AMENDEMENT

Après l’article 61

Insérer un article additionnel ainsi rédigé :

Afin de garantir un niveau de protection des données à caractère personnel conforme aux exigences du Règlement général sur la protection des données (UE) 2016/679 et de la Charte des droits fondamentaux de l’Union européenne, les entités visées par le titre III de la présente loi doivent assurer l’hébergement et le traitement des données à caractère personnel collectées en France sur des infrastructures situées sur le territoire national.

À cette fin, ces données doivent être stockées soit :

1. Sur un service de cloud qualifié SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

2. Sur un système d’information interne, physiquement localisé en France et conforme aux exigences de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Toute externalisation de ces données vers un prestataire non qualifié SecNumCloud ou situé hors du territoire national est interdite, sauf dérogation expressément accordée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les autorités de contrôle compétentes peuvent imposer des sanctions financières en cas de non-respect de cette obligation.

Cet amendement vise à renforcer la souveraineté numérique de la France et la protection des données personnelles en imposant leur territorialisation sur des infrastructures sécurisées, conformément aux exigences européennes en matière de protection des données.  L’invalidation du Privacy Shield par la CJUE et les risques liés aux législations étrangères, notamment américaines, justifient la nécessité d’un hébergement souverain des données.