Intervention de Fenitra Ravelomanantsoa

La localisation d'une donnée ne constitue pas, selon nous, un critère de sa sécurité. Une donnée n'est sécurisée que par les mesures prises en ce sens lors de son hébergement et de son traitement.

Le sujet de la souveraineté numérique n'est pas propre à la France ou à l'Europe. Nous en discutons avec tous nos clients, y compris hors de l'Union européenne.

Quand des autorités adressent à Google cloud une demande d'accès aux données d'un tiers, notre politique est de la soumettre à une équipe de juristes chargés d'en vérifier la validité (sa conformité à la loi, le statut de l'émetteur et l'ampleur raisonnable des données sur lesquelles elle porte). Quand l'un au moins de ces points ne donne pas satisfaction, nous opposons un refus. Nous nous considérons comme des processeurs sous-traitant des données et non comme leur propriétaire. Nous invitons les autorités qui souhaitent y accéder à en formuler la demande directement au client à qui elles appartiennent.

Quand une demande nous semble recevable, nous notifions son exécution à l'entreprise concernée. Dans le cas contraire, nous nous tenons prêts à la contester devant la justice.

Par souci de transparence, nous publions un rapport semestriel des demandes qui nous parviennent. Celles qui visent les entreprises n'en représentent qu'une très petite part et, parmi elles, les demandes suivies d'effet forment une infime minorité. Google cloud n'a communiqué aucune donnée des entreprises de sa clientèle suite à une demande gouvernementale. Nous n'avons en outre identifié aucune demande d'un gouvernement national en vue d'obtenir des informations sur un autre gouvernement national.

Nous sensibilisons la nouvelle administration américaine aux préoccupations de nos clients européens au sujet des lois de surveillance américaines, de manière à trouver une solution constructive au problème posé par les demandes d'accès aux données stockées dans le cloud.