C. SÉCURISER LES TRANSFERTS INTERNATIONAUX DE DONNÉES À CARACTÈRE NON PERSONNEL

Certains pays extra-européens se sont dotés de lois permettant à leurs juridictions, y compris répressives, ou à leurs administrations, d'obtenir un transfert direct de données à caractère non personnel situées en dehors de leur territoire, y compris dans l'Union. Or ces demandes de transfert peuvent ne pas être compatibles avec le droit européen ou avec le droit national, en particulier en matière de protection des droits fondamentaux de la personne (sécurité ou droit à un recours effectif) ou des intérêts fondamentaux d'un État membre en matière de sécurité ou de défense nationales, ou encore être incompatibles avec la protection de secrets d'affaires ou de droits de propriété intellectuelle.

1. Des garanties de protection des données détenues sur le territoire européen

La proposition de règlement (art. 27) prévoit des garanties spécifiques de protection des données à caractère non personnel lorsque la demande de transfert de données situées sur le territoire européen n'est pas compatible avec le droit européen ou le droit national d'un État membre.

Dans une telle situation, elle soumet les fournisseurs de services de traitement de données à l'obligation de prendre « toutes les mesures techniques, juridiques et organisationnelles raisonnables » afin d'empêcher le transfert hors du territoire européen de données à caractère non personnel qui y sont détenues ou l'accès de l'État tiers à celles-ci.

Après avoir posé qu'en l'absence d'accord international, les fournisseurs de services de traitement de données à caractère non personnel ne doivent pas procéder à un transfert de données exigé par une décision ou un jugement d'un juridiction ou une décision d'une autorité administrative d'un pays tiers ni donner accès à ces données, elle autorise toutefois de tels transferts ou ouvertures de données lorsque certaines conditions cumulatives sont respectées (jugement motivé et proportionnel, examen par un juge de l'objection motivée du destinataire, prise en compte des intérêts juridiques du détenteur des données) (art. 27§3).

Le fournisseur de services de traitement de données peut solliciter l'avis des autorités nationales compétentes afin de déterminer si ces conditions sont satisfaites.

Il est enfin prévu que le comité européen de l'innovation dans le domaine des données, mis en place en application du règlement sur la gouvernance des données (DGA), assiste la Commission dans l'élaboration de lignes directrices sur ce sujet.

2. Il est indispensable de mettre en place des hébergements souverains pour certaines données européennes

La mise en place d'hébergements souverains pour les données n'est pas abordée dans la proposition de règlement. Pourtant, elle s'inscrit dans la suite logique de l'encadrement des transferts internationaux de données qui préoccupe légitimement les entreprises et les citoyens européens30(*). Elle constitue d'ailleurs une préoccupation forte du Sénat, qui s'est à plusieurs reprises penché sur le sujet31(*).

C'est pourquoi les rapporteurs de la commission des affaires européennes préconisent que soit établie une liste des données sensibles (dont les données de santé) et des données dont la divulgation est susceptible de porter atteinte à la sécurité nationale. Un hébergement souverain est en effet nécessaire pour ces données afin de les protéger contre des applications extraterritoriales de législations extra-européennes ou d'intrusions malveillantes.

Ils soulignent en outre que le caractère souverain exige que le service soit fourni par une entreprise européenne dans laquelle les participations étrangères cumulées, directes ou indirectes, ne puissent être que marginales.

Une liste des données sensibles (dont les données de santé) et des données dont la divulgation est susceptible de porter atteinte à la sécurité nationale doit être établie et un hébergement souverain mis en place pour les protéger contre des applications extraterritoriales de législations extra-européennes ou d'intrusions malveillantes.


* 30 Notamment en France à la suite du choix par l'État de Microsoft pour l'hébergement des données médicales des Français ( Health Data Hub ).

* 31 Voir notamment le rapport d'information du Sénat n°678 (2020-2021 du 10 juin 2021 La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?, présenté par MM. Sébastien Meurat et Rémi Cardon, au nom de la délégation aux entreprises.