Intervention de Benoît Darde
Réunion du jeudi 25 février 2021 à 9h30
Mission d'information sur le thème « bâtir et promouvoir une souveraineté numérique nationale et européenne »
Notre compréhension des données sensibles va au-delà de celle du RGPD. Une entreprise travaillant sur sa stratégie et ses éléments différenciateurs dispose d'informations confidentielles et de secrets industriels. Il revient donc à chacune de nos entreprises ainsi qu'à nos administrations de définir les données et les savoirs qu'il faut absolument protéger. Il est nécessaire d'obtenir, pour ces données, des conditions de traitement et d'hébergement qui permettent aux entreprises et aux administrations de garder un avantage compétitif dans chacun de leurs secteurs d'activité. Les données sensibles recouvrent donc un spectre assez large. Elles ne peuvent pas être définies immédiatement : il faut les définir au cas par cas, selon les entreprises et les usages.
La capacité à maîtriser les traitements et l'hébergement des données varie en fonction des structures. À titre d'exemple, une start-up de trente personnes est en train de développer une solution extrêmement pointue et innovante dans une biotech, nécessitant l'exploitation de données d'analyses, mais sa capacité à définir les conditions d'hébergement et de sécurisation de son environnement est faible. Comment garantir à cette start-up de bien protéger son asset, c'est-à-dire son différenciateur ? L'écosystème est intéressant car il permet de disposer de capacités et d'apporter des garanties à ce sujet à un certain nombre d'entreprises.
À ce titre, GAIA-X définit des modèles avec des protocoles technologiques et juridiques qui proposent des solutions pour garder les secrets des entreprises. Il revient ensuite à chaque entreprise et à chaque administration de définir ses données sensibles. Nous ne pouvons pas définir une donnée sensible ex nihilo pour tous. Une réglementation, secteur par secteur, pourrait contribuer à définir des sets de données sensibles, mais je suis méfiant quant à l'idée de légiférer sur ce qu'est une donnée sensible, car une telle définition serait sujette à des interprétations très complexes à traiter ensuite par les entreprises.
