Madame Karamanli, nous voyons comme un progrès la suppression de l'obligation de déclaration systématique de traitement de données figurant dans la proposition de règlement. En effet, cette déclaration est trop légère pour certains, car ce n'est qu'une déclaration, et trop lourde pour d'autres, comme par exemple des startups à la recherche de leur modèle d'affaires et d'utilisation des données. Il faut donc établir une proportionnalité de l'encadrement en fonction du risque que présente le traitement et, pour celui comportant un risque important, prévoir des obligations plus lourdes – nous proposons une certification en continu de la mise en oeuvre du traitement et une plus grande traçabilité de l'utilisation des données, afin qu'elles puissent être contrôlées.
Concernant les interceptions des données à l'étranger, évoquées par M. Verchère, on envisage l'application de la loi française, car il s'agit d'un acte de puissance publique comportant une responsabilité de l'État d'origine. D'ailleurs, aux États-Unis, prévaut la section 702 du Foreign Intelligence surveillance Act (FISA) encadrant les interceptions à l'étranger, même si elle est critiquée dans la mesure où elle permet une collecte trop massive. Or il nous a semblé qu'en France, le cadre juridique ne répondait pas à l'exigence de la CEDH affirmée dans l'arrêt de 2008 Liberty contre Royaume-Uni, qui est celle de la prévisibilité de la loi. Celle-ci doit préciser les finalités et les cas justifiant de telles interceptions, même si ce n'est pas facile.