Intervention de Philippe Latombe

L'amendement CL100 vise simplement à s'assurer qu'aucune règle extraterritoriale autre que les règles européennes ne peut s'imposer à ces traitements. La délégation à un tiers ne concerne certes que la conception, mais il est ici question de la conception des traitements. Or de nombreux opérateurs techniques œuvrant dans ce domaine sont d'origine étrangère – majoritairement américains, pour une partie israéliens. Rappelez-vous le scandale de Tesla il y a quelques semaines : on a appris que l'ensemble des images captées par les caméras des voitures étaient rapatriées aux États-Unis et exploitées à des fins récréatives par le personnel de l'entreprise. Ces données personnelles ne devraient pas quitter le territoire européen.

Le fait d'imposer le respect des règles de l'article 19.6 du référentiel SecNumCloud élaboré par l'Agence nationale de la sécurité des systèmes d'information (Anssi) – une instance que l'on a portée aux nues, avec raison, lors de l'examen de la loi de programmation militaire et de la loi relative aux Jeux olympiques et paralympiques de 2024 – n'est pas un problème en soi. Il s'agit certes d'une référence réglementaire, mais la loi renvoie régulièrement à des décrets.