Intervention de Catherine Morin-Desailly

Nous avons bien noté, monsieur le ministre, un infléchissement de la politique du Gouvernement, qui s’est caractérisé par l’ajout de la souveraineté numérique au portefeuille de votre ministre de tutelle. Nous avons bien noté, également, les trois piliers de votre action, et nous connaissons votre combat à Bruxelles pour faire avancer cette cause et harmoniser cette certification, dont vous avez dit vous-même qu’elle allait « écraser » les certifications nationales.

J’ai néanmoins quelques réserves. Vous avez dit que la Première ministre avait précisé le périmètre des données par une circulaire. Soyons honnêtes, cela a été fait en réponse à la pression exercée à l’Assemblée nationale lors de l’examen de la loi de programmation militaire. Notre collègue Philippe Latombe a amendé le texte pour mettre enfin la question sur la table, notamment pour les données de santé, et nous nous réjouissons que la Première ministre ait enfin publié cette circulaire, qui sera utile. Cependant, nous souhaitons que ce périmètre soit finalement inscrit dans la loi.

Pourquoi ? Des lois qui immunisent contre l’extraterritorialité, j’avoue que je ne comprends pas très bien ce que cela signifie. Nous sommes toujours dépendants de la fameuse loi Fisa (Foreign Intelligence Surveillance Act), la loi américaine sur l’espionnage, qui doit d’ailleurs être prorogée à partir du 31 décembre prochain.

Son article 102 permet aux agences fédérales de renseignement d’ordonner à tout moment aux fournisseurs américains de services informatiques en nuage de transférer les données sans condition. Cet article ne prévoit absolument aucune garantie pour les Européens, alors que les Américains peuvent être protégés par un recours auprès d’un juge.

Il y avait donc une occasion, à l’approche de cette échéance, de revoir cet article 102 et d’y prévoir des garanties similaires à celles que l’on peut trouver en Europe grâce à la Cnil. Cela n’a pas eu lieu, et l’Europe a manqué une étape importante. Nous risquons de retourner vers une potentielle invalidation par la Cour de justice de l’Union européenne de l’accord de transfert de données, qui ne s’appelle plus Safe Harbor, ni Privacy Shield, mais désormais Data Privacy Framework. Les Cnil européennes se sont déjà prononcées sur ce texte et ont déjà tiré la sonnette d’alarme, tout comme le Parlement européen, bien que celui-ci n’ait été que consulté et n’ait pas été amené à voter.

Tant que cela subsiste, nous devons rester fermes sur nos bases et protéger nos données. Nous ne saurions trop souligner la gravité de la situation, monsieur le ministre. Ce texte doit être un moteur pour soutenir et accompagner l’industrie de l’informatique en nuage, qui a également besoin d’un coup de pouce. Nous avons des opérateurs capables de gérer nos données sensibles dans le cadre de programmes multifournisseurs. Nous devons donc accélérer, car les mesures que vous avez contribué à inscrire dans la loi, en prévision du Data Act, ne suffiront pas. Il faut qu’elles soient soutenues par une politique industrielle très volontariste. Au Sénat, nous en sommes convaincus de longue date.