut au surplus que la violation de ces données d’une sensibilité particulière, personnelles ou non, soit susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle.
C’est cette définition qui justifie l’application de ces mêmes conditions (immunité contre les lois d’application extraeuropéenne) pour les marchés publics de l’État. Ces « données d’une particulière sensibilité » sont celles qui relèvent de secrets protégés par la loi ou qui sont nécessaires à l’accomplissement des missions essentielles de l’État et dont leur violation doit être susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle.
On pouvait largement discuter de la légalité et de la rationalité économique à imposer de telles exigences si les données publiques ne sont en réalité pas véritablement sensibles, au regard notamment du principe de non-discrimination qui traverse les règles de la commande publique (le droit de l’UE n’admettant des restrictions d’accès aux marchés publics qu’en raison d’un motif impérieux d’intérêt général).
Entre « Protection » et « non-discrimination »
Concernant le niveau actuel de protection des données applicable aux marchés publics en France, en l’état du droit, il existe un socle de protection reposant sur :
- l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (qui n’est pas encore complété de ses décrets d’application) ;
- le RGPD et les dispositions prises pour le transfert des données personnelles hors de l’Union européenne (UE) ;
- l’article L. 2112-4 du Code de la commande publique (CCP) ;
- et également la circulaire n° 6404/SG du 31 mai 2023 – Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’État (« cloud au centre »).
Ce sont les dispositifs légaux et réglementaires assez récents mais qui posent des principes d’immunité contre les lois extraterritoriales, de localisation des datacenters en Europe, de sécurisation des transferts de données, voire de certification des services concernés (via SecNumCloud).
Aujourd’hui, il ne me paraît néanmoins pas simple, pour les acheteurs publics concernés, de les aborder au stade du développement de l’offre dite « souveraine » sur les segments d’achat concernés. Les opérateurs économiques qualifiés SecNumCloud 3.2 ne sont pas encore nombreux et de nombreux acheteurs publics, y compris stratégiques, font encore héberger des données sensibles via des solutions qui ne sont pas réellement immunisées.
Des efforts importants sont donc encore à faire à la fois, pour constituer une offre souveraine susceptible de répondre aux besoins et pour sensibiliser les acheteurs publics sur les enjeux de protection des données, traduire convenablement ces enjeux dans des exigences techniques proportionnées dans les marchés publics, dans le contexte d’une accentuation internationale du lawfare.
Dans cette configuration, la proposition de loi finalement adaptée par le Sénat a été largement remaniée : à la lecture du Rapport et de la proposition de loi qui en est issue, les travaux réalisés ont conduit à une évolution substantielle du texte initial, tant dans son périmètre que dans la méthode.
En lieu et place d’un nouvel article au Code de la commande publique, il a été proposé d’ajouter des dispositions à l’article 31 de la loi SREN, pour y intégrer les collectivités locales (à l’exclusion des communes de moins de 30 000 habitants et des communautés de communes dont les ressources humaines et techniques sont insuffisantes), et de fixer une entrée en vigueur un an après la promulgation de la loi. C’est une posture plus raisonnable.
Des questions en suspens
Il était en effet nécessaire de cibler les exigences de souveraineté sur les seules données présentant une sensibilité particulière, afin d’assurer la proportionnalité du dispositif (d’où l’explicite référence à l’article 31 de la loi SREN).
Quoi que l’on puisse penser de ces principes dans la configuration d’une économie mondiale « protectionniste » en développement, la compatibilité avec les principes européens de non-discrimination et d’égal accès à la commande publique (eu égard à la criticité des données) était un prérequis au plan juridique.
La proposition de loi prend en compte des contraintes opérationnelles des acheteurs publics, confrontés à un marché encore partiellement structuré en matière d’offres souveraines et selon les ressources inégales dont ils disposent. Une seule déception : le périmètre des services concernés qui devra être éclairé par les décrets d’application de l’article 31 de la loi SREN, encore attendus.
Le texte est ainsi radicalement différent de la version initiale, traduisant un rééquilibrage assumé entre ambition de souveraineté, sécurité juridique et pragmatisme.
C’est davantage l’application par les acheteurs publics des conditions que cet article prévoit que l’on peut interroger au regard des enjeux juridiques de non-discrimination : la sensibilité des données (premier critère) est définie selon des éléments aujourd’hui bien identifiés, et c’est heureux (ce n’était pas le cas dans la circulaire n° 6282/SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État dont les critères de sensibilité étaient très flous).
Ces critères faisant appel aux secrets protégés par la loi et à une évaluation des risques en cas de compromission des données, restent néanmoins restrictifs : toutes les données publiques ne sont pas couvertes par des secrets protégés par la loi et, même dans ce cas, la compromission de certaines de ces données n’est pas forcément de nature à porter atteinte à un intérêt public.
Les acheteurs publics doivent donc être en mesure d’identifier et de qualifier leurs datas, par marché concerné. Ce n’est pas simple (il faut des moyens, des compétences).
De fait, des positions rapides, larges, non étayées, peuvent être prises sur ce fondement et conduire à une restriction de l’accès au marché public, excessive ou non parfaitement justifiable vu la nature des données. Ce qui expose le marché ainsi artificiellement restreint, à contentieux. A contrario, la non identification des données sensibles rendra la loi sans effet, les exposant potentiellement à des captations étrangères.
De surcroît, les données ne forment pas toujours un bloc uniforme. Dans un ensemble, certaines données peuvent répondre aux critères de la loi, mais d’autres peuvent ne pas y répondre. Ainsi, comment doit s’appliquer la loi (et pour quels coûts) s’il faut découper achats en conséquence, gérer des SI distincts, avec des opérateurs spécifiques selon la sensibilité de la donnée ?
Ces risques et questions demeureront naturellement après l’entrée en vigueur de la loi.
Maître Pierre-Ange Zalcberg, Avocat Of Counsel (Nemrod Avocats)
Découvrez l’offre WEKA Smart Achat public
Vous n’êtes pas encore abonné à nos Masterclasses Achat public, n’hésitez pas faites une demande de démo.
