Intervention de Philippe Latombe

La CNIL a indiqué récemment qu'il n'était pas possible de recourir à des opérateurs concernant la partie RGPD, même s'ils étaient régulièrement domiciliés en Irlande. L'ensemble des GAFA sont localisés en Irlande et y ont un siège régulier, ce qui fait d'eux des acteurs européens. Dans ces conditions, comment les exclure ou prévoir de les intégrer différemment dans l'ensemble du champ légal de la commande publique ? Quels critères pourrait-on utiliser ? Par ailleurs, la localisation des serveurs est également un enjeu important, qu'il s'agisse du Health Data Hub ou de BPIfrance. Des acteurs disent avoir utilisé le cloud de Microsoft Azure ou d'AWS, qui donnent satisfaction. Ils invoquent l'absence de risque au motif que les clés de chiffrement sont chez nous et les serveurs localisés en Europe. S'il y a risque, comment s'en prémunir ? Les opérateurs peuvent-ils être écartés à ce titre ? Les acteurs du numérique sont très intéressés par ces sujets.