Le stockage en Europe des données personnelles imposé par la loi Lemaire ?

Les sénateurs votent un amendement au projet de loi Lemaire prévoyant d’imposer le stockage dans l’Union européenne des données personnelles des Français. Les grands acteurs du Cloud y sont, de toute façon, déjà prêts.

Le projet de loi pour une République numérique, que le Sénat est sur le point de voter ce mardi 3 mai, a subi un nouveau lifting lors de son examen par la chambre haute, pas moins de 674 amendements ayant été déposés. La version qui sortira du vote solennel des sénateurs ne sera probablement par la mouture définitive, une commission mixte paritaire devant se réunir pour harmoniser les textes votés par l’Assemblée et le Sénat, mais elle réserve au moins une surprise : l’obligation pour les entreprises de stocker les données personnelles des citoyens français sur le territoire européen. Cet amendement, déposé par les sénateurs du groupe communiste emmené par Eliane Assassi, Jean-Pierre Bosino et Patrick Abate, vient en réalité compléter l’article 6 de la loi Informatique et libertés de 1978. Il stipule que les données à caractère personnel « sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers. »

hemicycle-senatUne injonction claire qui, si elle est maintenue dans la loi, devrait avoir un certain impact sur le marché, même si la plupart des acteurs du Cloud disposent déjà de datacenters en Europe. Les sénateurs à l’origine de l’amendement estiment que « l’annulation du Safe Harbor par la Cour de Justice de l’Union Européenne rend d’autant plus critique cette disposition ». Rappelons que, suite à la décision de la Cour fin 2015, l’Union européenne et les Etats-Unis tentent de négocier un nouvel accord de transfert de données entre les deux blocs, le Privacy Shield. Pour l’instant, le G29, regroupement des autorités européennes de protection des données (dont la CNIL française), se montre très réservé sur ce projet. L’organisation dénonce « un manque de clarté général », une « complexité », et parfois une « incohérence », des documents et annexes qui composent le Privacy Shield. Notons aussi que l’équivalent allemand de la CNIL a déjà recommandé aux entreprises opérant sur son sol de stocker leurs données au sein de l’UE.

Logiciel libre : simple encouragement

En complément de cet amendement, qui doit encore être confirmé en commission mixte paritaire, signalons aussi le retour d’un article visant à encourager l’emploi du logiciel libre et des formats ouverts dans l’administration. Un « encouragement » et non une « priorité », le terme que renfermaient les amendements les plus offensifs sur le sujet. Cet amendement, déposé par le groupe socialiste, a été défendu par la secrétaire d’Etat au numérique, Axelle Lemaire. Il s’agit en réalité d’un retour à la case départ, puisqu’un article identique, voté par les députés, avait ensuite été supprimé par la commission des lois.

Le texte, qui devrait avoir les faveurs de la commission mixte paritaire, ne devrait toutefois pas changer grand-chose aux pratiques d’achat des administrations. Une circulaire ministérielle datant de 2012 prévoit en effet déjà que ces dernières soutiennent par leurs achats la filière du logiciel libre. Par ailleurs, le Référentiel général d’interopérabilité, dont la v2 vient d’être publiée au Journal Officiel, indique clairement que le secteur public doit donner la préférence aux formats ouverts. Dans une interview à Silicon.fr en janvier dernier, Henri Verdier, le DSI de l’Etat, semblait lui prêt à aller plus loin, citant l’existence en Italie d’une règle qu’il jugeait « intéressante » dans le code des marchés publics. Une règle qui impose au secteur public de documenter le recours à une solution gratuite pour couvrir le besoin exprimé, même si c’est pour écarter cette possibilité.

Modalités d’accès aux API : enfin la transparence ?

Parmi les autres mesures votées par les sénateurs, signalons :

  • L’extension à l’équipement informatique – dont les serveurs – d’une déduction fiscale dédiée à l’investissement productif (Silicon.fr y reviendra) ;
  • l’obligation qui serait faite aux plates-formes d’informer les utilisateurs préalablement à toute « modification substantielle » des conditions générales d’utilisation (CGU), des modalités de référencement et des modalités d’accès à leurs API ;
  • des amendements régulant la location d’appartements ou maisons (et ciblant des plates-formes comme AirBnB) ;
  • des mesures favorisant l’ouverture et la réutilisation des données des administrations (Open Data). Une politique appelée à s’étendre aux décisions administratives et de justice.

A lire aussi :

Loi République numérique : les opérateurs échappent à une nouvelle taxe

Loi Numérique : le volet Open Data adopté mais dérogations multiples

Crédit Photo : PromessArt Studio