Les votes s’enchaînent au Sénat. Dans le cadre du projet de loi sur le numérique, un article adopté veut obliger les acteurs, notamment en ligne, à stocker les données personnelles des Français en Europe, du moins s'ils veulent effectuer sur leur dos des traitements automatisés. Une disposition qui interdit également tout transfert hors UE.
La disposition en cause est simple, mais explosive voire délirante. Elle impose à tous les acteurs, qu’ils soient du numérique ou non, de stocker sur des serveurs installés en Europe les traitements de données personnelles concernant les Français. Une obligation assez chimique puisqu’il n’est pas toujours évident de déceler la nationalité d’une donnée personnelle… De plus comment imposer une telle règle à l'ensemble des sites de la planète ?
Juridiquement, elle enrichit d’un petit complément la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il concerne la section 1 de cette loi, relative aux dispositions générales des traitements de données à caractère personnel. En substance, voilà sa rédaction adoptée par les sénateurs :
« Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : [ces données] sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers. »
Une obligation impossible à mettre en oeuvre
Pour les sénateurs du Groupe communiste républicain et citoyen, « Il s’agit (…) de s’assurer ainsi de l’applicabilité des dispositions législatives prises au niveau européen, en matière de protection des données personnelles. L’annulation du Safe Harbor par la Cour de Justice de l’Union européenne rend d’autant plus critique cette disposition. »
L’annulation du Safe Harbor a théoriquement fermé le robinet principal du transfert des données de l’Europe vers les États-Unis compte tenu du manque de garanties et de l’appétit des services de la NSA. Seul hic, le Privacy Shield, son remplaçant, a lui fait lui aussi objet de critiques venues des autorités de contrôle européennes réunies au sein du G29.
Les critiques du Gouvernement inaudibles
Le vote de cet article à une belle majorité n’a fait que peu de cas des remarques d’Axelle Lemaire. La secrétaire d’État au numérique a vainement estimé que cette disposition n’était « pas souhaitable », expliquant en outre que la problématique première est celle de la sécurisation des flux vers les États-Unis et les autres États tiers à l’Europe. En outre, ce sujet devrait avant tout être débattu dans le cadre des négociations européennes.
En appui de cette obligation de centralisation, l’article interdit en plus le transfert de n'importe quelle donnée personnelle vers un État tiers. Soit l'installation d'une frontière numérique dans le périmètre de toute l'Europe. Naturellement, peu de chance que l’article soit maintenu dans le texte définitif.
