Afin de permettre un changement effectif de fournisseurs de services Cloud -CSP- , la commission des affaires européennes du Sénat vient d'adopter à l'unanimité une proposition de résolution européenne, fixant les règles de transfert de données, les conditions de frais de sortie de contrat Cloud, et la mise en place d'hébergements "souverains" contrôlés par des capitaux européens.
La commission des affaires européennes du Sénat a adopté à l’unanimité une proposition de résolution européenne sur la proposition de règlement européen sur les données, qui fixe des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, présentée par ses rapporteurs Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly.
Les conditions techniques et juridiques d’une mobilité effective et sécurisée des données ont particulièrement retenu l’attention de la commission.
Faciliter le changement de fournisseur Cloud
Afin de permettre un changement effectif de fournisseur de services de traitement des données (informatique dans le Cloud) dans un marché contrôlé à 72% par trois fournisseurs américains, la commission des affaires européennes préconise de compléter les obligations imposées au fournisseur par la proposition de règlement pour y ajouter une information initiale du client sur les possibilités de transfert puis, le cas échéant, sur les modalités de mise en œuvre du transfert.
Elle préconise en outre d’interdire au fournisseur de garder le client captif au motif qu’il aurait bénéficié d’une phase d’utilisation gratuite de ses services.
Enfin, elle considère que la durée du délai de trois ans prévu pour la suppression progressive des frais de sortie est excessive et de nature à compromettre le développement de la présence sur le marché intérieur de fournisseurs de services européens.
La commission des affaires européennes met par ailleurs l’accent sur la nécessité d’une adoption rapide de normes harmonisées contraignantes pour garantir l’interopérabilité des données.
Les données sont l’or noir du numérique. Les Européens doivent s’organiser pour éviter leurs confiscations par quelques grandes plateformes. Jean-François Rapin, président de la commission des affaires européennes du Sénat.
Cloud souverain et données sensibles
Considérant que le dispositif proposé pour sécuriser les données en cas de transferts internationaux ne permettra pas de garantir pleinement la sécurité des données sensibles (dont les données de santé) et des données dont la divulgation est susceptible de porter atteinte à la sécurité nationale, la commission des affaires européennes insiste sur la nécessité de mettre en place des hébergements souverains, contrôlés par des capitaux européens, et souhaite qu’une liste de ces données soit établie.
Protection des données IoT sous contrôle de la CNIL
La Commission demande par ailleurs que la protection des données personnelles susceptibles d’être mêlées à des données générées par l’utilisation d’objets connectés soit assurée, sous le contrôle des autorités nationales compétentes (la Cnil en France), et dans le cadre européen de protection de ces données, dont la primauté doit être affirmée.
Organisation du secret des affaires
Elle souligne également que la confidentialité des secrets d’affaires doit être contractuellement organisée entre le détenteur des données et l’utilisateur de l’objet qui les génère ainsi que le tiers avec lequel l’utilisateur demande à les partager, sans que cette confidentialité puisse justifier un refus d’accès ou d’utilisation, sauf si le détenteur des données démontre que leur divulgation est de nature à avoir des conséquences dommageables sérieuses, en particulier au regard de la sécurité.
La proposition de résolution adoptée par la commission des affaires européennes a été renvoyée à la commission des affaires économiques du Sénat qui peut s’en saisir. Sinon, elle deviendra résolution du Sénat d’ici un mois.
Il semblerait que cette proposition de résolution aille dans le sens d'une proposition d'encadrement des données sensibles hébergées sur le cloud par l'ENISA- Agence de cybersécurité Européenne" qui prévoirait notamment que les CSPs, fournisseurs de cloud non européens, ne pourraient plus traiter et héberger des données sensibles, qu'aux travers de joint-ventures européennes au sein desquelles ils auraient une participation capitalistique minoritaire (par exemple comme dans le cas de S3NS|Google). Et que cette nouvelle règle s'appliquerait à la fois aux données personnelles et non personnelles, pour lesquelles une brèche pourrait avoir un impact négatif sur l'ordre public, la santé publique et la protection de la propriété intellectuelle.