Publié le 29 septembre 2023 par : M. Saintoul, Mme Abomangoli, M. Alexandre, M. Amard, Mme Amiot, Mme Amrani, M. Arenas, Mme Autain, M. Bernalicis, M. Bex, M. Bilongo, M. Bompard, M. Boumertit, M. Boyard, M. Caron, M. Carrière, M. Chauche, Mme Chikirou, M. Clouet, M. Coquerel, M. Corbière, M. Coulomme, Mme Couturier, M. Davi, M. Delogu, Mme Dufour, Mme Erodi, Mme Etienne, M. Fernandes, Mme Ferrer, Mme Fiat, M. Gaillard, Mme Garrido, Mme Guetté, M. Guiraud, Mme Hignet, Mme Keke, M. Kerbrat, M. Lachaud, M. Laisney, M. Le Gall, Mme Leboucher, Mme Leduc, M. Legavre, Mme Legrain, Mme Lepvraud, M. Léaument, Mme Pascale Martin, Mme Élisa Martin, M. Martinet, M. Mathieu, M. Maudet, Mme Maximi, Mme Manon Meunier, M. Nilor, Mme Obono, Mme Oziol, Mme Panot, M. Pilato, M. Piquemal, M. Portes, M. Prud'homme, M. Quatennens, M. Ratenon, M. Rome, M. Ruffin, M. Sala, Mme Simonnet, Mme Soudais, Mme Stambach-Terrenoir, Mme Taurinya, M. Tavel, Mme Trouvé, M. Vannier, M. Walter.
I. – Les entités de traitement des données bancaires prennent toutes les mesures techniques et organisationnelles nécessaires pour empêcher tout accès d’un État tiers, non-autorisé par les autorités publiques, direct ou indirect, par l’intermédiaire de toute personne physique ou morale, aux données de sécurité des personnes physiques stockées dans des systèmes d’informatique en nuage.
II. – En cas de recours à une offre commerciale sur le marché de l’informatique en nuage pour l’hébergement ou le traitement des données mentionnées au présent article, les autorités publiques s’assurent que le prestataire de services d’informatique en nuage respecte les obligations mentionnées au dudit I et que son siège statutaire, son administration centrale ou son principal établissement est établi sur le territoire d’un État membre de l’Union européenne.
Les autorités publiques s’assurent également que le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne.
Ces entités tierces ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de véto ou désigner la majorité des membres des organes d’administration, de direction ou de surveillance du prestataire.
III. – Cette disposition ne concerne que les données relatives à des paiements intra-européens.
Par cet amendement, les députés du groupe LFI-NUPES un meilleur encadrement des entités de traitement des données bancaires, en matière de stockage données de sécurité des personnes physiques, entendues au sens du règlement 2016/679.
En 2019, le Ministre de l’économie et des finances a confié au Conseil général de l’économie une mission visant à étudier la mise en œuvre d’une politique de localisation des données de paiement en Europe. L’une de ses recommandations vise notamment « {l’institution} à l’échelle de l’Espace économique européen {d’une} obligation de localisation sur le sol européen des données relatives à des paiements intra-européens, lorsque ces données sont liées aux données de sécurité personnalisées d’une personne physique. »
C’est pourquoi nous proposons une solution dans ce sens. Nous pensons par ailleurs que la France devrait être en mesure de proposer un espace de stockage souverain pour ces données.
Aucun commentaire n'a encore été formulé sur cet amendement.