Recherche dans la base des amendements

Substituer à l’alinéa 11 les trois alinéas suivants :

« Seuls les projets de centre de données dont le propriétaire ou l’opérateur remplit les conditions suivantes peuvent bénéficier des dispositions du présent I bis

« 1° Les siège statutaire, administration centrale et principal établissement sont établis au sein d’un État membre de l’Union Européenne

« 2° Le capital social et les droits de vote dans la société ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

L’alinéa concerné, tel qu’adopté en commission, ouvre le bénéfice du dispositif de projet d’intérêt

national majeur (PINM) aux entreprises européennes, ainsi qu’aux entreprises extra-européennes à

condition que ces dernières assurent un niveau de protection des données à caractère personnel

équivalent à celui du règlement général sur la protection des données (RGPD).

Ce mécanisme repose sur la notion d’« équivalence de protection », appréciée au regard des

décisions d’adéquation rendues par la Commission européenne. Or, cette notion, outre son caractère

mouvant, présente une fragilité juridique importante. La décision d’adéquation du 10 juillet 2023,

conclue entre l’Union européenne et les États-Unis, en constitue une illustration parlante : bien

qu’elle autorise la libre circulation des données entre les deux blocs, elle est déjà l’objet de

nombreuses critiques et fait l’objet d’un recours devant la Cour de justice de l’Union européenne.

Ce scénario est d’autant plus préoccupant que deux précédents mécanismes similaires – le Safe

Harbor et le Privacy Shield – ont été successivement annulés par la CJUE dans les arrêts Schrems I

(2015) et Schrems II (2020), au motif qu’ils ne garantissaient pas un niveau de protection

substantiellement équivalent à celui du RGPD, notamment en raison des législations américaines

sur la surveillance.

Par conséquent, adosser l’accès au dispositif PINM à une simple équivalence, définie de manière

discrétionnaire par la Commission européenne, revient à faire dépendre un levier stratégique de

politique industrielle nationale de décisions extérieures à la souveraineté française. Cela introduit

une instabilité juridique et une insécurité économique pour nos entreprises. Or, le dispositif PINM a

précisément pour but de faciliter et d’accélérer l’implantation de projets industriels stratégiques. Il

constitue un instrument de souveraineté économique et technologique. À ce titre, il doit

prioritairement bénéficier aux entreprises européennes, pleinement soumises au RGPD et, par

conséquent, à un cadre juridique homogène, stable et contrôlable.

Dans cette logique, le présent amendement propose de restreindre le champ du dispositif PINM aux

seules entreprises européennes. Il s’inspire de l’approche du label SecNumCloud, délivré par

l’ANSSI, qui repose sur des critères objectifs d’immunité à l’extraterritorialité – critère crucial dans

un contexte géopolitique marqué par la guerre économique et la montée en puissance des

législations extraterritoriales (telles que le Cloud Act américain). Restreindre le dispositif PINM

aux entreprises européennes permet également d’encourager l’émergence de champions industriels

européens. À l’heure où les États-Unis et la Chine protègent ouvertement leurs industries

stratégiques, la France ne peut rester naïve. En supprimant la référence à une équivalence de

protection juridiquement instable et politiquement dépendante, le présent amendement garantit une

meilleure sécurité juridique et une cohérence stratégique dans l’utilisation d’un outil qui se veut au

service de notre souveraineté économique et numérique.