Bercy veut contrôler les investissements étrangers dans le stockage de données et l’IA

Le Maire fouettard 5
Accès libre
image dediée
Crédits : plej92/iStock
Loi
Marc Rees

Bruno Le Maire a annoncé son vœu de renforcer le décret pris par Arnaud Montebourg en 2014 pour protéger certains secteurs d'activité français face aux investissements étrangers. Sont désormais visés le stockage de données et l'intelligence artificielle.

Le décret Montebourg avait actualisé le 14 mai 2014 les champs où les investissements étrangers doivent faire l’objet d’une autorisation préalable. Des secteurs considérés comme essentiels à la garantie des intérêts du pays en matière d'ordre public, de sécurité publique ou de défense nationale.

Dans la liste établie par le ministre du redressement productif, étaient ainsi ajoutés à une première liste définie en 2005, l’électricité, le gaz, les hydrocarbures, la santé publique, le transport, mais également l’intégrité, la sécurité et la continuité des réseaux et des services de communications électroniques outre les opérateurs d'importance vitale (OIV).

Dans ses vœux à Bercy, Bruno Le Maire, ministre de l’Économie et des Finances, a fait savoir hier qu’il entendait étendre ce décret afin de « construire une France attractive », mieux protégée contre le « pillage de nos technologies, de nos compétences, de nos savoir-faire ». C'est en tout cas cette proposition qu'il fera au président de la République et au premier ministre. 

Le décret Montebourg étendu au cloud et à l'IA

Dans l’attente d’un hypothétique règlement européen, il souhaite propager ce texte dans deux directions : « en élargissant le décret à de nouveaux secteurs économiques comme le stockage des données numériques ou l’intelligence artificielle et en élargissant les modalités de sanction ».

On notera que la liste n’est pas limitative, le ministre n'ayant cité que deux exemples. 

« Quand on voit les évolutions économiques actuelles, il y a un certain nombre de secteurs qu’on pourrait rajouter dans ce décret, a insisté Bruno Le Maire sur le plateau de BFM TV. Je pense à tout ce qui a trait à la protection des données personnelles. A-t-on vraiment envie que des investisseurs puissent commercialiser des données qui nous appartiennent ? Je pense à l’intelligence artificielle, secteur très sensible sur lequel nous voulons investir davantage. »

Selon les articles L151-3 et R151-3 du Code monétaire et financier, le ministre peut aujourd'hui assortir son autorisation « de conditions visant à assurer que l'investissement projeté ne portera pas atteinte aux intérêts nationaux ». Soit une liberté d’action assez vaste pour contrôler qui investit dans quoi.

Ainsi, « constituent un investissement étranger, quelle que soit sa provenance, explique cette note juridique, le fait d'acquérir le contrôle ou tout ou partie d'une branche d'activité d'une société française ainsi que, lorsque l'investisseur est non-européen, le fait de franchir le seuil de 33,33 % du capital ou des droits de vote d'une entreprise française ». 

Le RGPD, la loi de transposition de la directive NIS

Le stockage des données personnelles fera déjà l'objet d'une autre régulation sectorielle à l'occasion de l'entrée en vigueur du RGPD le 25 mai 2018. Ce texte d'application directe imposera une obligation d'audit et de responsabilité chez tous les acteurs concernés, avec de lourdes sanctions en cas d'infraction.

Avec des données personnelles ou non, le cloud est concerné par la transposition de la directive Network and Information Security (NIS), du moins pour les plus gros acteurs dépassant les 50 salariés ou dont le CA dépasse 10 millions d’euros.

Comme les deux autres « fournisseurs de service numérique » (FSN) concernés, à savoir les moteurs de recherche et les places de marchés, les services dans le nuage seront tenus d’assurer « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ».

Ils seront par exemple contraints à une obligation de déclaration d’incidents, s’ils ont un « impact significatif (…) compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie ».

Le tout sera chapeauté par l’ANSSI, l’Agence nationale pour la sécurité des systèmes d’information. Des sanctions pénales pouvant atteindre 100 000 euros sont prévues si la structure fait par exemple obstacle aux opérations de contrôle. Le texte entrera en vigueur au plus tard le 9 mai 2018. 


chargement
Chargement des commentaires...