I. - Lorsque les administrations de l'Etat, ses opérateurs dont la liste est annexée au projet de loi de finances ainsi que les groupements d'intérêt public comprenant les administrations ou les opérateurs mentionnés précédemment et dont la liste est fixée par décret en Conseil d'Etat ont recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en œuvre de systèmes ou d'applications informatiques, ils respectent les dispositions du présent article.
Si le système ou l'application informatique concerné traite de données d'une sensibilité particulière, définies au II, qu'elles soient à caractère personnel ou non, et si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l'administration de l'Etat, ses opérateurs et les groupements mentionnés au présent I veillent à ce que le service d'informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre.
II. - Sont qualifiées de données d'une sensibilité particulière au sens du I :
1° Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration ;
2° Les données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.
III. - Lorsque, à la date d'entrée en vigueur du présent article, l'administration de l'Etat, son opérateur ou le groupement mentionné au I a déjà engagé un projet nécessitant le recours à un service d'informatique en nuage, cette administration, cet opérateur ou ce groupement peut solliciter une dérogation au présent article.
IV. - Le I est applicable au groupement mentionné à l'article L. 1462-1 du code de la santé publique.
V. - Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d'Etat précise les modalités d'application du présent article, notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données mentionnés au I. Ce décret précise également les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, sans que cette dérogation puisse excéder dix-huit mois à compter de la date à laquelle une offre de services d'informatique en nuage acceptable est disponible en France, et fixe éventuellement les critères selon lesquels une telle offre peut être considérée comme acceptable.
VI. - Dans un délai de dix-huit mois à compter la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport évaluant les moyens supplémentaires pouvant être pris afin de rehausser le niveau de la protection collective face aux risques et aux menaces que les législations extraterritoriales peuvent faire peser sur les données qualifiées d'une sensibilité particulière par le présent article ainsi que sur les données de santé à caractère personnel. Ce rapport évalue également l'opportunité et la faisabilité de soumettre les fournisseurs de services d'informatique en nuage établis en dehors de l'Union européenne à un audit de chiffrement certifié par l'Agence nationale de la sécurité des systèmes d'information.