C’est l’un des amendements les plus sensibles que le Sénat a apporté au projet de loi pour une République numérique : les données personnelles devront être stockées dans un Etat membre de l’UE.
Si après leurs collègues députés les sénateurs ont décortiqué le projet de loi pour une République numérique défendu par la secrétaire d’Etat au numérique, Axelle Lemaire, jusqu’à en dénaturer une partie du contenu via l’émission de 25.000 contributions, ils ont tenu également à compléter l’article 6 de la loi Informatique et libertés de 1978.
Les données personnelles stockées sur le territoire européen
L’amendement retenu porte sur l’obligation pour les entreprises de stocker les données personnelles des citoyens français sur le territoire européen. Plus précisément, il stipule que ces données doivent être « stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers ».
Certes, le texte proposé par le Sénat n’est pas définitif. Il doit même suivre une voie qui peut changer bien des choses retenues du texte initial, retirées et/ou proposées par les sénateurs. Rappelons le circuit : une commission mixte paritaire tentera d’harmoniser les textes du Sénat et de l’Assemblée nationale. Mais si elle n’aboutit pas, le projet de loi fera un second tour...
Ce que cela pourrait changer ?
L’amendement est d’abord un message que porte le Sénat aux négociateurs européens et américains. Après l’annulation du Safe Harbor, la vénérable assemblée rapproche son point de vue de celui de plusieurs CNIL européennes, qui recommandent aux entreprises qui collectent des données personnelles de ressortissants des pays de l'Union de les stocker dans des datacenters basés sur des pays de l’Union européenne.
Si l’amendement est définitivement voté, toutes les organisations qui collectent et stockent des données personnelles de citoyens français devront disposer de datacenters également situés dans un pays de l’Union, ou les héberger dans une configuration géographiquement européenne. En revanche, au-delà du respect de cette règle, les DSI vont devoir s’assurer que leurs partenaires et prestataires respectent la loi.
Une nouvelle mission pour le DPO
La loi rejoindra alors celle votée par le Parlement européen qui concerne la protection des données personnelles. Comme nous l’évoquons dans notre article « Sécurité : le DPO s’impose par la loi et dans toutes les organisations », c’est probablement le DPO (Data Protection Officer), poste imposé par la directive européenne, qui aura la charge de constater son application. Reportant dans certaines entreprises au CDO (Chief Digital Officer).
Le plus gros chantier sera alors de mettre en place les règles de contrôle et d'audit, et de vérifier la conformité de tous les contrats, passés et futurs, avec le texte, ce qui ne sera qu’une étape intermédiaire dans l’ensemble de la mission du DPO.
Image d’entête 23745302 @ iStock vectorprro