Publié le 27 janvier 2024 par : Mme Le Hénanff, M. Patrier-Leitus, M. Christophe, M. Valletoux, M. Plassard, M. Lamirault, Mme Kochert, M. Thiébaut, M. Lemaire, Mme Rauch, Mme Carel, M. Jolivet, M. Marcangeli, Mme Bellamy, M. Pradal, Mme Félicie Gérard, M. Gernigon, Mme Violland.
Le prestataire et les consultants communiquent à l’administration bénéficiaire les informations suivantes :
1° Les juridictions compétentes eu égard à l’infrastructure déployée pour le traitement des données ;
2° Une description générale des mesures techniques, organisationnelles et contractuelles mises en œuvre afin d’empêcher l’accès aux données à caractère non personnel détenues dans l’Union européenne ou le transfert de ces données par des États tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national ;
3° Des informations sur l’empreinte environnementale notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie des services déployés pour le traitement des données.
Les données de l’administration constituent des actifs stratégiques majeurs et peuvent même revêtir un caractère sensible. Aussi, il apparaît nécessaire que les administrations concernées disposent de la pleine maîtrise de leurs données, notamment s’agissant de leur traitement.
Toutefois on constate qu’il est fréquent que certaines données des administrations sont traitées par des fournisseurs de services soumis à des législations extraterritoriales, lesquels peuvent être tenus, par les autorités étrangères dont ils dépendent, de transmettre des données de manière ponctuelle ou de manière massive et continue, sans que ces administrations en soient informées.
Cette situation se produit parfois à l’insu de l’administration, notamment lorsque cette dernière a recours à des prestations de conseils pour ses projets. La commission d’enquête menée par le Sénat sur l’influence croissante des cabinets de conseil privés sur les politiques publiques a formellement établi que les cabinets de conseil collectent de données, dans le cadre des projets, pouvant présenter un caractère sensible, stratégique, etc.
C’est pourquoi, il nous semble essentiel d’imposer a minima des obligations de transparence aux cabinets de conseil et leur prestataires vis-à-vis des administrations bénéficiaires quant aux juridications auxquelles sont soumises les données qui leurs sont confiées dans le cadre de leur mission de conseil. Dans une optique de transparence complète des prestataires de conseils, ces derniers devraient également fournir des données sur l’empreinte environnementale des services numériques déployés pour traiter les données de l’administration bénéficiaire.
Cela s’inscrit dans une logique de cohérence avec le règlement européen sur les données (Data Act) et avec les dispositions de l’article 10 bis du projet de loi sécuriser et réguler l’espace numérique (dit « SREN ») adopté en séance publique à l’Assemblée nationale à l’uninamité le 13 octobre dernier.
Ces obligations de transparence permettront aux administrations de disposer de toutes les informations relatives à la souveraineté du traitement des données et des enjeux environnementaux.
Aucun commentaire n'a encore été formulé sur cet amendement.