Amendement (sans numéro) — ARTICLE 14

Compléter l’alinéa 5 par les mots : 

« notamment en adoptant des solutions immunes à l’extraterritorialité de droits d’États extra-européens. »

L’extraterritorialité de certaines législations étrangères constitue aujourd’hui un risque majeur pour la souveraineté numérique et la sécurité des systèmes d’information nationaux. De nombreuses lois, notamment celles adoptées par les États-Unis (comme le Cloud Act, le Foreign Intelligence Surveillance Act ou encore le Patriot Act), permettent aux autorités de ces pays d’accéder à des données hébergées à l’étranger dès lors que l’entreprise qui les détient est de droit national, indépendamment du lieu d’hébergement ou du traitement des données.

Cette situation crée une zone de vulnérabilité juridique pour les entités essentielles et importantes définies par la directive NIS 2. Ces structures, soumises à des exigences de cybersécurité accrues, sont parfois tentées de recourir à des solutions étrangères sans mesurer pleinement les risques induits par le cadre juridique applicable à leurs prestataires.

Il est donc impératif que les entités régulées prennent en compte l’extraterritorialité des droits auxquels sont soumis leurs prestataires lorsqu’elles choisissent des fournisseurs de services de cybersécurité, d’hébergement, de cloud ou de traitement de données. Ne pas le faire expose à des risques concrets d’ingérence, d’espionnage économique, voire de rupture de service en cas de conflit géopolitique ou de contentieux extrajudiciaire.

L’objectif de cet amendement est d’introduire une référence explicite à l’extraterritorialité dans le cadre des obligations de cybersécurité des entités assujetties, afin de renforcer la vigilance sur ce point et d’inciter au recours à des solutions européennes ou françaises offrant un haut niveau de confiance et de conformité avec les exigences de sécurité nationale.