Intervention de Éric Bothorel

Vos rapporteurs ne sont pas favorables à l'extension de la localisation à d'autres natures de données car une réflexion en silo avec les données de sécurité, les données de santé, etc., comporte le risque d'aboutir à une restriction trop forte de la circulation des données. Une approche plus fine permet de définir ce qu'est une donnée sensible ou pas, protégée ou pas. Faut-il avoir une approche globale ou bien une approche différenciée en fonction de telle ou telle nature de données ? La première approche est celle qui a été suivie jusqu'à présent, en considérant qu'une entreprise, un process, un ensemble de données devaient être protégés. Mais il y a des opérateurs d'importance vitale (OIV) qui produisent des données qui ne sont pas des données sensibles. Compte tenu de cette dualité, vos rapporteurs considèrent qu'il faut avoir une autre approche, en se donnant autant que faire se peut les moyens d'assurer la liberté de circulation des données la plus grande possible en Europe, ce qui implique de renforcer la coopération entre les États membres et notamment entre leurs agences.

Le cas de l'Estonie est éclairant. Ce pays, très avancé en matière d'économie numérique, a fait le choix d'abriter ses données au Royaume-Uni, considérant que leur protection y était mieux assurée qu'en Estonie même. Les choix de protection des données ne répondent pas, parmi les États membres, à des critères identiques.

S'agissant de la Commission nationale de l'informatique et des libertés (CNIL) et des autres autorités, comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI), au-delà des moyens humains nécessaires pour conduire leurs actions, les dispositions réglementaires, notamment pour ce qui est des sanctions, sont par elles-mêmes dissuasives et devraient entraîner la mise en conformité des entreprises à ce règlement.

Sur le sujet de la confiance, qui est essentielle, vous avez raison, M. Michels : cette dernière repose à mon sens sur la transparence et l'accès aux données, c'est-à-dire que le consommateur d'une montre connectée, d'une poupée connectée, de domotique est informé non seulement des services rendus par ces outils, mais surtout des données captées. Ce consommateur doit savoir à qui elles sont destinées, s'il s'agit d'un tiers connu ou inconnu. Les fournisseurs doivent être dans l'obligation de donner l'information la plus claire possible sur l'intention sous-jacente au recueil des données.