Intervention de Philippe Latombe

La rédaction initiale de l'article était maximaliste. On peut accepter le délai de cinq ans si on nous assure que rien ne permet d'identifier une personne dont les données auront été supprimées. Voilà pourquoi il faut que l'article dresse la liste des données qui peuvent être recueillies : il faut pouvoir s'assurer qu'elles ne peuvent donner lieu à une nouvelle identification. La loi « informatique et libertés » de 1978 et le RGPD nous imposent de prévoir cette garantie. Nous avons besoin de rester dans le cadre conventionnel. Le délai de conservation des données est très long : il peut constituer une exception admissible au RGPD parce qu'il s'agit de la sécurité et de la défense nationales, mais les données ne peuvent être ni personnelles ni identifiantes.

Je vous fais confiance, madame la rapporteure pour avis, pour dresser une liste positive des données pouvant être collectées, condition sine qua non de l'acceptation d'un délai de conservation de cinq ans, mais je n'ai plus confiance dans l'Anssi et dans le SGDSN, dont les représentants sont revenus sur beaucoup de terrains d'entente que nous avions trouvés.