Intervention de Axelle Lemaire

Madame Gonthier-Maurin, je vous remercie de soulever la question fondamentale de la localisation du stockage et du transfert des fichiers de données personnelles. Il n’est pas possible de parler de numérique en 2016 sans aborder ces sujets.

Faut-il toutefois les traiter au niveau national seulement, et non, a minima, au niveau européen ? À titre personnel, j’aurais tendance à vouloir aller plus loin. Je crois que nous aurions besoin d’un traité international en la matière.

À l’heure actuelle, le droit interdit le transfert de données en dehors de l’Union européenne. Il faut bien distinguer la circulation des données au sein de l’Union européenne, ces dernières faisant, comme les personnes, l’objet d’une libre circulation, et le transfert de données européennes en dehors de l’Union européenne.

Pourquoi encourager la libre circulation des données au sein de l’Union européenne ? Parce que, grâce au règlement européen susvisé qui vient d’être adopté, nous disposerons d’un cadre sécurisé et harmonisé en matière de législation protectrice des données personnelles.

L’enjeu est donc d’appliquer les standards européens au transfert de données en dehors de l’Union européenne. C’est l’objet de l’annulation par la Cour de justice de l’Union européenne de l’accord Safe Harbor entre l’Europe et les États-Unis.

La Commission européenne a récemment fait connaître le nouvel accord, nommé Privacy Shield, c'est-à-dire « bouclier de la vie privée », dans une mauvaise traduction, négocié pour remplacer l’accord précédemment annulé par la Cour de justice de l’Union européenne. Or le groupe dit « des vingt-neuf », qui réunit l’ensemble des homologues européens de la CNIL et qui est placé sous la présidence de cette dernière, a rendu un avis assez mitigé sur le contenu de cet accord, dont je précise qu’il est encore en cours de discussion.

Vous aurez compris que la portée d’un article visant à rendre obligatoire dans la loi française la localisation de l’ensemble des données sur le territoire français serait très limitée.

J’ajouterai que cette obligation existe déjà concernant certains types de données dites « sensibles », telles que les données de santé, les données biométriques, par exemple liées à l’ADN des personnes, les données liées à des infractions commises ou au casier judiciaire, sans compter naturellement les informations liées à la défense nationale et à la sécurité publique.

Un certain nombre d’exceptions sont ainsi prévues pour des données dites « sensibles », y compris pour les transferts de données au sein de l’Union européenne. Peut-être pourrions-nous discuter de l’opportunité d’allonger cette liste. Le débat existe par exemple pour les données scolaires. En tout cas, les données concernant des mineurs devraient être localisées sur le territoire national.

Si la France veut peser, il me semble que c’est dans le cadre des négociations européennes, vis-à-vis notamment des États-Unis, qu’elle peut le faire. Pour avoir un impact plus important, peut-être le Parlement pourrait-il se prononcer officiellement et publiquement sur l’état des discussions en cours concernant l’accord Privacy Shield ?

Mesdames, messieurs les sénateurs, j’espère vous avoir convaincus que la disposition proposée par l’amendement n° 473 rectifié n’apporte pas de réponse adaptée à ce problème très important.

Le Gouvernement sollicite donc le retrait de cet amendement. À défaut, il émettra un avis défavorable.