Intervention de Philippe Latombe

Les règles de cybersécurité varient selon que les données sont hébergées en Europe, en Russie, en Chine ou aux États-Unis. Par conséquent, le niveau de protection est totalement différent. L'ANSSI, dans son référentiel d'exigences applicables à un prestataire de services d'informatique en nuage pour l'obtention de la certification SecNumCloud, consacre une part importante de son travail à la localisation. C'est dans la loi que doit figurer cet élément essentiel, en application stricte du RGPD.

L'accord Privacy shield, couvrant le transfert de données personnelles entre l'Union européenne et les États-Unis, avait été conclu sur l'affirmation que le niveau de protection était équivalent de part et d'autre. La Cour de justice de l'Union européenne ayant invalidé cet accord, Facebook nous avait fait tout un sketch, prétendant qu'il serait obligé de quitter l'Europe. Cela montre à quel point la localisation des données est importante : loin d'être un sous-critère de la sécurisation, elle constitue un critère à part entière, qui doit donc relever de la loi, et non simplement du règlement.

Nous souhaitons, par ailleurs, renforcer l'éducation à la cybersécurité des consommateurs, qui doivent connaître exactement le niveau de cybersécurité des plateformes en ligne qu'ils visitent. La localisation des données personnelles est importante de ce point de vue, les consommateurs devant savoir où elles sont hébergées. Tel est l'objet de ce sous‑amendement.