Intervention de Michel Paulin

Je suis tout à fait d'accord. Je pense que l'on commence tout juste à s'apercevoir des conséquences de Schrems II. Ses implications sont extrêmement fortes. Schrems II interdit l'export de toutes données et de métadonnées en dehors de la Communauté européenne. Cela met, de manière indirecte, beaucoup de solutions dans l'illégalité complète.

Avec la filière, nous sommes très à l'aise : avec nous, le client choisit la localisation de ses données et nous garantissons l'absence de transferts de données et de métadonnées. De plus, nous n'accédons pas aux données du client, puisqu'aucune des données ne transite. Nous sommes confiants sur le fait d'être totalement conformes à l'ensemble des recommandations Schrems II.

Aujourd'hui, certains clients ont des logiciels avec la paie de leurs salariés qui sont hébergés aux États-Unis, avec des métadonnées qui circulent aux États-Unis. Il s'agit parfois de leur base client, avec les noms, les emails, les numéros de téléphone. Et même si ces données sont hébergées dans un data center quelque part en Europe, il arrive souvent qu'elles transitent. Il ne serait pas étonnant que certains acteurs lancent des class actions visant les acteurs qui ne seront pas capables de respecter Schrems II. Des directeurs juridiques d'entreprise viennent nous voir en nous demandant s'ils sont exposés. En général, la réponse est : « Oui, vous êtes exposés. Il existe un vrai enjeu pour la protection des données de vos salariés, de vos clients ». Ils découvrent avec surprise qu'ils sont très exposés, car ils n'avaient pas été très attentifs lors des appels d'offres sur ces sujets.

Schrems II est en train de radicalement changer les modèles. Cette exigence sera de plus en plus présente. C'est pourquoi les labels sont très importants. Il faut passer de labels uniquement techniques à des labels qui permettront de gérer le problème de la sécurité et le problème légal. Certains hyperscalers disent qu'il suffit d'encrypter les données. Tout le monde sait que le chiffrement peut se casser. Certains pays exigent que toutes les clés utilisées par les fournisseurs soient hébergées sur place. Cela prouve bien que le sujet n'est pas uniquement technique. Il doit être légal. Je souscris tout à fait à la recommandation de Servane Augier sur le fait que la labellisation HDS doit inclure un certain nombre de garanties légales sur le stockage et l'utilisation des données. Il faut garantir qu'elle est conforme à Schrems II. Le législateur et la force publique doivent intervenir. Ils doivent être capables de garantir la légalité dans le cadre de Schrems II.