Localisation européenne des données personnelles



Le Sénat,



Vu l’article 88-4 de la Constitution,



Vu les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, 2000/C 364/01,



Vu la décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, C(2000) 2441,



Vu le règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données,



Vu la décision 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, C(2010) 593,



Vu les articles 45 et 46 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE,



Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil,



Vu l’arrêt C-311/18 de la Cour de justice de l’Union européenne du 16 juillet 2020,



Vu la communication de la Commission au Parlement européen et au Conseil du 24 janvier 2018 : « Une meilleure protection et de nouvelles perspectives – Orientations de la Commission relatives à l’application directe du règlement général sur la protection des données à partir du 25 mai 2018 », COM(2018) 043 final,



Vu la communication de la Commission au Parlement européen et au Conseil du 24 juillet 2019 : « Les règles en matière de protection des données comme instrument pour créer un climat de confiance dans l’UE et au-delà – bilan », COM(2019) 374 final,



Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 19 février 2020 : « Une stratégie européenne pour les données », COM(2020) 66 final,



Vu la communication de la Commission au Parlement européen et au Conseil du 24 juin 2020 : « Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données », COM(2020) 262 final,



Vu la communication de la Commission au Parlement européen et au Conseil du 24 juin 2020 : « La protection des données : un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données », COM(2020) 264 final,



Considérant que les données personnelles revêtent un enjeu de stratégie industrielle dans des domaines sensibles tels que la santé, la maitrise de l’énergie ou encore les transports et de plus que ces données, lorsqu’elles sont liées aux opinions politiques ou religieuses, constituent un élément de souveraineté des États européens en ce que leur traitement peut aussi influer sur le débat démocratique comme l’a montré l’affaire Cambridge Analytica ;



Considérant que les gouvernements européens, à l’aune de l’affaire Cambridge Analytica et des différents contrats conclus en France entre la Direction générale de la sécurité intérieure et Palantir et entre les ministères des Solidarités et de la santé et de l’Éducation nationale et Microsoft, n’ont pas pris la mesure des dangers relatifs au traitement des données personnelles par des sociétés d’origine extra-européenne ;



Considérant que le déficit d’offre en matière d’infrastructures et de technologies de données place les États européens dans une position de dépendance vis-à-vis des modèles américain du capitalisme de surveillance et chinois du crédit social ;



Considérant, de ce fait, indispensable la conclusion de protocoles d’accord entre la Commission européenne et les États membres afin d’aboutir à une fédération en nuage sur le modèle de l’initiative franco-allemande Gaia-X ;



Considérant que seul un espace européen des données sera à même de garantir la sécurité des 175 zettaoctets de données qui circuleront en 2025 et des données générées par les 50 milliards d’objets connectés qui seront en service en 2030 dans le monde ;



Considérant que la diplomatie numérique de l’Union, laquelle a conduit à identifier 13 pays extra-européens comme disposant d’un niveau adéquat de protection des données à caractère personnel, et les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants situés en dehors de l’espace économique européen portent atteinte aux intérêts stratégiques des États européens en les soumettant notamment à la loi américaine sur l’informatique en nuage ;



Invite l’Union à imposer le traitement des données personnelles et des données industrielles par des entreprises européennes et à imposer la localisation européenne de ces données ;



Demande, par conséquent, en amont de la parution par l’Union d’un recueil réglementaire pour l’informatique en nuage, à prohiber le recours à des responsables de traitement et/ou sous-traitants soumis à une législation extra-européenne ;



Demande, alors que l’Union doit présenter son cadre législatif pour la gouvernance des données ainsi qu’une loi sur les données de grande valeur, à prohiber le recours à des responsables de traitement et/ou sous-traitants disposant d’un siège social en dehors de l’espace économique européen.