- Texte visé : Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, de simplification de la vie économique (n°481 rectifié)., n° 1191-A0
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Rédiger ainsi l’alinéa 11 :
« Dans le cas de projets intégrés où l’exploitant du centres de données a également vocation à être le responsable de traitements de données à caractère personnel opérés au sein dudit centre, ne peuvent bénéficier des dispositions du présent I bis, les projets de centres de données dont ledit responsable de traitement prévoit d’effectuer des transferts de données à caractère personnel vers un pays tiers à l'Union européenne sans garantir un niveau de protection en conformité avec le chapitre V du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. »
La Commission spéciale a adopté un amendement qui vise à interdire l’éligibilité au statut PINM pour les projets de centre de données dont le propriétaire ou l’opérateur est une société relevant, directement ou indirectement, de la législation d’un pays tiers de l’Union européenne lorsque le droit interne à cet État n’assure pas un niveau équivalent de protection des données à caractère personnel équivalent au RGPD.
Ces dispositions apparaissent d’une part en contrariété avec le droit européen en restreignant l’accès à ce statut sur la base de considérations relatives au droit interne des propriétaires et opérateurs de projets de centres de données excédant ainsi les dispositions du droit européen.
Elles posent aussi problème en faisant du Gouvernement et in fine du juge administratif français le juge de l’équivalence entre droit d’un pays tiers et droit de l’Union européenne.
Mais surtout, ces dispositions nuisent très significativement à l’attractivité de notre territoire pour l’accueil de datacenters alors même que la politique d’attractivité porte ces fruits au bénéfice de nombre de nos territoires.
Naturellement, les sociétés étrangères implantées sur le territoire de l’Union européenne et responsables de traitements de données (ou leurs sous-traitants) sont et demeurent bien sûr soumises aux dispositions du RGPD, notamment en cas de transferts de données vers des Etats tiers. La CNIL est en charge en France du contrôle de la bonne application de ce Règlement.
Une réécriture de la disposition est ainsi proposée.