Publié le 28 septembre 2023 par : M. Latombe, M. Blanchet.
Rédiger ainsi cet article :
« I. – Les fournisseurs d’informatique en nuage mettent à disposition sur leur site internet les informations suivantes et les tiennent à jour :
« 1° La juridiction à laquelle est soumise l’infrastructure informatique déployée pour le traitement des données de leurs services individuels ;
« 2° Une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d’informatique en nuage afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné.
« Les sites internet mentionnés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d’informatique en nuage.
« II. – Les fournisseurs d’informatique en nuage publient des informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie. »
La donnée est devenue un actif stratégique majeur pour les organisations. Dès lors, celles-ci doivent disposer de la pleine maîtrise des données qu’elles traitent, notamment pour répondre à des enjeux réglementaires (conformité aux réglementations en matière de protection des données) ; à des enjeux éthiques (assurer la confiance et la transparence vis-à-vis de leurs clients finaux) ; mais aussi à des enjeux économiques (s’assurer que leurs données stratégiques ne seront pas monétisées, exploitées par leurs concurrents, ou utilisées comme des armes de guerre économique par d’autres organisations).
Pourtant, il est aujourd’hui fréquent que les organisations françaises aient recours à des services non-européens pour l’hébergement de leurs données, y compris les plus stratégiques, parfois sans en avoir conscience. Or, certains de ces services sont offerts par des fournisseurs soumis à des législations extraterritoriales qui peuvent être tenus, par les autorités étrangères dont ils dépendent - sans en informer leurs clients - de transmettre des données de manière ponctuelle ou de manière massive et continue.
C’est pourquoi, il est crucial d’imposer des obligations de transparence sur le marché du cloud sans attendre.
Le présent amendement vise, dans le projet de loi SREN, à anticiper l’article 24c du Data Act qui vient imposer aux opérateurs de cloud des obligations de transparence quant à la juridiction à laquelle est soumise l'infrastructure informatique déployée pour le traitement des données des services individuels.
Il propose ainsi une réécriture de l’article 10 bis afin d’aligner ses dispositions avec celles de l’article 24c issu de la version finale du Data Act adoptée par les co-législateurs et reflète ainsi le consensus atteint entre les Etats membres de l’Union européenne.
Aucun commentaire n'a encore été formulé sur cet amendement.