- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, de simplification de la vie économique, n° 481 rectifié
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d’examiner le projet de loi de simplification de la vie économique
Après l’alinéa 6, insérer l’alinéa suivant :
« Ne peuvent bénéficier des dispositions du présent I bis, les projets de centre de données dont le propriétaire ou l’opérateur est une société relevant, directement ou indirectement, de la législation d’un pays tiers de l’Union européenne lorsque le droit interne à cet État n’assure pas un niveau équivalent de protection des données à caractère personnel à celui du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. »
Le présent amendement des députés Socialistes et apparentés vise à donner une traduction réelle à la notion de souveraineté nationale, nécessaire pour la reconnaissance de l’intérêt national majeur de ces projets, en excluant les sociétés relevant d’États ne garantissant la protection de nos données du bénéfice de ce dispositif.
Les centre de données représentent une infrastructure stratégique au regard de la numérisation de la vie économique, du développement rapide de l’intelligence artificielle accessible au plus grand nombre et de la nécessité de disposer de moyens souverains de stockage des données en nuage. Ces outils jouent par ailleurs un rôle central dans la réindustrialisation du pays et la transition énergétique, par exemple en optimisant le pilotage du réseau électrique.
Cependant, cette souveraineté suppose que nos centres de données ne soient pas opérés par des sociétés soumises à la législation d’États qui comporte une portée extraterritoriale comme outil de guerre économique plus ou moins agressive. A cet égard, par deux fois, la Cour de Justice de l’Union européenne avait annulé des accords négociés entre la Commission européenne et les États-Unis (Safe Harbor et Privacy Shield) comme ne garantissant pas un niveau effectif et suffisant de protection des données personnelles. Des décisions portant d’ailleurs sur des accords passés antérieurement au Cloud Act (HR. 4943) de 2018 qui permet aux autorités judiciaires américaines d’imposer à leurs entreprises technologiques de transmettre toute donnée stockée sur leurs serveurs, y compris implantés à l’étranger. A l’heure de l’administration Trump et d’un usage annoncé de l’appareil judiciaire fédéral à des fins politiques, cette réalité doit fortement nous inquiéter.
Si au regard de la structuration du marché des centres de données il n’apparaît pas envisageable d’exclure l’implantation de projets par des sociétés américaines, les projets pour lesquelles les garanties de protection et de souveraineté effectives ne peuvent être assurées ne sauraient bénéficier des dispositions du présent article. Il en va d’ailleurs des entreprises américaines comme des entreprises Chinoises ou d’autres États dont les pratiques peuvent différer mais qui posent les mêmes enjeux.
Ainsi notre amendement propose d’exclure les projets portés par des sociétés venant de pays tiers de l’Union européenne et n’apportant pas ces garanties du bénéfice des dispositions de l’article.