M. Philippe Latombe attire l'attention de Mme la secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique, sur la souveraineté des données sensibles stockées par les hyperscalers. L'un des systèmes informatiques de la police écossaise, le Digital Evidence Sharing Capability (DESC), utilise l'offre Azure de Microsoft pour le stockage de ses données, dont les informations biométriques. Techniquement, ce n'est donc pas la police elle-même qui stocke ces données particulièrement sensibles, mais la solution développée par la société Axon, dans le cadre du contrat signé pour ce système informatique. Or Microsoft vient de reconnaître que la garantie de souveraineté accordée pour les données au repos ne s'étend pas à celles en cours de traitement, ni ne couvre l'assistance technique qui peut, elle aussi, entraîner des transferts internationaux. L'élasticité du système, que Microsoft revendique comme une grande force, présente en effet un revers inquiétant : il n'y a pas de cartographie de celui-ci et Microsoft ne maîtrise pas où vont les données. Un parallèle s'impose de toute évidence avec le Health data Hub, qui utilise lui aussi Azure pour stocker les données de santé des Français ou pour celles du projet européen EMC2. Or l'information étant maintenant publique, Microsoft va réaliser des aménagements pour le DESC et les systèmes avec lesquels il est directement en contact, notamment tout ce qui touche aux polices du Royaume-Uni. Il souhaite savoir si le Gouvernement envisage d'intervenir auprès de Microsoft Azure, de Bleu (et S3NS, puisque Google reconnaît rencontrer le même problème), pour les contraindre à des aménagements permettant de garantir la souveraineté des données qu'ils hébergent.

Le Gouvernement met en œuvre depuis 2021 une stratégie cloud qui vise tout autant à saisir les opportunités offertes par les évolutions technologiques qu'à répondre aux enjeux posés par le recours à des services d'informatique en nuage, en particulier ceux qui concernent la protection des données les plus sensibles, des entreprises, des administrations et des citoyens français et européens. Cette stratégie repose notamment sur le développement d'une offre de services cloud de confiance, et sur la qualification SecNumCloud délivrée par l'agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment par le biais des lois extraterritoriales non européennes. Par ailleurs, dans le cadre de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN), que nous avons porté, et à la demande des parlementaires, que nous avons soutenue, des dispositions législatives nouvelles reprennent et renforcent désormais la doctrine « cloud au centre » préalablement décrite dans une circulaire du Premier ministre, afin d'assurer une protection adéquate des données sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, dont le concentrateur des données de santé, contre les législations extraterritoriales. Ainsi, toute offre d'informatique en nuage à laquelle ces entités envisageront de recourir en cas d'externalisation pour l'hébergement et le traitement de leurs données sensibles devra ainsi être évaluée en conformité avec les critères relevant de la qualification SecNumCloud, y compris en ce qui concerne son niveau de protection vis-à-vis du droit extra-européen. L'octroi de cette qualification, nécessaire pour héberger et traiter des données sensibles, se fait à l'issue d'un processus piloté par l'ANSSI, qui garantit un haut niveau d'exigence tant du point de vue technique, qu'opérationnel ou juridique. D'une part, les prestataires proposant une offre d'informatique en nuage (cloud) doivent présenter une bonne hygiène informatique, d'autre part, les données doivent être protégées en conformité avec le droit européen. Avec le ministre de l'action publique, de la fonction publique et de la simplification et la ministre chargée des comptes publics, nous avons envoyé le 22 avril dernier un courrier à destination des ministres et secrétaires d'État pour rappeler les principes de mise en œuvre du cloud pour les administrations, les organismes placés sous leurs tutelles ainsi que pour les GIP concernés par l'article 31 de la loi SREN. En particulier, il leur est demandé « d'impérativement s'assurer, que les hébergements et que les applications utilisées pour le traitement des données sensibles au titre [de l'article 31 de la loi SREN], et en particulier les solutions collaboratives, bureautiques, de messagerie ainsi que les solutions d'IA, sont conformes aux exigences de protection contre tout accès non autorisé par des autorités publiques d'États tiers ».  S'agissant plus spécifiquement du Health data Hub, la situation actuelle n'est pas satisfaisante et c'est la raison pour laquelle le Gouvernement travaille à une migration. Un premier appel d'offres est sur le point d'être lancé par le ministère de la Santé pour permettre l'hébergement des données sur un hébergement sécurisé, qui garantisse la protection contre l'extraterritorialité du droit de certains Etats en matière de données. Le déploiement de cette solution intercalaire devrait débuter en 2026. Enfin, dans le cadre des négociations au niveau européen du schéma de certification de cybersécurité des services cloud (EUCS), toujours en cours, et dans le contexte international actuel, la France continue de tout faire pour permettre aux Etats membres de disposer d'un cadre juridique fiable, complet, robuste et transparent qui garantisse une protection efficace des données sensibles en Europe, en particulier contre l'application de législations extraterritoriales, et ce dans le cadre d'un marché du cloud plus concurrentiel et en mesure de répondre aux besoins d'innovation et de sécurité de nos administrations, de nos citoyens et de nos entreprises. Il en va ainsi de la souveraineté de notre pays comme de l'Union européenne dans un contexte de développement technologique toujours plus rapide qui doit se réaliser dans le respect des règles et valeurs de l'Union européenne.