Intervention de Amélie de Montchalin

Le périmètre de mon ministère illustre l'aspect stratégique de ces questions. Sur les comparaisons internationales, nous avons un partenariat avec la Commission européenne et l'Organisation de coopération et de développement économiques (OCDE) sur l'accès à des données publiques.

La doctrine fait de la donnée un axe majeur. Il s'agit d'abord de limiter la transmission de données au strict nécessaire. On trouve certes l'open data, pour laquelle la France est le premier pays en Europe. Cependant, il faut limiter les données transmises. Il faut ensuite les minimiser, par agrégation, anonymisation et pseudonymisation.

De plus, les prestataires doivent respecter les règles de confidentialité, dont le RGPD. Aucune donnée ne doit être communiquée en dehors des donneurs d'ordre administratifs, y compris des données de comparaison. Enfin, toutes les données transmises doivent être retournées au donneur d'ordre et supprimées par le prestataire une fois la mission terminée.

En matière de souveraineté, tant que les prestataires ont ces données en main, notamment dans des clouds, ceux-ci doivent respecter la doctrine du Premier ministre qui fait appliquer le critère SecNumCloud défini par l'ANSSI. Les serveurs ne le respectant pas ne peuvent pas héberger de données publiques.

Ensuite, la France est à cet égard au plus haut niveau de protection au sein de l'Union européenne, les données sur le cloud doivent faire l'objet d'une validation juridique pour que les serveurs ne soient pas accessibles, par des lois extraterritoriales, à des services de renseignement non européens.

Ainsi, dès que l'État a une donnée personnelle sur un citoyen, que ce soit quand il les gère lui-même ou qu'un prestataire y a accès, elle ne peut être placée sur un serveur ne répondant pas à des critères cyber et juridiques très stricts.