La commission mixte paritaire (CMP), rassemblant députés et sénateurs, a finalement réussi à s'accorder sur une version commune du projet de loi visant à sécuriser et réguler l'espace numérique (SREN) le 26 mars. Alors qu'il avait été adopté par le Sénat en juillet puis par l'Assemblée nationale en octobre 2023, la progression du texte avait été ralentie par des échanges avec la Commission européenne par voix de Thierry Breton exigeant la réécriture de certaines parties au motif qu'elles empiétaient sur le droit européen.
Ce projet de loi a notamment pour objectif d'intégrer dans le droit français de nouveaux textes européens, dont le Digital Services Act (DSA), le Digital Act (DA) et le Digital Governance Act (DGA). Il ne s'agit pas d'une transposition dans le sens strict du terme puisqu'il s'agit des règlements et non de directives. Sauf recours devant le Conseil constitutionnel, le texte devrait être applicable courant mai.
Afin de comprendre les apports de ce texte sur la gestion et la protection des données, L'Usine Digitale a échangé avec Eric Le Quellenec, avocat spécialisé en droit du numérique et en particulier dans le cloud computing au sein du cabinet Simmons & Simmons. Trois principaux points ont été abordés dans le cadre de cet échange.
1 - Des nouvelles obligations pour les fournisseurs de cloud
Les nouvelles dispositions sont issues du Data Act dont l'objectif est "d'éviter la dépendance vis-à-vis de des grandes plateformes", soit les principaux fournisseurs américains de cloud que sont Amazon Web Services (AWS), Google Cloud et Microsoft captant l'essentiel du marché européen du cloud.
En pratique, les fournisseurs devront publier et tenir à jour sur leur site internet un ensemble d'informations : les informations relatives aux juridictions compétentes eu égard à l’infrastructure déployée pour le traitement des données dans le cadre de leurs différents services ainsi qu'une description générale des mesures techniques, organisationnelles et contractuelles mises en œuvre afin d’empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l’Union européenne ou le transfert de ces données par des États tiers.
Le texte vise aussi à "simplifier la réversibilité - de récupérer ses données en sortie pour aller ailleurs - ou l'interopérabilité - passer d'une plateforme à l'autre", explique Eric Le Quellenec. "Les frais de transfert de données ou de migration sont désormais plafonnés à un an des avoirs commerciaux", ajoute-t-il. Mais "sans l'appui d'un régulateur, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) en principe, les choses ne vont pas changer du jour au lendemain. Ce sont des questions anciennes".
Les fournisseurs de cloud ont anticipé l'entrée en vigueur de ces règles en supprimant les frais de sortie. Google a ouvert le bal, suivis par AWS puis Microsoft. "Après, je ne suis pas choqué par le fait qu'il y ait une assistance aussi bien à la réversibilité sortante (prestataire que l'on quitte) qu'à la réversibilité entrante, indique l'avocat. C'est parfois nécessaire voire indispensable." Il ajoute que pour avoir de réels effets, la loi SREN devra être complétée par de "la législation de second niveau" édictée par l'Arcep. Mais "en réalité, c'est au niveau européen qu'il y aura un vrai moyen de pression pour changer les pratiques en matière de dépendance informatique".
2 - La protection des données stratégiques et sensibles
La version finale du texte inclut de nouvelles obligations à respecter en matière d'hébergement des données "d'une sensibilité particulière". Il s'agit des données relevant de secrets protégés par la loi ainsi que celles nécessaires à l'accomplissement de missions essentielles de l'Etat notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.
Lorsque des administrations de l'Etat ou ses opérateurs (la liste complète sera fixée par un décret) souhaitent recourir à un prestataire de cloud pour héberger un "système" ou "une application informatique" qui contient des données personnelles ou non d'une sensibilité particulière, ils doivent veiller à ce que le prestataire choisi "mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union ou d’un État membre".
Il s'agit en réalité de la transposition d'une partie de la doctrine gouvernementale "Cloud au centre" à la différence que la visa de sécurité "SecNumCloud" n'est pas mentionné à proprement parlé. Ce qui semble signifier qu'un prestataire pourrait remplir ces conditions bien qu'il n'a pas été adoubé par l'Agence nationale de la sécurité des systèmes d'information (Anssi) en présentant des garanties technico-juridiques suffisamment fortes assurant que des autorités tierces ne peuvent pas accéder aux données hébergées.
Pour comprendre la portée de ces nouvelles dispositions, il convient d'attendre la publication du décret en Conseil d'Etat qui doit préciser "les modalités d’application du présent article, notamment les critères de sécurité et de protection, y compris en termes de détention du capital". Par ailleurs, dans un délai de 18 mois à compter de la promulgation de la loi SREN, le gouvernement devra remettre au Parlement un rapport allouant "les moyens supplémentaires pouvant être pris afin de rehausser le niveau de notre protection collective face aux risques et aux menaces que les législations extraterritoriales peuvent faire peser sur les données qualifiées d’une sensibilité particulière". Egalement, ce rapport devra évaluer "l'opportunité et la faisabilité" de soumettre les fournisseurs étrangers de cloud à "un audit de chiffrement" par l'Anssi.
3 - L'Arcep, autorité régulatrice des services d'intermédiation de données
Le texte organise également l'application du Data Governance Act (DGA) qui définit un ensemble de règles à respecter par les fournisseurs de services d'intermédiation de données. Il s'agit, d'après le règlement européen, d'un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données personnelles.
"Nous allons enfin avoir un cadre juridique pour à la fois normaliser et donner un minimum de transparence, même d'éthique à ce type de services, déclare l'avocat. Pour éviter un nouveau scandale Cambridge Analytica." Les règles visent notamment à s'assurer que l'organisme n'utilise pas "à son propre compte les données" car c'est "un service de mise en relation entre des détenteurs de données et des acquéreurs".
C'est l'Arcep qui sera chargée de vérifier le respect des règles. "Elle va assurer un certain assainissement des pratiques et un contrôle à tout niveau", note l'expert. Alors qu'il s'agit de gestion de données, pourquoi ce n'est pas la Commission nationale de l'informatique et des libertés (Cnil) qui a été choisie comme régulateur, lui demande-t-on. "La Cnil ne peut pas être partout", répond-il reconnaissant que la multiplication des autorités de contrôle risque de créer une certaine complexité.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
