ÉTUDIER L'OBLIGATION DE LOCALISATION ET DE TRAITEMENT DES DONNÉES SUR LE TERRITOIRE EUROPÉEN
Afin, d'une part, de garantir la protection des citoyens et, d'autre part, de permettre le développement d'une industrie numérique européenne, la proposition de résolution demande, dans sa rédaction initiale, « que soit introduite une obligation de localisation et de traitement des données personnelles des consommateurs européens sur le territoire de l'Union » . Elle fait écho à un amendement adopté au Sénat, à l'initiative du groupe CRCE, lors de l'examen de la loi pour une République numérique 42 ( * ) , qui ne fut finalement pas retenu dans le texte adopté.
Comme le montre le rapport de la commission des affaires européennes, les auditions menées par vos rapporteurs ont permis d'identifier les risques associés à l'introduction d'une telle obligation. En conséquence, la résolution adoptée par la commission des affaires européennes appelle plutôt à étudier « l'opportunité de cette localisation (...) de manière approfondie afin d'en mesurer toutes les conséquences, tant juridiques qu'économiques et techniques ».
RENFORCER LA PRÉSENCE DES ACTEURS EUROPÉENS EN MATIÈRE DE NORMALISATION
La proposition de résolution demande, dans sa version initiale, « que l'Union européenne développe sa présence dans les enceintes internationales d'élaboration des normes et des standards de sécurité en matière numérique, et particulièrement l'internet des objets » . Cette orientation rejoint celle de la résolution européenne adoptée le 30 juin 2015 par notre Assemblée pour une stratégie européenne du numérique globale, offensive et ambitieuse 43 ( * ) , qui insistait « sur l'enjeu pour l'Union européenne d'être présente et impliquée dans les enceintes techniques internationales où s'élaborent les normes et protocoles qui dessinent l'avenir » .
Un ajustement de la rédaction initiale est apparu nécessaire dans la mesure où, comme le rapport de notre collègue Élisabeth Lamure l'a décrit 44 ( * ) , le système de normalisation repose sur le principe « un État = une voix ». En conséquence, ce n'est pas la présence de l'Union européenne au sein des organismes de normalisation en substitution des États européens qu'il faut accroître, mais bien celle de l'ensemble des acteurs européens - Union européenne, Etats membres, organismes de normalisation. On rappellera néanmoins que l'Union européenne est très engagée dans les actions de normalisation, à travers un système de normalisation régi par un règlement 45 ( * ) , la définition de programmes annuels de travail en matière de normalisation et un soutien financier apporté aux entreprises afin qu'elles participent aux actions de normalisation.
Par ailleurs, les auditions menées par les deux rapporteurs ont souligné le manque d'investissement des acteurs économiques français dans la normalisation . C'est pourquoi la commission des affaires européennes a inséré, dans la proposition de résolution, un alinéa qui appelle tant les entreprises que les administrations publiques à se mobiliser pour assurer leur présence dans les organismes européens et internationaux de normalisation.
NORMALISATION, STANDARDISATION, CERTIFICATION : DES NOTIONS À NE PAS CONFONDRE Le terme de « normalisation » renvoie aux normes d'application volontaire élaborées par des organismes réunissant les professionnels du secteur concerné pour leur propre usage. On peut le distinguer de celui de « standardisation », qui fait référence à la réunion de certains professionnels d'un secteur ayant pour objectif de définir et de défendre un standard particulier en vue de l'imposer au reste du marché. La normalisation est institutionnalisée et se veut un processus intégrant l'ensemble des acteurs de la filière concernée, là où la standardisation ne relève que de démarches ad hoc , à la seule initiative de certains acteurs d'une filière, suivant un comportement délibérément non coopératif. Le terme de « certification », synonyme de « labellisation », renvoie à l'octroi, par une entité spécialisée dans un secteur, d'un certificat ou d'un label à une entreprise de ce secteur attestant du respect, par le produit ou le service rendu par l'entreprise, d'un référentiel. Le référentiel peut être une norme professionnelle définie par un organisme de normalisation. Il peut aussi être un référentiel créé par l'organisme certificateur. Par exemple, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a créé un référentiel d'exigences applicables aux solutions d'informatique en nuage, appelé SecNumCloud. Pour répondre aux exigences de l'ANSSI et voir le service qu'il propose recueillir une validation de niveau dit « essentiel », le professionnel doit s'engager à stocker et à traiter les données du client au sein de l'Union européenne. Les opérations d'administration et de supervision du service doivent également être réalisées depuis l'Union européenne. |
* 42 http://www.senat.fr/amendements/2015-2016/535/Amdt_473.html.
* 43 Résolution européenne citée en introduction, pour une stratégie européenne du numérique globale, offensive et ambitieuse, 30 juin 2015.
* 44 Rapport d'information fait au nom de la commission des affaires économiques par Mme Elisabeth Lamure, Où va la normalisation ? En quête d'une stratégie de compétitivité respectueuse de l'intérêt général, juillet 2017.
* 45 Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne.