Je trouverais parfaitement regrettable que nous soyons soumis à un Schrems III, c'est-à-dire que l'Union européenne ne retienne rien des leçons du passé. Il est temps de mettre un terme à la naïveté, c'est-à-dire qu'il faudrait localiser les données en Europe ( data sovereignty, data localization ou data residency ). Les données des Européens doivent être traitées en Europe par des acteurs européens. Quand je dis des acteurs européens, pas des faux-nez, de vrais acteurs européens dont le siège et le quartier général sont en Europe. Certains disent, y compris dans l'exécutif, qu'une société comme Microsoft est une société européenne ! La définition est tangentielle parce que, malheureusement, le droit américain s'applique y compris pour les données stockées en Europe.
Nous avons donc besoin d'établir de nouveaux principes. Je précise que les acteurs américains avaient déjà anticipé ce durcissement des législations en créant des data centers en Europe. Il faut aller beaucoup plus loin. Je sais qu'une proposition de résolution européenne vient être proposée au Sénat par Mme Morin-Desailly sur ces questions, sur le fait d'obliger à traiter des données sensibles des Européens en Europe par des acteurs européens. Je pense qu'il faudra modifier nos textes. Il en va de notre sécurité nationale et de notre souveraineté. La sécurité nationale ne faisant pas partie des prérogatives sur lesquelles l'Union européenne a à se prononcer, il serait tout à fait possible de modifier les textes de manière à imposer que les sociétés traitant des données sensibles classiques (données de santé, politiques, ethniques, religieuses, philosophiques, sexuelles) et des données qui en apparence ne sont pas sensibles, mais qui le deviennent soient européennes. En analysant des données sur le comportement d'un individu, par exemple sur son périmètre de marche, l'on est capable de prévoir s'il va avoir des maladies ou pas. En analysant son comportement avec la montre connectée d'Apple, l'on peut prévoir les crises de panique.
Il faut bien comprendre qu'il y aura en même temps à déterminer une stratégie industrielle pour faire en sorte que les Européens développent leurs marchés et leurs technologies et évitent de transférer des données à l'étranger, sur lesquelles ils n'ont plus de contrôle. Je rappelle que les data brokers qui échangent entre eux des données, qui vendent parfois des profils à des administrations, sont une sorte de trou noir pour la régulation sur les données. Les acteurs qui ont développé le RGPD disent que cela ne tiendra pas.
Il faut aider à créer un cadre beaucoup plus protecteur pour les données et, en amont de la collecte, se poser la question de savoir si certaines données ne doivent pas faire l'objet d'une extraction, ne doivent pas être traitées. Il s'agit d'une vraie question pour les temps qui viennent. À partir de quand devra-t-on empêcher que certaines données puissent être traitées ? Des chercheurs viennent de publier dans Le Monde d'aujourd'hui une critique sur les questions de sécurité concernant le Health Data Hub en disant : en concentrant les données à un seul endroit, l'on crée un point de vulnérabilité important, un point d'attaque possible. De nombreuses questions s'entremêlent autour de cela, mais la principale des baguettes magiques, c'est qu'il y ait une prise de conscience parmi l'ensemble des citoyens, des acteurs et des régulateurs dans ces domaines. Nous n'en sommes qu'au tout début.