Espace réservé : PPL relative à la sécurisation des marchés publics numériques

17 Décembre 2025

PPL relative à la sécurisation des marchés publics numériques : Dossier législatif

Dany Wattebled (Auteur) - Discussion générale

Madame la Présidente,

Madame et messieurs les ministres,

Madame la rapporteure,

Mes chers Collègues,

Je vous remercie de me donner l'occasion de présenter cette proposition de loi qui s'inscrit dans la qualité des travaux de la commission d'enquête sur les coûts, les modalités et les effets de la commande publique. Une commission dont j'ai l'honneur d'être le rapporteur et qui a travaillé pendant plusieurs mois sous la présidence de notre collègue Simon Uzenat, que je salue. 51 auditions, 3 déplacements, 134 structures rencontrées, un panorama complet, concret, parfois dérangeant, mais toujours instructif.

Nous sommes partis d'un constat simple. La commande publique est un des moteurs importants de l'économie française. 400 milliards d'euros par an, 14% du PIB, 80% des marchés portés par les collectivités. Dans notre territoire, nous avons tous entendu ces témoignages d'élus et d'entreprises qui peinent à naviguer dans les procédures à la fois lourdes, complexes et parfois anxiogènes. La crainte du contentieux, la peur du pénal, l'empilement des obligations et parfois le sentiment d'une machine administrative qui s'éloigne du terrain.

Au fil des auditions, un sujet s'est imposé presque malgré tout : la montée en puissance de la commande publique numérique, non pas comme une catégorie technique, mais comme un enjeu de souveraineté, de sécurité, de liberté pour nos politiques publiques. Certaines réponses ont le mérite d'être d'une franchise inhabituelle. Lorsque nous avons demandé au président Europe de Microsoft de garantir que les données des citoyens français hébergées par Microsoft France, ne seraient jamais transmises à des autorités étrangères, sans l'accord des autorités françaises, la réponse a été non, je ne peux pas le garantir. Voilà une vérité sans détour.

Ce n'est pas un procès à charge, c'est le résultat du droit extraterritorial américain, le Cloud act et le FISA. Et l'organisons même de ces dispositifs. Cela doit nous alerter.

Nous avons longuement travaillé sur le cas du Health Data Hub, devenu la plateforme des données de santé. Lors de son audition, la Ministre de la Santé de l'époque, Agnès Buzyn, nous l'a affirmé sans détour, c'était Microsoft ou rien. Une affirmation grave, justifiée par une note par son ancien cabinet et validée par une contre-expertise de la direction interministérielle du numérique, ainsi que du système d'information et de la commission de l'État, et bien sûr avec l'aval de la CNIL.

Résultat : 80 millions d'euros d'engagés et 60 millions de données françaises transférées outre-Atlantique, cherchez l'erreur. On nous a expliqué que ce choix était provisoire, qu'il était contraint par l'urgence, qu'il n'existait aucune alternative. Six mois plus tard, l'urgence est devenue habitude, le provisoire une dépendance, et la dépendance une doctrine. Une doctrine en contradiction totale avec les discours que nous tenons ici même, et même au sommet de l'État, de cette souveraineté numérique, la protection des données et l'indépendance stratégique.

Nous avons récidivé avec le grand marché Microsoft pour l'éducation nationale, passé sans avis conformes de la DINU, alors même que l'État demandait au rectorat des solutions. Ici, on parle de 152 millions sur 4 ans.

Plus grave encore, on apprend cette semaine que la direction générale de la DGSI a renouvelé pour 3 ans, 3 années supplémentaires, son contrat avec l'éditeur américain Palantir Technologies. Je ne vous ferai pas l'affront de vous rappeler que cette société a été fondée en 2003 à l'aide d'In-Q-Tel, un fonds d'investissement dépendant de la CIA. Je crois que c'est le comble. Là encore, un décalage entre les discours et les actes.

Nous avons également auditionné l'UGAP, premier acteur national de mutualisation des achats publics. Son président directeur général l'a reconnu très clairement, il ne conseille pas suffisamment ses clients en matière de souveraineté numérique. Et des progrès doivent être encore accomplis. Je crois que c'est le moins qu'on puisse dire.

Notamment, si l'on se penche sur un accord cadre du début septembre 2024, valable pour six ans, on parle ici de 760 millions d'euros pour l'achat de licences Microsoft, 460 millions pour les ministères, 300 pour les collectivités. Faites le compte, tout cela reprend un milliard d'euros. Un milliard d'euros qui n'ira ni à nos entreprises, ni à nos acteurs européens, ni à nos solutions souveraines. Un milliard d'euros qui finance notre propre dépendance à la technologie étrangère.

Rappelons un fait simple, il y en a d'autres. Elon Musk, lui, a profité des milliards pendant 20 ans de la commande américaine, de commande publique. Pas de discours, pas de grande incantation, des marchés.

Vous ne m'enlèverez pas de l'esprit une conviction simple : nos entreprises n'ont pas besoin de subventions compassionnelles. Elles ont besoin de commandes publiques courageuses. Le paradoxe est là. Nous avons les outils, mais nous ne les utilisons pas.

En France, nous avons une doctrine, un droit, des labels et des acteurs français et européens robustes, innovants et compétitifs. Mais dans la pratique, nous persistons à héberger des données publiques sur des solutions exposées à des législations étrangères ou acheter des services numériques sans nous assurer que ces données ne puissent partir ailleurs. La commission d'enquête raconte qu'il s'agissait non seulement d'un risque juridique mais d'un risque stratégique majeur.

C'est dans ce contexte qu'est née la recommandation numéro 24 qui inspire cette proposition de loi que nous examinons aujourd'hui. Son objectif est simple, presque évident, protéger les données publiques françaises. C'est un texte de protection et de bon sens.

Avec cette proposition de loi, nous proposons deux choses : nous sécurisons en premier juridiquement les acheteurs, et deux, la commande publique doit être un levier pour nos propres acteurs. Nous aurons encore du travail : directive européenne, Small Business Act, structuration des filières, montée en puissance du cloud de confiance. Mais ce texte est une première étape essentielle.

C'est dans cet état d'esprit que s'est inscrit notre rapporteur que je salue, Olivia Richard, dont je veux saluer le travail remarquable. Chacun a pu mesurer son écoute, sa rigueur et sa volonté de sécuriser juridiquement ce dispositif. L'amendement qu'elle a proposé en commission consolide l'équilibre du texte et en assure la pleine conformité avec le droit français et européen, tout en préservant l'objectif politique que nous poursuivons : mieux protéger nos données publiques les plus sensibles.

Je souhaite également rappeler que l'article 31 de la loi SREN, sur lequel s'appuie utilement cette réécriture, demeure aujourd'hui privé d'effet, faute de décret d'application. Cet article, pourtant essentiel pour définir et encadrer nos données sensibles, ne peut produire sa portée tant que ce décret n'a pas été pris.

C'est pourquoi, Monsieur et Madame les Ministres, je formule ici un appel solennel du Gouvernement que ce décret d'application de l'article 31 soit publié dans les plus brefs délais, afin que les acheteurs publics disposent enfin du cadre clair et opérationnel que le Parlement a voulu.

Il n'y a pas que dans notre pays que les lois adoptées mettent autant de temps à être appliquées. Pardonnez-moi de vous le dire de bout en blanc, mais nous sommes en guerre économique. Chaque jour compte, c'est pourquoi je porterai un amendement simple sur l'entrée en vigueur du dispositif l'année suivante à la promulgation de la loi.

Cette entrée en vigueur un an après la promulgation de cette loi, justifiée par l'urgence croissante en matière de souveraineté numérique face à la multiplication des cyberattaques et au risque d'ingérence étrangère touchant les collectivités.

Depuis 2024, le marché français et européen du Cloud souverain a atteint un niveau de maturité suffisant pour répondre aux besoins des grandes collectivités, d'autant que le dispositif ne concerne que les données sensibles et prévoit des dérogations en cas de contraintes particulières.

Mes chers Collègues, vous l'aurez compris, ce texte est une évolution de bon sens, une nécessité de souveraineté, la sagesse populaire dit : nécessité fait loi. C'est le cas aujourd'hui.

Je vous invite donc, après débat, à l'adopter avec conviction pour que la commande publique soit enfin pleinement au service de notre souveraineté numérique.

Je vous remercie.

Vanina Paoli-Gagin (Orateur) - Discussion générale

SEUL LE PRONONCÉ FAIT FOI

Madame la Présidente,

Madame la ministre,

Monsieur le ministre,

Madame la rapporteure,

Mes chers Collègues,

Arrive un moment où un pays doit regarder en face les vulnérabilités qui fragilisent sa souveraineté, et choisir d’y remédier. C’est tout l’objet du texte que nous examinons aujourd’hui : affirmer que la maîtrise de nos infrastructures numériques critiques n’est plus une option, mais une condition essentielle de notre indépendance.

Les travaux de la commission d’enquête, initiée par le groupe des Indépendants, ont mis en lumière une réalité que nul ne peut ignorer : l’immense majorité du stockage en nuage utilisé en Europe repose sur quelques acteurs, qui peuvent se trouver contraints, par application extraterritoriale de lois étrangères, à remettre des données, souvent exploitées à des fins d’intelligence économique.

Autrement dit : même si nos administrations font héberger leurs données dans l’Union européenne, y compris sous label SecNumCloud, elles ne sont pas pleinement à l’abri. Qui pourrait considérer cette situation acceptable celles de nos données les plus critiques ? La protection de ces dernières est un impératif démocratique, et la vigilance numérique un pilier de notre souveraineté.

Nous connaissons le contexte actuel : multiplication des cyberattaques, durcissement des tensions internationales, guerre cognitive, extension du domaine de l’extraterritorialité …

La donnée publique est un actif à haute valeur ajoutée, et un enjeu stratégique majeur, dual par nature de surcroît ; comme l’atteste le fait qu’elle est la cible privilégiée des acteurs malveillants.

Certes, la loi SREN ou la doctrine « cloud au centre » ont posé les premiers jalons essentiels. Mais elles ne couvrent pas l’ensemble des situations et restent imparfaitement appliquées, faute d’entrée en vigueur de décrets d’application, dont certains sont attendus depuis plus d’un an. Ce sont ces zones grises que notre proposition de loi se propose de couvrir.

Ainsi, pour les marchés publics qui touchent à l’hébergement ou au traitement de données sensibles, les prestataires garantiront un hébergement intra-communautaire, et cumulativement, et une protection contre toute application de normes extraterritoriales étrangères.

Il ne s’agit pas d’ériger des barrières injustifiées. Au contraire : la mesure est proportionnée, recentrée, et elle tient compte de la diversité de nos collectivités. Les plus petites communes ne seront, ainsi, pas concernées.

Un calendrier progressif, réaliste, prévoit une application en 2028, voire dès 2027 comme le préconise l’auteur de la proposition de loi. C’est un compromis équilibré pour laisser au marché le temps de se mettre à l’échelle et de se structurer.

Le texte est donc à la fois réaliste dans son ambition, fidèle à l’esprit d’une souveraineté qui ne se décrète pas mais se construit technologiquement, avec nos ingénieurs industriels européens.

En fixant des règles claires, nous consolidons un écosystème émergent, dont dépendra, demain, notre capacité à ne plus subir les diktats technologiques des autres sur nos fondamentaux.

L’absence de cloud souverain européen a été une erreur stratégique majeure participant de notre vassalité. Nous sommes alignés sur ce point, mais désormais, ne soyons pas dupes et ne ratons pas le second train. Car, mes chers collègues, la construction d’un « Eurostack », de bout en bout, est une impérieuse nécessité pour l’Europe.

La marge de progression de l’adoption du cloud dans nos administrations est une opportunité pour structurer une offre cohérente, concurrentielle et de confiance ; pour protéger, pour de vrai, ce capital informationnel, quand il est sensible, et l’activer pour le bien de tous quand il est dormant. La souveraineté numérique n’est pas une nébuleuse insaisissable, mais est, justement, à construire dans le nuage !

L’État privilégie déjà, dans une large part de ses nouveaux marchés, des solutions européennes ; il convient d’amplifier cet élan. Saisissons l’occasion de faire de la commande publique un véritable levier stratégique, au service de nos entreprises, comme de notre souveraineté. Dans le contexte budgétaire que nous connaissons, c’est aussi un gage de meilleure gestion de nos deniers publics, dans une logique plus circulaire.

Cette proposition de loi, dans sa rédaction actuelle, n’est qu’un début : nous devrons pour aller plus loin et intégrer cette dimension dans les critères de notation des offres de prestations de cloud.

Mes chers collègues, voter ce texte, c’est adresser trois messages très clairs.

À nos concitoyens : leurs données publiques sensibles seront protégées avec le même sérieux que leurs libertés.

À nos partenaires européens : la France choisit d’assumer pleinement son rôle moteur, aux côtés de l’Allemagne, dans la construction d’une autonomie numérique commune.

Aux entreprises européennes : leurs efforts pour développer des solutions fiables et sécurisées seront soutenus durablement.

Pour une Europe numérique plus forte, ainsi qu’elle a été dessinée lors du Sommet de Berlin, Madame et Monsieur les Ministres, pour une France qui maîtrise son destin technologique, et pour une démocratie qui protège ce qui lui est le plus précieux, sa liberté, liberté chérie, je vous invite, mes chers collègues, à adopter cette proposition de loi.

Je vous remercie.