15ème législature

Question N° 11088
de M. Damien Abad (Les Républicains - Ain )
Question écrite
Ministère interrogé > Numérique
Ministère attributaire > Numérique

Rubrique > numérique

Titre > Respect du RGPD

Question publiée au JO le : 24/07/2018 page : 6564
Réponse publiée au JO le : 18/02/2020 page : 1267
Date de changement d'attribution: 02/04/2019
Date de renouvellement: 30/10/2018
Date de renouvellement: 23/04/2019
Date de renouvellement: 22/10/2019
Date de renouvellement: 28/01/2020

Texte de la question

M. Damien Abad attire l'attention de M. le secrétaire d'État, auprès du Premier ministre, chargé du numérique, sur le respect du RGPD, en vigueur depuis le mois de mai 2018. En effet, la construction des réseaux très haut débit nécessite des moyens humains conséquents et il apparaît que certaines activités liées à des prestations intellectuelles sont réalisées en dehors de la communauté européenne. De plus, la création des zones AMII et AMEL réalisées par les opérateurs privés suscite de nombreuses problématiques concernant le respect des données personnelles de nombreux utilisateurs. Il lui semble important de créer ces zones tout en garantissant la conformité au RGPD. En l'absence du respect du règlement, les données informatiques des utilisateurs sont envoyées hors de l'Union européenne pour faire l'objet d'un retraitement qui va ensuite revenir sur le sol français sans en informer les usagers. De ce fait, la sécurité des données personnelles des citoyens français doit être accrue. De plus, lors du dernier contrat de plan État-région en 2015, la nécessité pour l'investissement public du plan FTHD de servir les entreprises françaises avait été soulignée. Il est donc anormal que hormis le non-respect du RGPD qui s'applique aussi dans ce cas, le financement du plan FTHD serve des intérêts hors de France. Aussi, il souhaiterait savoir dans quelles mesures le Gouvernement envisage de sécuriser le traitement des données des utilisateurs en dehors de l'Union européenne.

Texte de la réponse

De plus en plus d'acteurs, particuliers et entreprises, sont sensibles au risque lié à la protection de leurs données sur le cloud. Ces inquiétudes sont aggravées par le Cloud Act qui, en s'appliquant à toute donnée gérée par une entreprise américaine, quelle que soit la localisation du serveur, crée une grande incertitude sur la maîtrise de la donnée. Il y a là un marché qui pourrait répondre aux besoins des entreprises, mais aussi de l'État et des collectivités, et la France dispose d'acteurs susceptibles de développer des offres en ce sens. Les valeurs que pourrait porter l'offre française sont la sécurisation des données pour le cloud, le caractère auditable et certifiable et le respect des droits fondamentaux. La protection des institutions dans le cadre du cloud sécurisé se décline en plusieurs phases : d'abord la stratégie cloud de l'État, ensuite la définition des données sensibles, avant d'envisager, en concertation avec les acteurs et sous réserve d'une offre française compétitive, d'imposer des obligations en matière de stockage de ces données sensibles - à des acteurs publics ou, éventuellement, privés. Dans ce contexte marqué par la prédominance d'opérateurs étrangers et par des législations à portée extraterritoriale, le Gouvernement porte une stratégie industrielle et réglementaire d'envergure, visant à faciliter l'émergence d'un marché de confiance français et européen de la donnée sécurisée. Le Gouvernement soutient une posture ambitieuse dans la poursuite de deux objectifs : - renforcer la sécurité des données sensibles de l'État et des entreprises, tant vis-à-vis des risques techniques (cyberattaques) que juridiques (captation de données sensibles par des autorités étrangères) notamment via la refonte de la loi de blocage de 1968 ; - favoriser le développement d'offre cloud de confiance, notamment en lien avec le projet « cloud de confiance » du Comité stratégique de filière (CSF) des Industries de sécurité (CSF-IS).