Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Marie-Laure Denis
Commission d'enquête Souveraineté numérique — Réunion du 10 juillet 2019 à 14h00
Audition de Mme Marie-Laure deNis présidente de la cnil et de Mm. Gwendal Le grand secrétaire général adjoint et mathias moulin directeur de la direction de la protection des droits et des sanctions
L'articulation entre ces différentes dispositions est un sujet très intéressant. Il relève en réalité d'un conflit de lois. Je rappelle que le Cloud Act découle d'une affaire pendante devant la Cour suprême qui avait opposé le gouvernement américain à Microsoft.
Le Cloud Act permet aux autorités américaines, dans le cadre d'une enquête judiciaire, d'exiger des hébergeurs une transmission des données stockées sans passer par les procédures classiques de coopération judiciaire. Les Américains estiment que ce principe accroît l'efficacité des procédures.
Toutefois, les dispositions issues du Cloud Act sont en contradiction directe avec l'article 48 du RGPD qui interdit toute transmission des données aux autorités d'un pays tiers sans un cadre juridique clair.
Le CEPD a adopté ce matin même une position à ce sujet : répondant à une demande d'avis de la commission libertés civiles et justice du Parlement européen, il a réaffirmé la pleine application de l'article 48 du RGPD qui protège les données personnelles contre les transferts ou divulgations non autorisées par le droit de l'Union. En l'absence de traité international, si une demande des autorités américaines visait à obtenir des entreprises européennes la transmission de données sur la base du Cloud Act, elle serait donc illicite au vu du RGPD. Les entreprises ne peuvent se prévaloir pour ce traitement du fondement tiré de l' « intérêt légitime », la seule exception envisageable étant celle destinée à prévenir la survenue d'une menace grave pour l'intérêt vital de la personne concernée.
Dans ce cadre, vous constatez que le RGPD fournit effectivement les moyens d'assurer notre protection - celle des personnes et les intérêts de nos entreprises.- et de préserver notre souveraineté numérique européenne.
La Commission européenne a reçu un mandat pour négocier un traité avec les États-Unis visant à apporter la garantie du respect des droits des personnes. J'ignore quelle sera la forme de ce traité. D'après ce que j'ai entendu, plusieurs hypothèses sont envisageables : peut-être un traité cadre et des accords spécifiques bilatéraux. Dans tous les cas, la position du CEPD est très claire à ce sujet, puisqu'il affirme nettement que l'article 48 du RGPD est pleinement applicable en l'espèce.
Le rapport Gauvain sur la protection des entreprises contre les sanctions américaines a été remis au Premier ministre le 26 juin 2019. Il traite davantage des données non personnelles, c'est-à-dire celles qui ne permettent pas d'identifier des personnes physiques. Il me semble que les sanctions proposées pourraient être appliquées par une autre autorité administrative indépendante que la CNIL. Je n'ai pas d'opinion personnelle à émettre sur ce sujet, si ce n'est que je me réjouis que le RGPD fasse des émules.
