Le 7 octobre 2025, une proposition de loi relative à la sécurisation des marchés publics numériques a été déposée au Sénat.

Porté par Messieurs Dany Wattebled et Simon Uzenat, ce texte vise à répondre à un enjeu stratégique majeur qui a été mis en avant par leurs travaux dans le cadre de la Commission d’enquête sénatoriale sur les coûts et modalités de la commande publique, à savoir la protection des données publiques hébergées dans le cloud.

Retrouvez l’audition du 21 mai 2025 de Laurent BIDAULT sur le site du Sénat : Commande publique : les enjeux de la souveraineté numérique

Le rapport de la commission publié le 8 juillet 2025 dresse à cet égard un constat sévère sur les vulnérabilités de l’État et des collectivités territoriales en matière de souveraineté numérique. La proposition de loi entend y remédier en créant un nouvel article L. 2112-4-1 au sein du Code de la commande publique.

Si cet article est adopté, dès lors qu’un marché comporte des prestations d’hébergement et de traitement de données publiques en nuage, l’acheteur devra alors prévoir des conditions d’exécution excluant l’application d’une législation étrangère à portée extraterritoriale de nature à contraindre le titulaire à communiquer ou à transférer ces données à des autorités étrangères, et garantissant l’hébergement de ces données sur le territoire de l’Union européenne dans des conditions assurant leur protection contre toute ingérence par des États tiers.

Concrètement, ce texte constitue une tentative louable (et nécessaire) d’ « immuniser » ces données publiques face aux législations étrangères, en particulier le Cloud Act américain, mais il n’est pas sans critique.

La commande publique, qui pèse près de 400 milliards d’euros par an (soit 16 % du PIB national), est un levier central de l’action publique. Or, le rapport sénatorial de juillet 2025 a mis en évidence une « faille majeure » dans son application au secteur numérique.

Une vulnérabilité juridique critique

L’exposé des motifs de cette PPL pointe du doigt une « fragilité préoccupante »: la dépendance excessive de la France à des prestataires soumis à des législations étrangères à portée extraterritoriale. Ces lois peuvent contraindre des fournisseurs de services à transférer des données sensibles à des autorités étrangères, « sans garanties suffisantes de protection ni même information de leur propriétaire ».

Dans le contexte géopolitique actuel, l’exposé des motifs souligne que l’enjeu de préservation de la souveraineté numérique n’a jamais été « aussi vif ». Il insiste sur l’urgence pour les États européens de protéger non seulement les données personnelles de leurs ressortissants, mais « aussi et surtout de leurs données publiques ^».

Une absence de pilotage stratégique

Au-delà du risque juridique, le rapport sénatorial a également identifié des failles structurelles dans la gouvernance de l’achat public numérique. L’exposé des motifs de la PPL, s’appuyant sur ce rapport, dénonce « l’absence de pilotage clair » et « la multiplicité des acteurs agissant sans coordination ».

Cette absence de stratégie coordonnée a aggravé la « vulnérabilité juridique résultant de l’exposition de nos données publiques ». L’exposé des motifs confirme ainsi la nécessité d’un « pilotage renforcé de la commande publique au plus haut niveau de l’État » et l’importance de replacer « les enjeux industriels et numériques au cœur des choix d’investissement public ».

La Recommandation n°24 au cœur de la Proposition de loi

Face à ce constat, la commission d’enquête a formulé plusieurs recommandations. La proposition de loi déposée en octobre 2025 constitue « le cœur du présent texte » en traduisant « concrètement une des recommandations structurantes » du rapport : la recommandation n° 24. Cette recommandation visait à « Rendre obligatoire, dans les plus brefs délais, l’insertion d’une clause de non-soumission aux lois extraterritoriales étrangères dans tous les marchés publics comportant des prestations d’hébergement et de traitement de données publiques en cloud. »

C’est précisément l’objet de l’article unique de la proposition de loi.

La proposition de loi vise à insérer un nouvel article L. 2112-4-1 dans le code de la commande publique.

Sa rédaction est la suivante :

«Pour les marchés comportant des prestations d’hébergement et de traitement de données publiques en nuage, l’acheteur prévoit des conditions d’exécution excluant l’application d’une législation étrangère à portée extraterritoriale de nature à contraindre le titulaire à communiquer ou à transférer ces données à des autorités étrangères, et garantissant l’hébergement de ces données sur le territoire de l’Union européenne dans des conditions assurant leur protection contre toute ingérence par des États tiers. »

Ce texte envisage donc de créer une obligation claire pour l’acheteur public, articulée autour de deux exigences cumulatives qui devront figurer dans les conditions d’exécution du marché public :

D’une part, une protection juridique : Le marché doit expressément exclure l’applicabilité de toute loi étrangère extraterritoriale qui forcerait le transfert des données vers un État tiers.

D’autre part, une protection technique et géographique : Le contrat doit garantir un hébergement sur le territoire de l’UE et que cet hébergement assure une protection effective contre les ingérences d’États tiers.

L’approche retenue par les sénateurs, fidèle à « la solution proposée par la commission d’enquête », est juridiquement subtile, tentant de concilier droit européen et souveraineté numérique. Elle ne vise pas l’exclusion a priori de certains opérateurs économiques.

La proposition se fonde sur les conditions d’exécution des marchés publics, prévues par l’article L. 2112-3 du CCP.

Cette méthode permet, selon les auteurs, de « concilier l’impératif de souveraineté numérique avec le respect du droit européen de la commande publique ».

En effet, un « mécanisme d’exclusion générale » de certains opérateurs se heurterait « aux limitations strictes de la directive 2014/24/UE ».

Selon les auteurs du texte, en agissant sur les conditions d’exécution, le texte n’est pas « discriminatoire »². Il ne remet pas en cause l’accès des opérateurs étrangers aux marchés publics, mais il encadre les conditions d’exécution des marchés publics en cause et encadre leur capacité à fournir des solutions respectueuses des exigences de sécurité.

Les auteurs du texte défendent cette approche comme relevant du « principe de proportionnalité ». L’obligation contractuelle ne s’appliquerait qu’aux marchés sensibles (« hébergement et de traitement de données publiques en nuage ») où la sécurité nationale ou la protection des secrets industriels, administratifs ou de défense seront en jeu comme le précise l’exposé des motifs du texte .

Partant, en pratique, tout opérateur pourra soumissionner, mais il devra s’engager contractuellement à respecter ces conditions d’étanchéité juridique et technique, inversant ainsi la charge de la preuve

Mais, si l’on prend le cas le plus emblématique que sont les États-Unis, le Cloud Act a vocation à s’appliquer à toutes entreprises américaines, peu importe que son siège ou ses centres de données soient situés dans l’Union européenne.

Ou peu importe que cette entreprise s’engage aux termes d’un marché public à ne pas communiquer ou transférer des données aux États-Unis.

Dès lors, il est évident que toutes les entreprises américaines ne pourront pas garantir l’exclusion de l’application de la législation américaine à portée extraterritoriale de nature à contraindre le titulaire à communiquer ou à transférer ces données à des autorités étrangères.

De la même façon, elles ne pourront pas garantir l’hébergement des données en cause sur le territoire de l’Union européenne dans des conditions assurant leur protection contre toute ingérence par des États tiers.

Ces opérateurs pourront donc être exclus par l’acheteur en ce que leur offre est irrégulière, faute de respecter les conditions d’exécution du marché.

Aux termes du futur nouvel article L. 2112-4-1, on comprend que la nouvelle obligation s’appliquerait aux « marchés comportant des prestations d’hébergement et de traitement de données publiques en nuage ».

On comprend donc qu’il ne s’agit pas seulement des marchés ayant pour objet de fournir des prestations d’hébergement et de traitement de données publiques en nuage, mais également ceux comportant des prestations d’hébergement et de traitement de données publiques en nuage.

Le champ d’application est donc très large, puisque tous les marchés comportant ces prestations, même de façon (très) accessoire, sont concernés.

D’ailleurs, les marchés publics ne sont pas les seuls contrats de la commande publique qui comporte des prestations d’hébergement et de traitement de données publiques en nuage, cela peut également être le cas des contrats de concession.

Par exemple, une concession portant sur l’exploitation d’un réseau de transport public comportera des prestations d’hébergement et de traitement de données publiques en nuage : données liées au système d’information voyageurs, billettique, fréquentation…

En outre, le texte vise les « données publiques » sans plus de précisions.

Certes, l’exposé des motifs évoque les « exigences de sécurité nationale et de protection des secrets industriels, administratifs ou de défense », de sorte que l’on peut en déduire que ce sont ces données qui sont visées, mais en l’état le texte de loi demeure, lui, très général.

En effet, la notion de données publiques « désigne toutes les informations rassemblées, créées, conservées ou éditées par les administrations, les services publics et les entités de droit privé ou de droit public poursuivant une mission de service public », ce qui est extrêmement vaste (pour ne pas dire vague) en matière de commande publique.

Faut-il alors considérer qu’un marché public de travaux portant sur des travaux de voirie, dans le cadre duquel les données seront créées (données du projet, identités des intervenants, planning), traités dans un logiciel de suivi de chantier en SaaS et hébergées dans un cloud, sera soumis à cette obligation ?

Il est donc probable que le champ d’application du texte soit affiné par la suite.

NOVLAW Avocats : une expertise à la croisée des enjeux numériques et de la commande publique

L’adoption d’une telle loi, si elle venait à terme, placerait les acheteurs publics face à un défi juridique et technique majeur. La rédaction de ces nouvelles clauses d’exécution et l’analyse des offres des soumissionnaires exigeront une vigilance accrue. Il s’agira d’articuler cette exigence de souveraineté avec les principes du droit de la commande publique, le droit de la concurrence et une évaluation précise de la réalité des offres technologiques.

C’est précisément à l’intersection de ces domaines que NOVLAW Avocats, sous l’impulsion de son associé Laurent Bidault, a développé une expertise de premier plan. La maîtrise du droit de la commande publique, qu’il s’agisse de contrats informatiques ou de marchés innovants, est un prérequis. Mais elle doit aujourd’hui impérativement être combinée à une connaissance pointue des enjeux du numérique : protection des données, cybersécurité, risques liés à l’extraterritorialité et émergence des solutions cloud.