- Mardi 4 février 2014
- Audition de M. Bertrand de La Chapelle, directeur du projet Internet et juridictions et de M. David Martinon, représentant spécial pour les négociations internationales sur la société de l'information et l'économie numérique
- Audition de M. Jérémie Zimmermann, porte-parole de l'association « La Quadrature du net »
- Audition de M. Mathieu Weill, directeur général de l'association française pour le nommage Internet en coopération (AFNIC)
Mardi 4 février 2014
- Présidence de M. Gaëtan Gorce, président -La réunion est ouverte à 14 h 30
Audition de M. Bertrand de La Chapelle, directeur du projet Internet et juridictions et de M. David Martinon, représentant spécial pour les négociations internationales sur la société de l'information et l'économie numérique
M. Gaëtan Gorce, président. - Je vous remercie, monsieur de La Chapelle, d'avoir répondu à notre invitation et ne doute pas que M. David Martinon, que nous pensions entendre après vous mais qui est déjà parmi nous, sera attentif à vos propos. Nous attendons de vous un éclairage sur la place de l'Europe dans la gouvernance de l'Internet. Vous êtes engagé sur ces sujets depuis des années et connaissez bien l'ICANN pour avoir longtemps siégé au sein de son conseil d'administration. Si l'on voit tout l'intérêt de développer des mécanismes multiacteurs, nous aimerions vous entendre préciser votre analyse de la situation. Car les Etats-Unis demeurent surpuissants dans l'univers numérique, et l'on est en droit de s'interroger sur les moyens d'équilibrer les relations. Comment rétablir la balance, juridiquement et éthiquement, pour nous permettre de traduire dans les faits le volontarisme qui est le nôtre ?
M. Bertrand de La Chapelle - Restée longtemps confinée à un débat entre les opérateurs techniques, la question de la gouvernance de l'Internet a, au cours des dernières années, pris rang en première ligne sur l'agenda international. Mais derrière ces termes, nous ne mettons pas tous la même chose. Il convient de distinguer clairement entre deux notions, la gouvernance de l'Internet, qui touche aux infrastructures, et la gouvernance sur l'Internet, qui touche à la protection de la vie privée et à la liberté d'expression. Quel est le paysage actuel ? Alors que la gouvernance des infrastructures, constituée en un écosystème de gestion, fonctionne plutôt bien, la gouvernance sur l'Internet, désormais enjeu principal, est devenue source de tensions entre les institutions internationales et lieu de confrontation des législations nationales, qui forment un patchwork. L'expression même se comprend différemment selon la langue dans laquelle elle se donne. En français, prévaut l'idée que l'on influe de l'extérieur sur quelque chose, quand l'expression anglaise, Internet governance, emporte la manière spécifique dont l'Internet se gouverne. Lorsque l'on parle, en français, de gouvernance de l'Internet, on néglige cette distinction et le fait que l'Internet relève de modes de gouvernance différents, appelant des mode de coopération inédits. De ce point de vue, si l'Union européenne représente un acteur important, il est aussi d'autres acteurs, d'autres vecteurs, comme le Conseil de l'Europe ou l'OCDE - pour ne parler que des organisations intergouvernementales les plus importantes. Si donc la France entend peser dans le débat, elle ne doit pas user du seul canal européen.
L'intitulé de votre mission commune invoque une « nouvelle stratégie » : c'est poser la question de la vision. Que veut-on pour l'avenir, sachant que ces dernières années, les résultats n'ont peut-être pas été à la hauteur des espoirs ? Cela fait maintenant quinze ans que je réfléchis à cette question, combien complexe, de la stratégie, et je n'ai pas la prétention de définir ici, en quelques minutes, ce qu'elle pourrait être. Ce que je puis faire, en revanche c'est, à partir d'un sujet transversal, tenter de montrer comment réfléchir à une stratégie. L'architecture de l'Internet est faite de couches, elle est distribuée et elle fonctionne par la coopération d'un grand nombre d'acteurs. Les modes de gouvernance de l'Internet doivent être organisés de la même manière. Dire que la stratégie doit être distribuée, c'est dire qu'elle ne saurait être unique : il pourra y avoir des stratégies différentes selon les sujets. Celui auquel je m'attacherai, le traitement des données, souvent abordé sous l'angle de la protection de la vie privée, touche aussi au big data, à l'économie des données, à l'économie du partage. Il est au coeur de l'actualité, parce que les événements liés à la surveillance des Etats ont jeté sur lui un coup de projecteur ; parce qu'un projet de règlement européen sur la protection des données personnelles est en préparation ; parce qu'enfin la création de valeur attachée à la collecte et au traitement des données est devenue centrale. Et cela exige un saut conceptuel. Si révolution numérique il y a, elle est sous-tendue par la question de la collation des données, dont la croissance est exponentielle, et de l'open data : comment exploiter les données pour en tirer des bénéfices sociaux ou économiques ?
Je l'ai dit, ce sujet est aujourd'hui largement traité sous l'angle de la protection des données privées. Le coup de projecteur de l'actualité s'est focalisé sur le comportement des Etats - voir l'affaire Snowden, qui pose la question de l'application extraterritoriale de la souveraineté d'un pays par un effet de levier sur les opérateurs basés sur son territoire. Mais ce n'est pas parce qu'un conducteur fait un excès de vitesse qu'il faut incriminer l'autoroute.
A la suite de l'affaire Snowden, qui a provoqué un réel sentiment d'humiliation en Europe, on a vu émerger la notion de souveraineté numérique, que le rapport de Mme Morin-Desailly a abondamment traitée. Cette notion, cependant, est à double tranchant. S'il est parfaitement légitime qu'un Etat exerce sa souveraineté et si, sans souveraineté des Etats, il n'est pas de gouvernance possible, reste que certaines interprétations de la notion de souveraineté numérique pourraient avoir des conséquences négatives. L'affaire Snowden nous a appris que l'exercice de la souveraineté nationale sur un opérateur basé sur le territoire d'un Etat n'est pas sans effets sur les acteurs des territoires voisins. Voilà qui n'est guère conforme à la théorie classique des relations internationales, dans laquelle la souveraineté implique une séparation claire des responsabilités et des autorités en fonction des territoires, avec pour corollaire le principe de non-ingérence. Il est clair que dorénavant, une décision nationale a des impacts transfrontaliers, de même que ce qui se passe en amont d'un fleuve a des effets en aval, hors toute considération de frontière.
Or, sur cet état de fait, la réflexion n'a pas été conduite. Seule peut être mentionnée une recommandation émise par le Conseil de l'Europe fin 2011, qui établit le principe de responsabilité d'un Etat pour les dommages transfrontaliers potentiellement causés à un autre. Ce principe pourrait trouver à s'appliquer dans le monde numérique, où les effets extraterritoriaux justifient que le principe de souveraineté de s'applique pas de la même façon qu'ailleurs. Sans parler des plates-formes, territoires numériques transfrontières, espaces partagés, qui sont le coeur du bénéfice de l'Internet. Dès lors que nous gérons des espaces communs, nous ne sommes plus dans une logique de séparation des souverainetés, mais bien de cosouveraineté, de coresponsabilité. Méfions-nous donc de notre propension à renouer avec le cadre familier de la frontière ; pousser trop loin la logique de souveraineté, notamment en militant pour des clouds nationaux, pourrait nous faire perdre une bonne part des bénéfices que le partage des infrastructures et le cloud peuvent apporter. Certes, les abus constatés ne sont pas admissibles, mais préconiser, pour y remédier, la relocalisation des données et le cloud national reste une vue de court terme, qui pourrait provoquer une fragmentation, source de dommages irréparables à long terme.
Au regard de quoi - et c'est une réflexion que le groupe de travail du Conseil d'Etat sur l'Internet et les droits fondamentaux auquel je participe a engagée - on peut se demander si notre cadre légal relatif à la protection des données, apparu dès 1978, et très novateur à l'époque, ainsi que la directive de 1995, sont toujours adaptés. Pour moi, ils ne le sont plus. Face à la diversité nouvelle des données collectées, on ne saurait se contenter d'un régime de protection uniforme. Le type de protection ne peut être le même pour des données de carte bancaire, de santé, et pour un twitt ou un post anodin sur Facebook. Ce serait une erreur que de considérer qu'en droit, tout doit relever du même mécanisme.
Du même coup, on est fondé à s'interroger sur le terme même de collecte. Une chose est de solliciter des données bien spécifiées, autre chose est de collecter, sur une plateforme, des données adressées par des individus à d'autres individus. Le terme de traitement, lui-même, perd son univocité. Il existe désormais, avec le big data, une multiplicité de traitements, qui n'emportent pas les mêmes conséquences. Sans doute est-ce pousser un peu loin l'analogie, mais la pratique d'une plate-forme qui analyse le contenus des messages postés par les internautes pour envoyer des bandeaux publicitaires adaptés n'est pas si différente de celle qui consiste, pour une régie publicitaire, à sélectionner les supports qu'elle va retenir dans une campagne. Dans un cas comme dans l'autre, on est dans un régime de ciblage, pour autant que l'on s'en tienne à un traitement automatisé. Là où commence l'abus, c'est lorsque l'on en vient à procéder à des recherches personnelles, identifiées.
Le terme de traitement peut aussi s'appliquer lorsque l'on donne accès à une base de données pour une requête spécifiée, sans pour autant que la base soit transmise. C'est une problématique que l'on connait à l'ICANN, avec le Whois, la base de données qui enregistre les détenteurs de noms de domaine, et qui suppose que l'on ouvre des modalités d'accès différenciées, pour concilier les usages requis et la protection de la vie privée.
L'enjeu est important, parce que si, dans la réglementation française et européenne, le curseur penche trop vers la protection des données privées, on risque de mettre l'équilibre en péril et de brider ce potentiel de création de valeur inédit que représente le croisement des données. Il me paraît donc dangereux de penser que notre stratégie doive consister à empêcher la sortie des données. La gageure est bien plutôt d'éviter que les données qui sortent soient mal traitées. Une stratégie qui, à l'inverse, viserait à promouvoir en Europe un régime de cloud étendu, susceptible d'attirer d'autres pays, comme le Brésil ou l'Inde, serait le moyen de préserver le potentiel de valeur tout en évitant un mésusage des données. La collecte de données publiques ou sur objets connectés, pour leur exploitation en open data et via des mécanismes de croisement, va devenir source de valeur économique et sociale : c'est cela qu'il faut faciliter.
Il convient donc de traiter la question de la gouvernance de l'Internet sujet par sujet, en se méfiant de notre tendance naturelle à revenir vers les cadres traditionnels. Ainsi, l'expression de « souveraineté numérique » peut-elle induire l'idée qu'il faudrait réimposer une territorialisation sur un espace dont le bénéfice principal est d'être transfrontière. Chaque sujet a de multiples dimensions, y compris économique et sociale ; ainsi, le régime de la vie privée ne peut être dissocié de l'économie des données. Or, s'il existe des espaces de discussion pour la gouvernance des infrastructures, il n'est aucun cadre international, mettant en présence l'ensemble des acteurs, pour traiter ces questions. Ce devrait être une ambition majeure pour l'Europe que de contribuer à la discussion en cours, en mettant l'accent non sur la gouvernance de l'Internet mais bien sur les mécanismes de gouvernance de l'Internet. La peur et l'émotion sont mauvaises conseillères : « le pessimisme est d'humeur, l'optimisme est de volonté » disait Alain. Si l'on sait ce que l'on veut obtenir, on le peut. Ne renonçons pas, car l'Europe a, sur ces sujets, son mot à dire.
M. Gaëtan Gorce, président. - Gramsci parlait plutôt de « tempérer le pessimisme de l'intelligence par l'optimisme de la volonté »....
M. Bertrand de La Chapelle - Lequel a copié l'autre ? Il y a débat... (sourires).
M. Gaëtan Gorce, président. - La gouvernance des éléments techniques - noms de domaines, protocoles, gestion des paquets - serait, à vous entendre, satisfaisante dans l'ensemble. Il n'y aurait pas mainmise d'un Etat ou d'une puissance économique sur ces dispositifs. Mais la gestion technique emporte des conséquences juridiques, ainsi que vous l'écrivez vous-même dans un article : l'attribution des noms de domaine a pour conséquence l'application de prescriptions techniques et juridiques. Par définition, c'est le droit américain qui s'applique, sur des territoires et à des citoyens qui se trouvent entraînés dans une logique juridique qui n'est pas la leur, sans que des droits leur soient reconnus. Comment éviter un tel glissement ? Comment l'Europe, ayant défini son niveau de protection, peut faire en sorte que ses règles s'appliquent et que les conflits de droits ne tournent pas à son détriment ?
M. Bertrand de La Chapelle - L'existence d'une instance gérant le nommage a permis une croissance sans heurts de l'Internet, qui compte jusqu'à trois milliards d'utilisateurs. Cela ne veut pas dire pour autant que le système soit parfait. Pour avoir siégé au sein du conseil d'administration de l'ICANN et représenté la France au sein de son conseil gouvernemental, j'estime que le système peut être amélioré sur deux points. Les mécanismes de recours, tout d'abord, restent insuffisants. Un rapport interne a d'ailleurs récemment été publié qui préconise une évolution. Le deuxième sujet de préoccupation tient au rôle de la NTIA (National Telecommunications and Information Administration) dans la chaîne de validation des modifications de la racine. Il est clair qu'une évolution devra intervenir dans les années qui viennent. Les acteurs ont bien conscience que le statu quo ne saurait durer, car faire confiance à la responsabilité d'un seul pays est politiquement et symboliquement difficile vis-à-vis des autres. Mais de fait, cette question a fait diversion, elle a été ce que l'on appelle en anglais un red herring, car elle a focalisé l'attention des acteurs sur un point en apparence fondamental, mais en réalité de peu de conséquence. Car la vraie question, et c'est là que je vous rejoins, n'est pas tant celle du contrôle du gouvernement américain sur les opérateurs que celle de la prévalence du droit américain sur le système et les localisations. C'est le résultat d'un mécanisme cumulatif. Si les Etats-Unis ont réussi à développer l'ensemble de ces opérateurs, c'est grâce à un processus d'investissement de long terme, qui a fait boule de neige. Or, si une stratégie politique peut changer du jour au lendemain, une stratégie construite sur une infrastructure économique ne change pas aussi facilement.
Je le dis au risque de faire bondir la CNIL, quelqu'un qui aurait voulu monter Facebook en France ne l'aurait jamais pu : l'application rigide des règles relatives aux données personnelles ne le lui aurait pas permis. Le sénateur Gattolin, lors d'une précédente audition, demandait si les normes sont susceptibles de freiner l'innovation. C'est bien là le coeur du problème. Si le droit américain prévaut, c'est parce que les opérateurs sont basés aux Etats-Unis. Notre cadre réglementaire doit prendre en compte cet impératif : c'est dans l'économie des données que se créera désormais la valeur. On créera de la richesse en exploitant des données, et je ne pense pas seulement à leur exploitation commerciale, mais aussi à leur valorisation sociale. Si notre architecture normative ne le prend pas en compte, on ne se sera pas attaqué à la racine du problème.
La question de l'harmonisation est, elle aussi, fondamentale. Le projet que je conduis, Internet et juridiction, vise à faciliter le dialogue international afin de dénouer les tensions entre les grandes plates-formes, les grands opérateurs et le patchwork des législations nationales. Internet a été conçu pour être global. Son ADN est prévu pour être, non pas sans frontière comme on l'entend souvent dire, mais transfrontière. C'est ce qui caractérise le réseau, et pose du même coup la question de l'interconnexion de systèmes hétérogènes, et surtout de la coexistence de normes hétérogènes. Harmoniser ? Mais on a déjà du mal à s'entendre entre voisins ! Il s'agit, bien plutôt, de trouver un modus vivendi. Si l'Europe veut devenir une puissance normative, elle doit élaborer un régime qui ait un effet de levier sur des opérateurs tiers. On peut même aller plus loin - voyez la convention cybercriminalité du Conseil de l'Europe, qui entend s'étendre au-delà du périmètre des Etats voisins.
Les conditions d'utilisation (terms of service) des très grandes plates-formes comme Twitter, Google ou Facebook sont devenues très génériques. Inspirées à l'origine par la philosophie du Premier amendement, qui veut que seule la parole réponde à la parole et autorise une liberté d'expression sans limite, elles ont, au cours des cinq dernières années, à cause des frictions que cela entraînait avec d'autres droits, dont le nôtre, intégré des notions qui sont extrêmement proches du droit français. Si des puissances comme l'Europe, les États-Unis, le Brésil, et les grandes plates-formes parviennent à mettre en place, grâce au dialogue, des régimes susceptibles de gérer les conflits normatifs, avec des règles de procédure rigoureuses et conformes aux exigences qui sont les nôtres, alors ces normes se propageront via ces plates-formes, si bien que, paradoxalement, même dans les pays dont le régime est répressif, la protection des citoyens y gagnera. Il y a de facto un intérêt conjoint à faire que les règles européennes induisent une évolution des conditions d'utilisation, qui contribuera ainsi à diffuser les valeurs européennes.
Mme Catherine Morin-Desailly, rapporteure. - Je vous remercie d'avoir mis l'accent sur la notion de souveraineté. Sachez que les questions que j'ai soulevées dans le rapport que vous avez cité n'entendaient ni inciter à un repli sur l'Europe ni ranimer la nostalgie du monde ancien. Craindre l'effacement n'est pas céder à la tentation du repli. Nous avons conscience que nous sommes entrés dans une ère nouvelle. Le nouveau monde économique et social que vous avez évoqué, cependant, se bâtit de telle façon que certains acteurs peuvent devenir monopolistiques. Il est légitime de se poser la question du partage de la valeur. Je vous rejoins quand vous dites que nous devons écrire cette nouvelle page avec d'autres partenaires, comme les Brésiliens ou les Indiens.
Si l'intitulé de cette mission retient les termes de « nouvelle stratégie », c'est que nous sommes à la croisée des chemins et que certains, comme nos amis allemands, mais aussi les Brésiliens, se posent les mêmes questions que nous. Nous sommes au lendemain de la conférence de Montevideo qui a vu, pour la première fois, les membres de l'ICANN s'offusquer de la mainmise américaine sur les organisations dites techniques. Nous n'avons pas le sentiment que l'ICANN gère des questions exclusivement techniques. Vous y avez longtemps siégé, quel est votre sentiment ? Trouvez-vous légitime la revendication d'une gouvernance multiacteurs au sein des organismes gestionnaires ? Vous avez évoqué la nécessité de nouveaux mécanismes de régulation. En avez-vous identifié qui aient des chances d'aboutir au niveau européen et mondial ?
M. Bertrand de La Chapelle - Certains acteurs comme la Russie ou la Chine ont fait de leur segment internet national un cheval de bataille et militent, dans le débat international, pour une reterritorialisation ; d'où la nécessité d'user du terme de souveraineté avec précaution. D'autant que des intérêts économiques non négligeables sont en jeu, et que des opérateurs de cloud peuvent être tentés de pousser leur stratégie. Nos acteurs, nos autorités publiques ne font pas le poids face aux puissances financières de la cybersécurité - les lignes Maginot de l'Internet. Les moyens consacrés à la coopération entre acteurs sont, au regard de cela, infinitésimaux. Certains de mes collègues anglais se battent pour obtenir des autorisations de mission afin de participer aux réunions internationales, quand dans le même temps, les équipes dédiées à la cybersécurité voient décupler leurs effectifs. C'est regrettable !
Avec l'EuroDIG, le forum sur la gouvernance de l'Internet, les Européens disposent d'un instrument de dialogue. J'ajoute que nous organiserons pour la première fois un forum de l'Internet français, le 10 mars, au Conseil économique et social. Il est bon que les acteurs publics encouragent la participation à de tels espaces.
Le partage de la valeur ? Certes, il faut être vigilant sur l'abus de position dominante, mais comprenez bien que le monde numérique est fondamentalement structuré par une loi de puissance : son marché se constitue naturellement, dans chacune de ses tranches, autour de quelques acteurs dominants, et la bataille conduit à intégrer encore davantage, pour obtenir des effets de masse plus importants encore. La question centrale, et qui reste mal maîtrisée, s'agissant de la neutralité du net, est celle des magasins d'applications. C'est là qu'il peut y avoir abus de position dominante, selon qu'ils sont ouverts ou fermés.
Alors que la discussion internationale s'accélère sur ces sujets, des panels ont été constitués - l'un est piloté par le président estonien, Toomas Ilves, l'autre par Vinton Cerf, que vous avez entendu - sur l'écosystème de gouvernance et le futur de la coopération. Ce qui émerge, c'est, tout au contraire de l'idée d'une gouvernance univoque de l'Internet, l'idée que l'on peut développer des mécanismes de coopération renforcée regroupant, sur des sujets bien identifiés, les acteurs concernés - même s'il est vrai qu'ils ne le sont pas tous, selon les sujets, au même degré : dans l'oeuf au bacon, la poule ne fournit que l'oeuf quand le cochon y va de sa peau ! Les réunions comme le Forum sur la gouvernance de l'Internet sont autant d'occasions d'identifier un sujet et de le cadrer. Quand une préoccupation commune a été identifiée, vient le moment de définir en commun une méthode de travail et des objectifs, en se donnant la possibilité de travailler en groupe plus restreint pour rédiger une proposition de recommandation. Tout l'enjeu est de faire en sorte que le groupe multiacteurs soit suffisamment légitime, représentatif des différents intérêts en présence, pour produire une recommandation. Reste enfin posée la question de la validation. La recommandation du Conseil de l'Europe que j'évoquais tout à l'heure a été adoptée par le Conseil des ministres, mais préparée par un groupe multiacteurs de cinq personnes dont je faisais partie.
Telle devrait donc être la méthodologie, même si l'on n'en est encore qu'à un stade embryonnaire : définition d'un agenda, identification des acteurs et constitution d'un réseau de gouvernance par sujet, élaboration d'un projet de recommandation, validation. L'Internet a été construit par un protocole d'interconnexion entre des réseaux hétérogènes ; le world wide web a été construit par un protocole assurant l'interconnexion de bases de données hétérogènes ; nous avons aujourd'hui besoin d'un métasystème et de principes qui permettent l'interopérabilité de systèmes de gouvernance hétérogènes. Il y a beaucoup à inventer, mais je suis confiant et je crois que les choses vont se décanter dans les prochaines années.
M. André Gattolin. - Je viens du monde de la publicité, de la presse et des sondages, et l'analogie que vous avez faite tout à l'heure entre une campagne publicitaire classique et la technique dite de pushing sur Internet m'a fait bondir. Quiconque a lu les quinze pages du formulaire de consentement de GMail - ce qu'évidemment personne ne fait - en ressort édifié. Nos échanges de courriels personnels sont analysés pour y identifier des mots clés qui serviront aux annonceurs. Que je parle dans un mail à ma fiancée de bague, et Google fera apparaître sur mon ordinateur un bandeau publicitaire pour des bagues de fiançailles. Belle confidentialité des échanges ! Pour avoir travaillé au Canada, avec l'hôpital de Montréal, sur un projet de recherche lié à la santé mentale, je puis vous dire que les contrats de consentement liés à la recherche sont autrement protecteurs des droits des individus, et de leurs proches. Même chose, en France, pour les données liées au recensement : on ne peut formuler des requêtes sur des données trop précises, comme le nombre de propriétés de plus de tant d'hectares sur une zone, dès lors qu'elles permettent une identification. Pour moi, la seule enquête légitime sur les données individuelles est l'enquête de police, pour les incriminations de pédophilie, ou de propos antisémites, par exemple. Tout autre chose est d'agréger, de sa propre initiative, des données personnelles comme le font les grands acteurs du web. Si le scandale de la NSA a été possible, ce n'est pas parce que l'Etat américain exerce un contrôle sur les majors de l'Internet, qui se sont, de fait, librement développés, mais parce que la contrepartie à l'évasion fiscale qu'ont organisée ces sociétés a été, pour l'administration fiscale américaine, le privilège de l'information sur certaines données.
Vous nous avez décrit un monde pur et parfait de l'Internet transfrontière, mais faut-il rappeler que la Chine pose plus de barrières qu'on ne croit, et qu'on a vu de grands opérateurs, que vous nous avez décrits comme des héros de la neutralité, se plier à ses exigences...
Certes, il y a une dimension transfrontière de l'Internet, mais quand on atteint les agrégats des utilisateurs, il faut en venir à une fragmentation - pas nécessairement territoriale - si l'on veut que les choses restent gérables, y compris du point de vue technologique. Et je ne sais si l'on pourra longtemps partir des principes de neutralité et d'universalité. Au reste, la culture de l'Internet reste très occidentalo-centrée et dès lors qu'une partie de la planète n'est pas gouvernée selon les mêmes principes, il n'est pas sûr que ce nouveau média termine dans l'état de liberté qui l'a inauguré.
M. Bertrand de La Chapelle - La dernière fois que vous avez signé un contrat d'assurance, vous l'avez intégralement lu ?
M. André Gattolin. - Je suis très pointilleux... (sourires)
M. Bertrand de La Chapelle - Plaisanterie mise à part, vous comprenez ce que je veux dire. Il existe, sur Internet, un système de contrôle des contrats d'adhésion - tel est le terme approprié, car les conditions d'utilisation ne sont pas négociées entre la plate-forme et l'utilisateur. Le mécanisme qui prévaut pour ce type de contrats, comme ceux que l'on signe pour un prêt bancaire, c'est une combinaison de règles de droit assortie d'un contrôle par les associations de consommateurs. Or, je le reconnais, les conditions d'utilisation des plates-formes sont aujourd'hui écrites unilatéralement, sans feed back. On peut les faire évoluer par le rapport de force, mais pas seulement. Lors d'une réunion à Stanford organisée par Internet et juridiction, un intervenant a fait observer que ces conditions d'utilisation sont devenues la loi du territoire numérique transversal qu'est l'Internet. Ce qui, à l'origine, était produit dans les arrières bureaux des départements juridiques de ces sociétés et ne se voulait qu'un parapluie - l'anglais parle de « cover your ass policies » - est devenu la Constitution de nos espaces transnationaux, qui couvre des millions d'utilisateurs. C'est, à mon sens, par un mixte de pression et de dialogue que l'on influera sur ces instruments, qui, régissant l'essentiel de l'activité sur Internet, peuvent être un outil d'harmonisation.
Je suis d'accord avec vous, l'exploration des échanges de mails doit faire l'objet d'une régulation, assortie de sanctions en cas de manquement avéré. Mais eu égard à la diversité des données échangées, les régimes de protection méritent, comme je le disais tout à l'heure, d'être différenciés.
M. André Gattolin. - Les postes canadiennes viennent de décider la suppression de la distribution du courrier... Si l'on ne dispose plus, un jour, que des mails comme mode d'échange interpersonnel, il faudra être plus que vigilants !
M. Bertrand de La Chapelle - Vous avez parlé de fragmentation. Ce terme est de ceux dont le sens est devenu très flou. La taille du cyberespace devient telle que l'on en viendra, j'en suis convaincu, à une structuration en termes de scripts, autour de grandes plates-formes, selon la nature des caractères - chinois, arabes, cyrilliques, romains... Et cette structuration ne sera pas une fragmentation si chacun peut aller, sans exclusive, dans chacune des parties.
M. Gaëtan Gorce, président. - Il me reste à vous remercier. Je me tourne à présent vers M. David Martinon. Nous aimerions savoir à quel point nous en sommes dans la négociation internationale. Comment faire pour que soient respectées les règles de confidentialité auxquelles nous sommes attachés ? Que peut proposer l'Europe à la Conférence de Sao Paulo ?
M. David Martinon, représentant spécial pour les négociations internationales sur la société de l'information et l'économie numérique. - Le tableau que vient de dresser Bertrand de La Chapelle est exhaustif, et je n'y reviendrai pas, sinon pour dire que je n'en tire pas nécessairement les mêmes conclusions que lui. Il est cependant un sujet sur lequel je le rejoins. Lorsque nous avons préparé la séquence de négociation qui s'ouvre pour quelque dix-huit mois, nous avons entrepris, pour essayer d'en étendre les objectifs, de partir des problèmes qui nous concernent en tant qu'État - sécurité, ordre public... Nous nous sommes donc attachés aux questions touchant la cybercriminalité, la cybersécurité, le blanchiment... Leur problématique commune est celle des données personnelles. Ainsi, en matière de cybercriminalité, la question est-elle de savoir dans quelles conditions les Etats peuvent, via la Convention de Budapest, dont nous souhaitons l'universalisation, avoir accès à ces données, susceptibles de constituer des faits générateurs de phénomènes délictuels, donc des preuves. C'est la même problématique qui joue au travers de la Convention 108 du Conseil de l'Europe. Le statut des données personnelles n'est pas le même en Europe, dans la zone Asie-Pacifique ou aux Etats-Unis. Comment faire face à cette diversité, qui borne, d'ailleurs, notre mandat de négociation ? En tout état de cause, L'Union européenne ne pourra parler haut, sur la scène internationale, de la question de la protection des données personnelles, tant qu'elle ne sera pas parvenue, en son sein, à un consensus. Que le paquet « données personnelles » soit toujours en négociation nous met en situation de fragilité.
Considérez ce que je vais vous dire comme de simples pistes de réflexion, qui n'ont pas encore reçu la sanction interministérielle. Les mois à venir vont être jalonnés par les réunions de l'ICANN, le forum sur la gouvernance de l'Internet, le sommet de Sao Paulo, les réunions de l'Union internationale des télécommunications (UIT), et les dix ans du sommet mondial pour la société de l'information.
Comme vous, nous estimons, au sein du ministère des affaires étrangères, comme au ministère du redressement productif et dans quelques autres, que si les décisions, en matière de gouvernance, sont techniques, elles n'en ont pas moins une portée politique et économique majeure. Je partage le constat de Bertrand de La Chapelle sur les interrogations que soulève le fonctionnement de l'ICANN, mais présenterai les choses autrement. La prégnance des Etats-Unis sur l'institution, tout d'abord, via la maîtrise des outils techniques, est une réalité. L'ICANN étant une société à but non lucratif devrait être responsable devant une assemblée, ce qui n'est pas le cas dans les faits, puisqu'elle n'est pas une société d'actionnaires. Le conseil d'administration de l'ICANN joue de ce statut mixte, qui lui permet de n'être responsable devant aucune instance.
Certes, le bilan de l'ICANN, même si l'on ne dispose pas de point de comparaison, est remarquable, et elle a mené un effort continu pour créer des systèmes d'évaluation et de contrôle, mais cette question de la responsabilité reste posée. Or, ce qui garantit la responsabilité dans nos sociétés démocratiques, c'est la sanction de l'élection. Nous estimons que le poids des États au sein de l'ICANN n'est pas à la mesure de leur poids dans l'économie réelle et de l'état du droit international.
Cependant, étant entendu que les États-Unis gardent la maîtrise des évolutions, il est clair que certains scénarios sont exclus. Il en est ainsi de celui qui tendrait à placer l'ICANN sous tutelle d'une organisation de type onusien, tentation que je ne partage pas, mais qui existe en France et dans d'autres Etats. On n'y arrivera pas, parce que les Etats-Unis, qui voient l'IUT comme un repoussoir et suspectent toute organisation onusienne de lourdeur et de bureaucratie, s'y refusent.
La France, comme ses partenaires européens, reconnaît l'efficacité et la légitimité du modèle multiacteurs consacré par le sommet mondial pour la société de l'information. Au reste, plutôt que de modèle, il serait plus juste de parler d'approche. Ainsi, de même qu'il y a de l'intergouvernemental dans l'ICANN, il y a du multiacteurs dans l'IUT, qui compte 700 entreprises parmi ses membres, lesquelles font aussi la politique des Etats. En France, le Conseil national du numérique est associé aux décisions. L'approche multiacteurs va de pair avec la démocratie, et se sophistique avec elle.
Il y a, dans la négociation en cours, plusieurs agendas. Celui de l'Europe, qui veut plus de poids des Etats au sein de l'ICANN, et plus de responsabilité. Celui des Etats-Unis, qui, balançant entre le maintien du statu quo et la conscience des évolutions qu'appelle la mise au jour du programme de surveillance de masse de la NSA, sont soucieux de réaffirmer leur attachement à la transparence.
M. Gaëtan Gorce, président. - Que peut-on attendre de la discussion avec nos partenaires américains sur ce sujet ?
M. David Martinon. - Les Américains ne sont pas encore clairement déterminés. Ils ont conscience qu'ils doivent faire des pas, sachant ce qu'ils ont à perdre. Ils entendent conforter le modèle multiacteurs, le discours du secrétaire adjoint au commerce en témoigne. Nous leur répondons que s'ils veulent faire la preuve de l'efficacité de ce modèle, ils doivent accepter de couper le cordon ombilical avec l'ICANN. Nous militons pour que soit revu le lien entre le département du commerce et l'ICANN pour la fonction d'enregistrement des noms et des nombres dans la racine. C'est là une revendication symbolique - car le département du commerce américain n'a jamais fait, à une exception près, un usage égoïste de sa relation privilégiée avec l'ICANN - mais que rend nécessaire l'exigence internationale de confiance et de légitimité. Les fonctions de supervision de la racine devraient être confiées à une autre instance. La discussion se jouera à trois, car l'ICANN aussi a son agenda, qui vise la « globalisation » de la fonction IANA (Internet Assigned Numbers Authority). Si j'use de cet anglicisme, c'est que traduire le terme de globalization utilisé dans le communiqué de Montevideo par celui d'internationalisation serait méconnaître les intentions réelles de ses auteurs, qui visent la dévolution de cette fonction à une ICANN libre et indépendante du gouvernement américain. Nous y regardons de très près, car nous ne pourrions admettre que les décisions d'enregistrement, qui ont des conséquences jusque sur le « .fr », se trouvent entre les mains d'une ICANN où ne serait pas levée l'hypothèque de la responsabilité.
Nous voulons une plus grande influence des Etats au sein de l'ICANN et espérons, sur ce point, des progrès. Le comité consultatif des gouvernements n'est pas assez professionnalisé et reste trop éloigné des mécanismes de décision. Le président du comité est bien membre du conseil d'administration, mais il n'a pas voix délibérative, et rien n'oblige le conseil à entériner les avis, même consensuels, du comité. Au sein des organisations internationales, les gouvernements ne sont guère habitués à n'être que consultés...
Nous souhaitons, enfin, que l'ICANN poursuive son effort de transparence et que sa responsabilité puisse être engagée.
M. Gaëtan Gorce, président. - Où en est la négociation sur la question du transfert des données ?
M. David Martinon. - La position européenne, je l'ai dit, peut difficilement être agressive. Sur le Safe Harbor, nous avons décidé de ne pas réouvrir, pour l'heure, la négociation. En revanche, les treize recommandations de la Commission, dont celle qui concerne l'absence de droit de recours aux Etats-Unis, sont en cours de discussion au sein de l'Union européenne.
Une autre négociation sur les données personnelles s'engage au sein de l'ICANN, autour du New directory of services. Il s'agit de compiler l'ensemble des données relatives aux personnes ouvrant des sites Internet, le projet de l'ICANN étant d'harmoniser les règles et de créer une grande base de données, idée qui nous fait craindre des conflits de normes et pose problème aux Etats-Unis, qui redoutent une fragilité du système.
Mme Catherine Morin-Desailly, rapporteure. - Merci de ces détails sur le fonctionnement de l'ICANN, car nous n'avions pas obtenu de réponse claire à Bruxelles. Vous avez évoqué la cybersécurité et le blanchiment, en relevant que ces grandes questions ramenaient toujours à celle, fondamentale, des données. Quels autres sujets méritent d'être soulevés ? Quelle est votre appréciation sur l'organisation du travail à Bruxelles ? Nous avons perçu, lors de notre déplacement d'hier, que le sujet devenait plus stratégique qu'il y a un an, et qu'au delà de la DG Connect, le Service européen d'action extérieure (SEAE) commençait à s'intéresser au sujet. Voyez-vous se dessiner une position commune ?
M. David Martinon. - Je crois à la méthode qui consiste à partir des problèmes pour rechercher les moyens de les résoudre. Dès lors que les grands textes internationaux ont consacré l'idée d'un alignement des règles de droit en ligne sur les règles existantes, la loi des Etats souverains compte au premier chef. Pour avoir été conseiller diplomatique du ministre de l'Intérieur, je puis vous dire qu'en matière d'escroquerie, de pédopornographie, de prostitution, de trafic de stupéfiant, l'impératif est d'aller vite. Quand ces délits ont leur origine à l'étranger ou peuvent y avoir des conséquences, il faut dialoguer avec des Etats souvent fragiles, qui ne disposent pas des mêmes infrastructure de surveillance que les nôtres. Alors que les malfaiteurs disparaissent vite dans le darknet, les autorités ont besoin de figer les preuves et de les utiliser via des commissions rogatoires internationales. C'est l'éternelle histoire du gendarme et des voleurs. La Convention de Budapest, qui a créé des points de contact permanents, a apporté un progrès substantiel. Lorsque la police a besoin, pour préparer un dossier d'interpellation, de figer les preuves, elle en a les moyens. Reste que la course est permanente. Les bandits cherchent toujours à prendre une longueur d'avance. Comme après les tractions avant de la bande à Bonot, la police doit courir après des malfaiteurs qui utilisent des technologies inédites.
La France a la chance de disposer d'un réseau diplomatique et policier à l'étranger, qui a permis à la police et à la gendarmerie nationales de créer des réseaux de confiance dans nombre d'Etats. Quand les données d'une affaire constatée à Paris sont localisées au Bénin, la PJ a les moyens d'obtenir des informations. Ce qui reste fondamental, aujourd'hui comme hier, c'est la relation de confiance qui peut s'établir, au-delà des frontières, entre policiers, entre magistrats.
Le blanchiment ? Il prend des proportions formidables avec la montée en puissance des monnaies virtuelles, comme le bitcoin. Un casino de Las Vegas a même décidé de l'accepter. Imaginez ! Cela démultiplie les possibilités de blanchiment.
Nous avons l'habitude de travailler avec la DG Connect. On m'a dit que les relations n'avaient pas été très bonnes lors de la conférence de Dubaï, ce n'est pas ce que j'ai constaté. Les pays de l'Union européenne partagent les mêmes objectifs, hormis deux ou trois d'entre eux, qui entretiennent des relations... privilégiées avec les Etats-Unis. Il est exact que le SEAE tente, depuis quelques semaines, de s'intéresser au sujet et cela est légitime, car ces discussions ont un caractère éminemment stratégique. Nous n'y voyons, pour notre part, que des avantages. Ce service est en train de se rendre compte que l'agenda de la gouvernance est autre chose que celui de la cybersécurité. Cela exige, de sa part, un apprentissage.
M. Gaëtan Gorce, président. - Comment faire évoluer les relations juridiques entre l'Union européenne et les Etats-Unis pour permettre aux citoyens européens d'accéder aux juridictions américaines ? Comment s'assurer, par des mécanismes de médiation, voire de coopération judiciaire, que les entreprises américaines qui gèrent des données européennes ne se trouvent pas dans des situations de conflits de droits ? Les choses sont-elles susceptibles d'avancer ou le retard pris sur le règlement européen nous condamne-t-il au statu quo ? La réflexion n'est-elle pas susceptible de s'accélérer à la suite de l'affaire Snowden ?
M. David Martinon. - Pour le citoyen européen, l'accès aux cours américaines est difficile. Les frais de justice sont élevés et le jeu des avocats est de faire durer les affaires. Les États-Unis observent de près la Convention 108 du Conseil de l'Europe, dont nous voulons l'universalisation parce que les principes qu'elle consacre sont les nôtres. Nous craignons qu'ils ne s'efforcent de dégrader ces principes, comme en ce qui concerne la Convention de Budapest. Bertrand de La Chapelle serait mieux placé que moi pour vous répondre.
M. Bertrand de La Chapelle. - Nous avons, pour les enquêtes criminelles ou l'identification de données personnelles dans les procédures de law enforcement, le choix entre deux voies. Celle des relations de confiance entre la police et les grandes plateformes, efficace, mais qui pose la question des garanties procédurales (due process) et de la transparence, ou celle des traités d'assistance mutuelle, très rigoureuse dans la procédure, mais très longue - entre l'Inde et les États-Unis, le délai moyen pour obtenir réponse à une requête des services de police est de vingt-quatre mois. On ne peut accepter que toutes les requêtes soient traitées par le pays de réception, c'est-à-dire, de fait, les États-Unis. Il convient d'établir des mécanismes alternatifs de règlement des conflits. Se pose, cependant, la question de l'autorité d'arbitrage. Dans le cadre de la procédure de l'UDRP (Uniform Domain-Name Dispute-Resolution Policy) pour les conflits de cybersquatting de noms de domaine, une cour américaine au moins a contesté le caractère arbitral d'une décision du panel de l'UDRP et a donc refusé l'application de la convention de New-York sur la reconnaissance des décisions arbitrales. Cela faciliterait les choses qu'un mécanisme entre arbitrage et médiation permette la conciliation de droits dans des cas spécifiques, même si cela pose diverses questions de mise en oeuvre.
Mme Catherine Morin-Desailly, rapporteure. - Vous avez dit tout à l'heure qu'il ne fallait pas négliger le bénéfice économique et social de la mutation numérique. Mais pour qu'il y ait bénéfice, encore faut-il que l'Internet soit libre et ouvert ; or, c'est tout autre chose qui semble se dessiner. Sur la neutralité du Net, nos conceptions diffèrent de celles des Américains. Quand les entreprises extra-européennes multiplient les services, captant l'activité économique et mettent en place des systèmes écopropriétaires, où est pour nous le bénéfice ? Et quel bénéfice social nous laissent leurs stratégies d'optimisation fiscale ?
M. Bertrand de La Chapelle. - Ce dernier sujet est distinct de la question de la création de valeur sociale et économique, il concerne la répartition de la valeur.
Depuis deux cents ans, le débat sur les politiques économiques et sociales repose sur une unique question, celle du partage de la valeur ajoutée entre le capital et le travail. Les partis politiques donnent alternativement des coups de barre d'un côté ou de l'autre. C'est qu'il faut à la fois distribuer du pouvoir d'achat et rémunérer l'investissement. Le passage au numérique permet de maximiser les bénéfices, en vertu de la règle de la multiplication des biens numériques. Deux internautes qui échangent une chanson, cela fait, dans le monde numérique, quatre fichiers de chanson. La logique est la même pour les bases de données. Leur combinaison peut créer de la valeur - ou en détruire, à l'inverse, si l'on fusionne une base saine et une mauvaise base.
Comment maximiser la valeur créée par la mise en commun des infrastructures et des données ? Quel est l'équilibre entre la part sociale et la part économique dans le partage de la valeur ? Tels sont les termes du débat politique de demain. L'Internet bouleverse la donne. Pour l'éditeur de l'Encyclopédia Universalis, le numérique n'est pas une bonne nouvelle économique. En revanche, le bénéfice social de Wikipédia est immense. C'est la logique de l'open data. Mais si un jour, une plate-forme décidait de consacrer 20% de son bénéfice au prorata de l'audience des posts qui y sont envoyés, elle enclenchera un cercle vertueux de création de valeur.
Autre chose est la question de la fiscalité. Certes, l'optimisation fiscale existe, mais reconnaissons aussi que les Etats se sont livrés à un véritable dumping.
Sur la question de la neutralité du Net, pourquoi ne pas mettre les acteurs autour de la table pour, dans un débat construit qui ne passerait pas par la pression fiscale, décider collectivement de la manière de développer l'infrastructure ? Les opérateurs ont intérêt à ce que le réseau se développe. Si le dialogue s'engage sur la création d'une valeur commune, les contributions viendront car elles alimenteront une boucle fermée. On touche là à un principe fondamental, celui de la non affectation des ressources fiscales. Mettre tout dans un pot commun, c'est favoriser la création et la distribution de valeur.
M. Gaëtan Gorce, président. - Il me reste à vous remercier pour ce riche débat.
Audition de M. Jérémie Zimmermann, porte-parole de l'association « La Quadrature du net »
M. Gaëtan Gorce, président. - Monsieur, merci d'être parmi nous. Vous êtes porte-parole de l'association La quadrature du net, fondée en 2008, qui vise à la défense des droits et libertés des citoyens sur Internet. Nous avons parlé de souveraineté numérique, mais M. de La Chapelle nous a mis en garde contre cette notion ; nous pourrions, en prenant la question à l'envers, parler de colonisation numérique dès lors qu'un Etat impose son droit hors de son territoire.
Il est très utile qu'une association comme la vôtre soit entendue. Nous vous écoutons, avant de vous poser quelques questions.
M. Jérémie Zimmermann. - Merci pour cette invitation. C'est un honneur de se faire interroger sur ces sujets. Je voudrais faire observer qu'alors que le Sénat se penche sur le sujet de la gouvernance de l'internet, le Conseil d'Etat a annoncé qu'il consacrait son étude annuelle 2014 aux technologies numériques et aux libertés et droits fondamentaux. C'est peut-être le signe d'une prise de conscience politique.
Le mot « gouvernance » m'horripile. C'est une arlésienne qui resurgit depuis sa définition en 2005 par le Sommet mondial de la société de l'information : « l'élaboration et l'application par les États, le secteur privé et la société civile, dans le cadre de leurs rôles respectifs, de principes, normes, règles, procédures de prise de décision et programmes communs propres à modeler l'évolution et l'utilisation de l'Internet ». Mais le terme de « multistakeholderism », devenu une sorte de religion dans certains milieux de l'internet, m'irrite encore plus ! Il s'agit de termes creux, de mots-valises qui neutralisent le débat. Les vraies décisions ne se prennent pas à l'Internet Gouvernance Forum (IGF) créé en 2005, où se réunissent acteurs publics, acteurs privés, société civile. Google y a une voix, au même titre que les citoyens, alors que cette société n'a pas de carte d'électeur... Or les questions de gouvernance concernent tous les citoyens et les décisions qui ont un impact sont multiformes, multicercles et subtiles à percevoir.
Ainsi, les décisions d'ordre technique sont prises par l'IETF et le W3C, organes de standardisation, or elles ont un impact réel sur l'internet au jour le jour, sur la structuration du réseau (comme l'intégration des mesures techniques de restriction d'usage dans la norme html, discutée au W3C). On peut aussi évoquer les décisions d'ordre économique, comme la structuration d'internet sur le continent africain autour d'un accès quasiment exclusivement mobile. Enfin, des décisions politiques sont prises aux plans national, ou européen, mais n'ont jusque là jamais été prises à l'échelle mondiale.
Cette diversité de formes de prises de décisions, jointe à la diversité des acteurs, rend votre tâche ardue : il est difficile de faire un état des lieux objectif pour que le politique tente de peser sur cette fameuse gouvernance. Je voudrais d'abord présenter les menaces que nous avons identifiées, avant d'insister sur les valeurs à défendre.
Les menaces sont doubles : elles concernent à la fois les libertés sur internet et la structure du réseau. Ces menaces découlent pour certaines de décisions politiques : la Chine sélectionne les termes qui seront accessibles en ligne et impose aux entreprises de consentir à l'accès des autorités à leurs données, ce qui, à cette échelle, a un impact déterminant. Mais des dispositifs de censure se développent hors de Chine, du Pakistan ou de l'Iran, notamment dans les démocraties occidentales. Ainsi, la LOPPSI en 2009 a instauré une censure administrative, empêchant l'accès à des ressources qui continuent d'exister sur le réseau, au nom de la lutte légitime contre la pédopornographie, étendue ensuite à l'encontre des casinos ne payant pas leurs impôts en France, peut-être bientôt aux entreprises de divertissement et aujourd'hui au système prostitutionnel. Il s'agit souvent d'un renoncement du politique qui confie à des acteurs privés des missions qui relèvent de la police ou de la justice, au nom d'une prétendue auto-régulation voire d'une déontologie comme on le disait du temps du Forum des droits sur l'internet. Au nom de la lutte contre la contrefaçon, une société comme Youtube s'apparente à une justice privée : des robots chassent les images détenues par telle ou telle entreprise pour suspendre ces contenus voire le compte d'un internaute. Même s'il existe une exception au droit d'auteur pour parodie, cela n'a pas empêché la suppression de vidéos parodiques postées par la Quadrature du net à des fins politiques. Ainsi, par voie contractuelle et en lien avec les industries du divertissement, on admet une surveillance de plus en plus large. Ces mécanismes de censure privée peuvent même résulter de décisions politiques, comme cela aurait pu être le cas si la pression populaire n'avait pas étouffé les propositions de lois américaines antipiratage SOPA (Stop Online Piracy Act) et PIPA (Protect Intellectual Property Act) ainsi que le traité ACTA. On s'attend à ce que la future loi « création » annoncée par le Gouvernement qui devrait étendre les compétences du CSA sur internet, reprenant les conclusions du rapport Lescure, fonde une spécificité française autorisant les entreprises privées à se livrer à des missions de surveillance. Cette tendance lourde renforce le pouvoir de ces entreprises, ce qui est inquiétant.
Mais si l'on a échappé au filtrage de masse, des atteintes à la neutralité du net se multiplient - nous les avons documentées depuis plus de cinq ans - quand des décisions d'opérateurs télécoms sont prises pour bloquer l'accès à certains services de vidéos ou prioriser certains flux ou quand les opérateurs s'entendent pour vendre des minutes de voix internationales plutôt que faciliter l'accès à la voix sur IP.
On voit aussi une tendance à contrôler les outils de communication. Les révélations d'E. Snowden montrent que la NSA consacre 250 milliards de dollars par an au programme Bullrun pour saboter les technologies de sécurisation de l'internet (protocoles et dispositifs physiques de chiffrement, routeurs, systèmes d'exploitation grand public...). De plus, depuis une quinzaine d'années, les logiciels fermés se multiplient, de même que les matériels fermés (dont on ne peut même pas enlever la batterie pour s'assurer qu'ils ne sont plus connectés aux réseaux), et les plateformes hypercentralisées dont le modèle économique est de savoir tout sur tous tout le temps. Et tout cela ne profite qu'à un seul pays, dont les facultés de surveillance sont utilisées pour pratiquer l'espionnage à échelle industrielle. Selon une étude récente de la New America Foundation, seuls 3 % des attentats terroristes ont été déjoué grâce à cette surveillance de masse.
Cette tendance à orienter les technologies pour plus de contrôle a eu un impact profond et silencieux jusqu'aux révélations l'an dernier d'E. Snowden. Il faut donc en finir avec le mythe du multi-acteurs et se concentrer sur les valeurs universelles à défendre sans compromis : libertés fondamentales, universalité de l'accès et de la capacité de participation, ouverture et maîtrise des technologies par les citoyens (logiciel libre, infrastructures décentralisées, chiffrement point à point), partage des connaissances... Sur ce fondement, le politique peut prendre des décisions et guider les comportements.
La gouvernance de l'internet ne peut qu'être l'affaire des internautes et des « trustees », qui sont des dépositaires de confiance et dont on peut se demander s'ils sont des acteurs privés ou publics et s'ils doivent interagir. Nous devons défendre l'internet comme le bien commun de ses utilisateurs : ce sont eux les « stakeholders » qui doivent être au centre, sous peine de transformer internet en instrument de contrôle.
M. Gaëtan Gorce, président. - J'ai bien entendu votre propos. Mais n'y aurait-il pas tout de même une singularité dans le traitement français et européen de ces problématiques ? Vous estimez que les citoyens doivent être au coeur du réseau, mais comment la valeur ajoutée sera-t-elle créée si l'on interdit aux entreprises de traiter leurs données, par exemple par des systèmes de cryptage privés ?
M. Jérémie Zimmermann. - Pour ce qui est des institutions européennes, il faut d'abord réformer radicalement le Conseil ! La société civile est très peu représentée à Bruxelles, au contraire des grandes entreprises, notamment du secteur du divertissement. Leur influence se répercute ensuite sur chaque État membre, comme on a pu le voir avec l'évolution de la règlementation sur la copie privée. La commissaire européenne chargée de la société numérique, Mme Nelly Kroes, n'a pas particulièrement brillé dans l'audition qui a précédé sa nomination. Les engagements sur la neutralité du Net qu'elle y avait pris se sont traduits par un projet de règlement qui, en recherchant le compromis, ne satisfait personne. Aussi ne sait-on plus très bien aujourd'hui quel organe européen il faudrait privilégier ...
Le modèle économique actuel, qui repose sur des entreprises faisant l'objet d'une importante valorisation boursière, consiste véritablement à « tondre » les données des citoyens, dont la valeur va continuer d'augmenter avec leur affinement progressif. Cette approche n'est pas inéluctable dans la mesure où les utilisateurs en sortent perdants, ce dont ils finiront par s'apercevoir. L'article 20 de la dernière loi de programmation militaire va d'ailleurs contribuer à dégrader un peu plus leur confiance.
Il existe des alternatives à ce modèle dominant, que l'Union européenne devrait promouvoir. Les logiciels libres et l'architecture décentralisée nécessitent toutefois un accompagnement personnalisé. Il serait par ailleurs opportun d'adopter le nouveau règlement sur la protection des données personnelles. Une économie basée sur les services et respectueuse des libertés individuelles pourrait émerger et constituer un débouché majeur pour des entreprises situées sur nos territoires et respectueuses de ces valeurs.
M. Gaëtan Gorce , président. - Mais ne pensez-vous pas, comme l'a souligné un intervenant précédent, que Facebook n'aurait jamais pu être créé dans notre pays ?
M. Jérémie Zimmermann. - En effet, mais cela est dû à la règlementation européenne. Suite à un procès, un étudiant autrichien a obtenu de Facebook la communication de 500 Mo de données qui auraient dû être effacées. L'affaire Prism montre que l'accord Safe Harbor a été violé. Facebook a été financé par des fonds de pension américains liés à la CIA ; c'est dire qu'il a été pensé comme un véritable instrument de renseignement.
Un informaticien toulousain, Emmanuel Benazera, a cherché à mettre au point un moteur de recherche décentralisé. Son projet, baptisé Seeks, n'a fait l'objet d'aucun soutien public, et se trouve quasiment abandonné. Il aurait pourtant pu aboutir à la création d'un instrument de recherche alternatif à Google.
Mme Catherine Morin-Desailly, rapporteure. - Faut-il selon vous inscrire le principe de neutralité du Net dans la loi ? À quel niveau : national, européen ou international ? Que pensez-vous des propositions faites par l'Autorité de régulation des communications électroniques et des postes (Arcep) à ce sujet ? Et de celle de la commissaire Nelly Kroes ?
Vous avez évoqué des organismes comme l'IETF et le W3C, que vous avez qualifiés de techniques. N'y a-t-il pas cependant une mainmise des États-Unis sur leur fonctionnement ? Ne faudrait-il pas réviser les statuts de l'Icann pour lui donner davantage d'indépendance ?
M. Jérémie Zimmermann. - Les politiques doivent défendre nos libertés fondamentales. Le respect de la neutralité du Net en fait partie ; ils doivent à ce titre la protéger absolument. Dans sa décision n° 2009-580 DC du 10 juin 2009, relative à la loi favorisant la diffusion et la protection de la création sur Internet, le Conseil constitutionnel a consacré la liberté d'accéder aux services en ligne comme une composante de la liberté d'expression. Défendre celle-ci, c'est également défendre l'innovation et la concurrence.
Les acteurs du secteur des télécoms ont changé de stratégie. Ils ont d'abord tenté de limiter les communications entre utilisateurs, puis ont cherché à obtenir de Google le paiement d'une contribution pour l'usage des réseaux et données. La formule Red de SFR, offrant 5 Go de communications mensuelles, ainsi qu'un usage illimité de You Tube, constitue un exemple de discrimination : l'accès à un éditeur de services spécifique est priorisé par rapport à l'accès au réseau Internet en général.
Certains pays ont inscrit la neutralité du Net dans la loi ; c'est le cas des Pays-Bas, de la Slovaquie ou du Chili. Les propositions avancées par la commissaire Nelly Kroes sont insuffisantes, et même contradictoires. Ainsi, le paragraphe 5 de l'article 23 de son projet de règlement interdit aux fournisseurs de services d'accès à l'Internet de ralentir, dégrader ou traiter de manière discriminatoire les contenus, applications ou services qu'ils acheminent, tandis que le paragraphe 2 les autorise à conclure des accords avec les fournisseurs de ces contenus, applications ou services les limitant à un niveau de qualité de service défini ou à une capacité dédiée. Aussi appelons-nous à supprimer cette disposition, et à tout le moins à la modifier.
L'Europe constitue la bonne échelle d'intervention pour ce qui est de la neutralité du Net, mais rien n'empêcherait notre pays de compléter son action. Le projet de loi annoncé sur les libertés sur Internet y pourvoira peut-être.
Les propositions émanant de l'Arcep sont intéressantes, mais la récente décision rendue par la justice américaine dans l'affaire opposant l'agence américaine de régulation des communications, la FCC, à l'opérateur Verizon, a montré que les géants du Net ne se laisseraient pas intimider par les autorités nationales. Le dispositif législatif américain n'a pas fonctionné car il était dépourvu de sanctions, preuve qu'une loi en ce domaine devrait impérativement être assortie de dispositions coercitives.
Les organes de standardisation de l'Internet sont étroitement encadrés par la NSA, sous prétexte de préoccupations techniques, comme cela a été le cas pour l'IPsec (Internet Protocol Security). Il faudrait donc davantage prendre en compte la nature politique de ces standards. La transparence est aujourd'hui assez forte sur leur procédure d'élaboration et de révision, mais ils ne sont pas immunisés contre un tel interventionnisme.
S'agissant de l'Icann, nous attendons avec impatience le logiciel libre et l'architecture décentralisée qui permettra de nous en débarrasser. Cette structure, dont l'activité est devenue commerciale, et qui centralise des ressources rares, n'est plus digne de confiance. Elle n'a pas réagi, par exemple, suite à la saisie par le gouvernement américain de plus de 70 noms de domaine, dont celui du site espagnol Rojadirecta.
GNUnet, un réseau informatique non centralisé et d'usage libre, est en plein essor. Le GNU Name System (GNS) pourrait remplacer à terme le système de noms de domaine (DNS), comme tend à le croire Louis Pouzin.
M. Gaëtan Gorce, président. - Nous vous remercions. Entendre La Quadrature du Net nous a paru nécessaire, et même indispensable, dans ce débat. Pour ma part, je serais prêt à affecter une partie de la réserve parlementaire au financement du projet de moteur de recherche alternatif que vous avez évoqué !
Audition de M. Mathieu Weill, directeur général de l'association française pour le nommage Internet en coopération (AFNIC)
M. Gaëtan Gorce, président. - M. Mathieu Weill, je vous remercie d'avoir répondu à notre invitation. Vous êtes directeur général de l'association française pour le nommage Internet en coopération (AFNIC). Il serait utile que vous nous expliquiez de manière concrète les missions de votre organisme : comment attribuez-vous les noms de domaine ; quel est le rôle de l'ICANN dans la délégation qui vous est confiée ; quelles en sont les conséquences dans le mécanisme de décision ?
M. Mathieu Weill, directeur général de l'AFNIC. - Je vous remercie pour votre introduction et je vais vous décrire le rôle de l'AFNIC en commençant tout de suite par dire que nous ne sommes pas des agents de l'ICANN. Comme l'ensemble de nos homologues, l'AFNIC est gestionnaire du « .fr », de la même manière que le « .de » en Allemagne et le « .uk » en Grande-Bretagne sont sous le régime de « trustees », c'est-à-dire de dépositaires de la confiance des parties prenantes de chacun de leurs pays pour gérer des ressources communes dans l'intérêt général. En France, cette mission a été reconnue comme une mission de service public.
L'AFNIC est une association « loi 1901 » qui opère dans un univers concurrentiel avec des entreprises comme Verisign. Nous sommes à mi-chemin entre une entreprise et une association avec un objet atypique. Notre organisation est multipartite dès sa création, l'INRIA et l'État étant autour de la table du conseil d'administration, lequel comprend des représentants du secteur public, du secteur privé et des utilisateurs. Nous développons également des coopérations avec nos homologues, principalement en Afrique de l'ouest.
Les décisions opérationnelles sont prises dans un cadre multipartite dans le respect de la loi française, à l'inverse d'une autre approche du multipartisme qui chercherait à inscrire la loi des parties au-dessus des législations nationales. Notre mission de service public est de développer le « .fr », qui comprend environ 2,5 millions noms de domaine, face au « .com » qui demeure leader, y compris en France. Or le fait d'être enregistré en « .com » donne un point d'appui à la juridiction américaine.
Sur le plan technique, nous gérons un parc de serveurs dans le monde pour assurer la continuité de service du « .fr » quasiment toutes les millisecondes. Nous ne touchons pas au contenu mais assurons un aiguillage des noms de domaine vers les serveurs sur lesquels ils sont hébergés.
Notre action juridique n'est pas négligeable du fait des conflits fréquents affectant l'attribution des noms de domaine. Par exemple, des collectivités se trouvent privées de l'usage de leur nom et cherchent à le récupérer dans le cadre des facilités accordées par la loi.
Parallèlement, nous gérons une base de données enregistrée en France qui demeure une des plus protectrices au monde car, contrairement au « .com », les données des personnes privées enregistrées en « .fr » ne sont pas publiées. Celles-ci ne sont communiquées aux autorités françaises que sur la base d'un fondement légal, donc ni au FBI, ni à la NSA, et aux ayant-droits uniquement, s'ils apportent la preuve que le nom de domaine constitue une atteinte à leur propre droit.
Le point fondamental de notre mission est donc d'apporter un service sûr et stable, de soutenir l'innovation sur Internet et d'accompagner les acteurs français de l'écosystème national.
Dans ce but, nous investissons plus de 10 % de notre chiffre d'affaires en R&D. Le sujet du moment est l'Internet des objets. Il s'agit de tirer les leçons des difficultés rencontrées dans le développement de l'Internet pour aborder cette nouvelle révolution en respectant les nouveaux équilibres. Ainsi, nous travaillons sur des standards de traçabilité des objets pour éviter que toutes les informations remontent à des serveurs aux États-Unis à partir des serveurs européens. Nous étudions également les racines alternatives, comme celles pilotées par Louis Pouzin que vous avez auditionné. Cette démarche est intéressante, mais se heurte à l'écueil classique pour tout support de communication partagé par le plus grand nombre : il est difficile de faire concurrence au système actuel de nommage « DNS », quelle que soit la qualité de la technologie, car ce dernier est diffusé auprès de milliards d'utilisateurs.
Sur l'accompagnement des acteurs français, nous avons discuté au sein de l'AFNIC de l'opportunité de développer de nouvelles extensions de noms de domaine. Aussi avons-nous pris la décision d'assister techniquement les cinq collectivités territoriales françaises qui se sont lancées : les « .paris », « .bzh », « .alsace », « .corsica » et « .aquitaine ». Une douzaine d'entreprises sont également concernées comme la SNCF, TOTAL et Aquarelle. Notre projet est de mutualiser l'infrastructure du « .fr » au service de projets innovants. À l'inverse, nous ne participons pas à des projets d'extensions génériques tels que « .club » ou « .hotel », pour ne citer que les cas les plus polémiques, car il ne s'agit pas de répliquer le « .com » mais de chercher à développer de nouveaux services et à soutenir des stratégies de marque territoriale.
Sur l'activité internationale, nous participons aux forums de standardisation tels que l'Internet Engineering Task Force (IETF), avec quelques autres acteurs français tels que Orange et l'Université Paris 6, sur des questions de réglementation technique et de sécurisation des données personnelles. Sur 2 000 participants internationaux, nous envoyons deux ingénieurs, pour vous donner une idée de la faible participation française.
Pour clarifier notre relation avec l'ICANN, je précise que le seul document qui nous lie à l'ICANN pour la gestion du « .fr » est un échange de courrier qui indique pour résumer : « J'aime beaucoup ce que vous faites. C'est très important car nous gérons la racine et vous gérez le « .fr ». Il faut absolument se tenir au courant mutuellement s'il y a des problèmes ». Voilà le seul pouvoir qu'a l'ICANN sur nous. Il y a peut-être eu un échange de mails à la fin des années 80, mais il n'a jamais été retrouvé ! Il faut se dire, qu'à l'époque, l'attribution du « .fr » s'est faite sur un coin de table. L'AFNIC n'est absolument pas le délégué de l'ICANN et demeure à la fois un observateur et un membre actif des instances de régulation pour réclamer davantage d'internationalisation de la gouvernance. Même s'il n'a pas encore été fait état d'abus de pouvoir de l'ICANN, la situation actuelle n'est plus tenable.
Sur ce point, nous partageons le constat général d'un déficit de présence européenne dans la gouvernance mondiale de l'Internet. Ainsi à Dubaï, lors de la révision du traité international sur les télécommunications, l'Europe a rencontré des difficultés pour se faire entendre. Cette situation est dangereuse car les pays africains se demandent alors ce que fait la France. Par ailleurs, le discours européen est trop ciblé sur l'acquis communautaire et sans marge de négociation suffisante. J'ai aussi noté qu'avec les moteurs de recherche, certes américains, on ne trouve aucune déclaration sur le numérique de Catherine Ashton, pourtant en charge de la diplomatie européenne en sa qualité de Haute représentante de l'Union pour les affaires étrangères et la politique de sécurité. L'Europe est donc inaudible du fait qu'aucun mandat ne lui a été donné, ce qui fait le jeu du camp américain.
Le sujet porteur pour l'Union européenne est la protection des données personnelles. L'ICANN ignore totalement les réglementations européennes et exprime une forme totale de mépris qui se manifeste dans ses réponses aux courriers envoyés par le groupe de l'article 29 ou aux acteurs européens qui demandent simplement le droit de se mettre en conformité avec les législations locales.
Les accords Safe Harbour et les négociations transatlantiques sont des leviers potentiels, mais cette approche reste trop ciblée pour pouvoir aborder tous les paramètres de la gouvernance de l'Internet.
Au-delà de la gestion technique, il faut aussi aborder la question de la répartition de la valeur entre les acteurs, de l'équilibre entre sécurité et libertés publiques. L'Europe est aussi en grande difficulté dans ces discussions du fait d'une absence totale de stratégie industrielle. Les acteurs privés ont jusqu'à présent joué un rôle leader dans la construction de l'Internet, mais aussi dans la création d'un contrôle et d'une supervision massive. Cela signifie qu'aucune politique européenne ne peut se concevoir sans acteurs continentaux compétitifs et performants. Or l'Union s'abstient de tout soutien aux acteurs régionaux face aux acteurs américains. Aucune démarche n'a été entreprise pour faire monter en puissance un écosystème européen.
M. Gaëtan Gorce, président. - Le problème n'est-il pas identique en France avec un cloisonnement entre les questions de droit, les questions industrielles, les questions technologiques, l'impact de l'une sur l'autre n'étant jamais pris en compte ab initio ?
À Bruxelles, j'ai demandé à la direction générale « DG Connect » si elle avait mesuré l'enjeu industriel dans la gouvernance d'Internet et cette question simple leur semblait ahurissante. On m'a répondu que cette question allait être étudiée !
M. Mathieu Weill. - Je pense que, sur ce point, la situation en France est moins critique qu'au niveau européen, en partie grâce au fait que le numérique est traditionnellement suivi par un ministère, en l'occurrence celui du redressement productif qui se sent concerné par les questions économiques et industrielles. De plus, les questions de gouvernance de l'Internet ont toujours fait l'objet d'une attention particulière en binôme avec le ministère des affaires étrangères, avec une assez bonne coordination. La France figure parmi les rares pays en Europe qui portent un tel message au niveau international.
M. Gaëtan Gorce, président. - J'ai le souvenir de M. Gilles Babinet disant que la CNIL est une menace pour le développement de l'économie numérique française. Cela montre que nous avons une difficulté à faire parler tout le monde dans une logique qui intègre les différents points de vue.
M. Mathieu Weill. - Je serais malvenu de pointer cette difficulté car, à l'AFNIC, nous avons l'habitude d'évoluer dans un monde multi-acteurs. Je pense que nous ne souffrons pas de la CNIL. Au contraire, c'est un atout offensif pour mettre en exergue notre avance en matière de protection des données. D'ailleurs, nous avons exporté notre système au Canada et aux Pays-Bas. Ce cadre juridique ne cause pas de déficit de compétitivité.
Un dernier point concerne la résilience et la sécurité. Par conséquent, j'ose aborder la question de la souveraineté en lien avec l'utilisation d'Internet. Dans plusieurs exemples, l'absence d'acteurs européens suffisamment importants pose problème face à l'apparition de failles de sécurité sur le DNS. Lorsque cela se produit, les Américains travaillent en groupe pour résoudre les failles, alors que les acteurs européens ne découvrent le problème que lorsque les Américains proposent la mise à jour, ou seulement quelques jours avant. Il apparaît donc indispensable de promouvoir au niveau européen des acteurs pouvant atteindre une taille critique. A ce sujet, les acteurs privés ne sont pas suffisamment reconnus comme pouvant être des partenaires pour construire les plans de réaction à de telles attaques.
C'est actuellement le bon moment pour réagir pour l'Union européenne, l'affaire Snowden ayant fait l'effet d'une secousse sismique. Si l'on reprend la chronologie des événements, il y a d'abord eu la réunion de Dubaï qui a conduit les acteurs à se situer pour ou contre une gouvernance onusienne de l'Internet ; l'affaire Snowden a ensuite fait perdre toute légitimité morale aux États-Unis qui, jusqu'alors, se présentaient comme les défenseurs des libertés ; et aura lieu, à la fin de l'année, la réunion plénipotentiaire de l'UIT, qui est l'équivalent d'une renégociation d'un traité international.
Dans l'intervalle se tiendra la conférence Netmundial, initiative brésilienne originale, à l'invitation de la présidente Dilma Rousseff, co-organisée par le président de l'ICANN dans un schéma original.
À ce propos, j'en profite pour vous signaler que Fadi Chehadé, le président de l'ICANN, sera de passage à Paris à la fin du mois de février. Il serait probablement intéressant que vous l'entendiez dans le cadre de cette mission.
L'objectif de cette réunion au Brésil est de définir des principes de gouvernance, une feuille de route. J'ai moi-même été sélectionné pour participer à un comité chargé de définir les orientations de cette réunion et représenter la communauté technique. Louis Pouzin fait partie du même comité, au titre de la société civile. La France y sera également représentée.
Cette réunion signifie que la question de la supervision de l'Internet par le Gouvernement américain est ouverte et qu'elle n'est pas encore refermée - ce dont je suis surpris -, en rupture avec l'adage habituellement observé : « If it's not broken, don't fix it ».
Mme Catherine Morin-Desailly, rapporteure. - En tant qu'acteur impliqué dans cette gouvernance, qu'attendez-vous de ce rendez-vous ? Quelle position la France, l'Union européenne devraient-elles adopter ?
M. Mathieu Weill. - Nous espérons un rééquilibrage des instances techniques qui permettent de garantir la pérennité et l'efficacité du système. Quant à l'Union européenne, pionnière sur les données personnelles, il serait opportun qu'elle joue cette carte pour s'assurer un rôle dans cette supervision, y compris au risque du compromis.
Tel est l'objectif clé de cette réunion qui vise à rétablir la confiance des utilisateurs dans l'Internet. Les projets d'Internet alternatifs naissent principalement de la défiance à l'égard de l'ICANN et des États-Unis. Or, il ne faudrait pas que cela conduise à nier les bénéfices réels de l'Internet. Le risque serait d'accroître les coûts d'accès à l'Internet, ce qui entraverait l'innovation des « petits » acteurs du réseau.
Mais pour parvenir à un tel résultat, il est nécessaire de clarifier les positions de chacun au sein de l'Union européenne afin de pouvoir donner un mandat au Conseil plutôt qu'à la Commission européenne, puisque ce serait un mandat ponctuel, non récurrent. Cela impose des sacrifices, des concessions. Jusqu'à présent, on n'a pas été en mesure de parvenir à un compromis. Or, il y a urgence avant que la fenêtre d'opportunité ne se referme.
M. Gaëtan Gorce, président. - Les treize points de la recommandation de la Commission ne vous semblent donc pas suffisants ?
M. Mathieu Weill. - Je crains qu'ils ne remplissent pas le cahier des charges tel que je viens de vous l'exposer. Ils ne recueillent par ailleurs pas une adhésion suffisante, à mon sens, pour permettre de porter la voix de l'Europe. Le fait que ce soit la Commission qui coordonne les travaux en cours risque de créer des crispations politiques, une position forte du Conseil serait bénéfique.
Mme Catherine Morin-Desailly, rapporteure. - Qu'est-ce qui, selon vous, explique le défaut de perception en Europe de l'acuité du problème de la gouvernance de l'Internet jusqu'à présent ?
M. Mathieu Weill. - On ne fait pas de grand changement sans démonstration préalable de l'existence d'un problème qui justifie ce changement. L'affaire Snowden est l'électrochoc qui permet de comprendre que le statu quo n'est pas tenable. La meilleure preuve en est que l'ICANN s'est sentie elle-même contrainte d'engager ces discussions, car elle sait désormais que ses alliés américains ne sont plus en mesure de tenir leur position de protection.
M. Gaëtan Gorce, président. - Je vous remercie d'avoir clos par votre contribution cette après-midi.
La réunion est levée à 18h15.