Jeudi 23 mai 2019

- Présidence de M. Franck Montaugé -

La réunion est ouverte à 11 h 30.

Audition de Mme Claire Landais, secrétaire générale du Secrétariat général de la défense et de la sécurité nationale (SGDSN), de M. Julien Barnu, conseiller pour les questions industrielles et numériques, et de M. Gwenael Jezequel, conseiller pour les relations institutionnelles

M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de Madame la secrétaire générale de la défense et de la sécurité nationale, Claire Landais. Elle est accompagnée ce matin de Julien Barnu, conseiller pour les questions industrielles et numériques, et de Gwenael Jezequel, conseiller pour les relations institutionnelles.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. J'invite chacun d'entre vous à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Claire Landais, M. Julien Barnu et M. Gwenael Jezequel, prêtent serment.

Placé auprès du Premier Ministre, le secrétariat général de la défense et de la sécurité nationale (SGDSN) est chargé aussi bien d'anticiper les risques et les menaces, que de suivre les questions de relations internationales, préparer les réponses aux crises, et assurer la cyber défense entre autre. C'est un organisme interministériel - vous nous l'expliquerez.

Il a également présenté en février 2018 la revue stratégique de cyberdéfense, sous l'égide de votre prédécesseur, Louis Gautier, qui s'appuyait notamment sur une étude prospective à l'horizon 2030, « Chocs futurs », passant au crible les impacts des transformations et ruptures technologiques sur notre environnement stratégique et de sécurité.

Pour toutes ces raisons, il nous a semblé essentiel de vous entendre au début des travaux de notre commission d'enquête. Je crois savoir que vous avez réalisé en vue de cette audition un réel travail conceptuel sur la souveraineté numérique, je vous propose de nous le présenter avant d'engager le débat.

Mme Claire Landais, Secrétaire générale de la défense et de la sécurité nationale. - Les réflexions que je vais vous présenter sont le fruit d'un travail collectif. Pour avoir une vision globale d'ensemble sur notre souveraineté numérique, nous avons besoin de connaissances techniques pointues de certains secteurs, les personnes qui m'accompagnent aujourd'hui en témoignent. Je vous propose de vous livrer notre vision des grands enjeux de la souveraineté numérique et de répondre à toutes vos interrogations sur la manière dont le SGDSN, acteur de coordination, intervient sur cette problématique.

La souveraineté numérique - c'est-à-dire notre capacité à rester maître de nos choix, de nos décisions et de nos valeurs dans une société numérisée - recouvre trois aspects complémentaires.

Première composante, la souveraineté à l'ère numérique : comment préserver les composantes traditionnelles de notre souveraineté, dans un contexte où le numérique remet en question les monopoles régaliens, parce qu'il crée des acteurs de substitution ou parce qu'il fragilise les outils des activités monopolistiques régaliennes ?

Deuxième dimension, la souveraineté dans l'espace numérique : comment conserver notre capacité autonome d'appréciation, de décision et d'action dans le cyberespace ? C'est la thématique abordée par la revue de cyberdéfense que vous évoquiez dans votre propos introductif ;

Enfin, troisième enjeu, la souveraineté des outils numériques : comment maîtriser nos réseaux, nos communications électroniques et nos données, publiques ou personnelles ?

Comment, d'abord, préserver les composantes traditionnelles de notre souveraineté, dans un contexte où le numérique remet en question les monopoles régaliens ?

Les nouvelles technologies ont progressivement permis à des acteurs privés de rivaliser avec les États, en assumant des fonctions faisant historiquement et sans conteste jusqu'alors l'objet de monopoles régaliens. Cette tendance est en partie irréversible, ce qui ne signifie pas qu'il faille renoncer à en organiser les modalités. Chaque État se voit ainsi conduit à arbitrer entre les attributs de souveraineté qu'il choisit de préserver en priorité, et ceux qu'il peut accepter de déléguer à la sphère privée, le cas échéant de façon encadrée.

Je n'évoquerai pas devant vous l'attribut régalien, pourtant historiquement important, que constitue le privilège de battre monnaie ni sa remise en cause par les crypto-monnaies, du type Bitcoin, car nous dépasserions de beaucoup le champ de compétence du SGDSN.

Parmi ces grands monopoles régaliens aujourd'hui contestés, citons d'abord l'identification officielle, le privilège d'authentifier les personnes. Les États ne sont aujourd'hui plus, de fait, les seuls à pouvoir délivrer des titres attestant de l'identité de quelqu'un : de grands acteurs privés comme les réseaux sociaux, au premier rang desquels Facebook -avec Facebook Connect -, jouent dorénavant le rôle de fournisseurs d'identité. Les services d'authentification qu'ils proposent sont déjà largement utilisés, à ce stade par des sites Internet privés et pour des utilisations non sensibles. Le risque est réel que, sans réponse des États, de telles solutions puissent, à moyen terme, devenir de fait les identités numériques d'usage, évinçant le rôle des pouvoirs public.

L'Europe et la France ont apporté d'ores et déjà certaines réponses : La loi du 7 octobre 2016 pour une République numérique prévoit ainsi d'encadrer la fourniture d'identité numérique par le secteur privé, une identité numérique étant présumée fiable uniquement si elle répond à un cahier des charges établi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Sont également développés, d'une part, un service d'authentification national - la plateforme FranceConnect conçue par la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC) -, et d'autre part une identité numérique souveraine - via le projet ALICEM (Authentification en ligne certifiée sur mobile) du ministère de l'Intérieur -, en cours d'évaluation par l'ANSSI. Enfin, au niveau européen, a été introduit un cadre juridique commun, avec le règlement adopté en 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « eIDAS », qui prévoit la reconnaissance entre les États membres et l'interopérabilité des méthodes nationales d'identifications numériques.

Autre monopole régalien par excellence, celui de la violence légitime : attaquer et défendre. Face à une menace cyber qui ne cesse de croître, certains acteurs, essentiellement étatsuniens, remettent en cause le monopole des États dans l'usage de la violence légitime. Se fondant sur une interprétation discutable du droit à la légitime défense dans l'espace cyber, qui n'est pas la nôtre, ils font la promotion d'une doctrine offensive de réponse aux attaques, autorisant une riposte par les acteurs privés eux-mêmes (« hack back ») qui va au-delà de la simple protection de leurs propres systèmes d'information, autorisant par exemple des intrusions dans les systèmes adverses pour les détruire. Les risques que voit la France à une telle légalisation de pratiques dans certains pays et à leur diffusion au niveau international sont bien réels : risque d'erreur d'attribution, d'abord, car face à la difficulté pour obtenir une identification fiable de l'origine de l'attaque - et à ce titre, une action de riposte non encadrée pourrait prendre pour cible un tiers innocent ; risque de dommage collatéral et de riposte incontrôlée, d'autre part, de nature à aggraver l'instabilité du cyberespace.

Dans ce contexte, la France a choisi de maintenir l'interdiction actuellement en vigueur de cette pratique en droit français et de prôner activement son interdiction au niveau international. Ainsi, l'Appel de Paris pour la confiance et la sécurité dans le cyberespace, rendu public par le ministre de l'Europe et des affaires étrangères le 12 novembre dernier au Forum de Paris sur la Paix, et soutenu par le Président de la République à l'occasion de son discours à l'UNESCO devant le Forum sur la gouvernance de l'Internet, a été l'occasion de réaffirmer le monopole étatique de la violence légitime. Cette initiative se décline aujourd'hui de façon opérationnelle dans différents fora, notamment à l'OCDE et à l'ONU.

Dernier attribut régalien contesté : assurer la sécurité intérieure. Il s'agit là moins de lutter contre la substitution d'acteurs privés que de répondre à l'affaiblissement des outils de l'action régalienne. L'efficacité de nos services d'enquête judiciaire et de renseignement repose dorénavant sur des technologies numériques pour lesquelles les offres nationale et européenne sont lacunaires, ce qui nous conduit à dépendre d'offres étrangères, par exemple pour le traitement de données massives et l'acquisition de capacités vulnérabilités informatiques. Il est donc essentiel que l'État travaille de concert avec l'industrie pour faire émerger des solutions nationales ou européennes. Il nous faut, en outre, pouvoir correctement faire face à l'évolution constante des normes et des outils technologiques, par exemple dans le domaine de la surveillance légale des communications pour ne pas être pris de court par le développement des réseaux 5G.

Deuxième aspect de la souveraineté numérique : Comment conserver notre capacité autonome d'appréciation, de décision et d'action dans le cyberespace ? Ce second volet de notre souveraineté numérique concerne le maintien de la capacité de l'État et, dans un certain sens, de nos entreprises et citoyens, à disposer d'une autonomie d'appréciation, de décision et d'action dans le cyberespace.

En ce qui concerne l'État, la France a fait le choix de conserver une autonomie de décision en matière de défense et de sécurité du cyberespace. Atteindre cet objectif repose sur une capacité souveraine à détecter les attaques informatiques qui affectent l'État et les infrastructures critiques - je pense aux opérateurs d'importance vitale (OIV), notamment. À ce titre, l'ANSSI développe ses propres systèmes de détection pour la supervision des administrations, et ses travaux ont permis de faire émerger des solutions industrielles de confiance pour la France au profit des entreprises. L'agence a ainsi qualifié en avril 2019 les sondes de détection de deux industriels français.

En outre, nos capacités nationales de détection ont été significativement renforcées par la loi de programmation militaire pour 2019-2025. Ses dispositions permettent aux opérateurs télécoms de mettre en oeuvre des dispositifs de détection au sein de leur réseau pour mieux repérer les attaques informatiques, autorisent l'ANSSI à donner à ces opérateurs des marqueurs ou signatures d'attaques informatiques pour les aider à les repérer, et ont ouvert la voie au déploiement de sondes par l'agence en cas de risque pour les systèmes informatiques de l'État, d'opérateurs d'importance vitale ou d'opérateurs de services essentiels.

Enfin la France souhaite garder une capacité souveraine à attribuer les cyberattaques. Développer et maintenir une telle capacité est un choix d'engagement majeur, qui implique de ne pas dépendre de certains de nos grands partenaires. Au vu des investissements nécessaires, la maîtrise de telles capacités ne sera accessible à terme qu'à un nombre très limité de pays qui auront fait le choix stratégique de les détenir. La France a bien l'intention d'en faire partie.

La France développe une doctrine nationale de découragement et de réaction dans le cyberespace. Elle repose sur une méthode nationale d'évaluation de la gravité d'une cyberattaque et un schéma de classement des cyberattaques qui intègre toute la palette des outils et normes mobilisables - et cela implique de faire se parler des acteurs de cultures parfois différentes. La réponse peut passer par la judiciarisation, se traduire par une attribution publique (« name and shame » en vue d'un impact réputationnel), voire - dans la mesure où il n'est pas exclu qu'une cyberattaque puisse atteindre le seuil de l'agression armée au sens de l'article 51 de la Charte des Nations Unies - par la mobilisation de capacités offensives dans le milieu cyber comme dans les autres milieux. Ce dernier point relève principalement du ministère des armées, et je renvoie au discours de Mme Florence Parly en février dernier. L'arme cyber est aujourd'hui pleinement intégrée parmi les capacités opérationnelles des armées et fait l'objet d'une doctrine qui encadre son emploi dans les opérations militaires sur les théâtres d'opération extérieurs, dans le respect du droit international.

Fruit également de la revue cyber et de la réflexion sur la gouvernance, l'articulation entre dimensions défensive et offensive obéit à une doctrine qui donne la priorité à la première, tout en privilégiant le dialogue entre acteurs responsables des deux chaînes.

La France promeut, enfin, à l'international sa vision selon laquelle le droit international est applicable au cyberespace et l'attribution publique reste une décision politique qui relève de la souveraineté et ne peut donc être déléguée à une organisation internationale. Dans ce domaine, notre pays souhaite garder la main.

Pour nos entreprises, il s'agit de préserver une capacité à innover dans un contexte d'hégémonie des géants américains du numérique - mais nous sommes là sur des questions hors du champ de compétence SGDSN.

L'autonomie d'appréciation et de décision de nos citoyens passe par la préservation de la sincérité du débat démocratique, face au phénomène émergent de manipulation de l'information par des puissances étrangères. Le rôle de la société civile reste essentiel, l'État pouvant fournir des outils pour lutter contre ces manipulations, notamment en période électorale. L'Union européenne a créé un réseau d'alerte en ce sens à l'occasion des élections.

Troisième aspect de la souveraineté numérique : Comment maîtriser nos réseaux, nos communications électroniques et nos données ? Notre souveraineté numérique passe en effet par notre capacité à protéger nos réseaux de télécommunication - et les données qui y transitent - des actions d'espionnage et de sabotage.

En matière de sécurité et de résilience des réseaux, des dispositions législatives existent déjà, dans notre code pénal notamment. Celles figurant aux articles R. 226-1 et suivants permettent un contrôle des équipements qui constituent le coeur des réseaux, pour préserver l'impératif de la protection de la vie privée et du secret des correspondances. Les demandes sont aujourd'hui instruites par l'ANSSI. Toutefois, au regard de l'importance croissante prise par les réseaux mobiles, notamment par la 5G et les nouveaux usages qu'elle permettra dans un futur bien plus proche que prévu, il paraît nécessaire d'apporter rapidement des évolutions au cadre juridique actuel, tant dans ses modalités que pour consacrer une finalité de protection de la sécurité nationale. Nous souhaiterions dès lors que puisse être soumise à autorisation préalable du Premier ministre - déléguée au SGDSN après instruction par l'ANSSI - l'exploitation de certains équipements des réseaux mobiles pour les opérateurs télécoms qui sont opérateurs d'importance vitale. Un amendement en ce sens avait été déposé, sans suite, dans la loi « PACTE », dispositions désormais reprises par une proposition de loi en cours d'examen devant le Parlement.

La protection des réseaux passe également par celle de nos câbles sous-marins, essentiels dans l'architecture des réseaux actuels. La problématique de la résilience se double d'un enjeu d'attractivité pour notre territoire, et nos réflexions en la matière mobilisent plusieurs départements ministériels, afin que nous soyons compétitifs, notamment en termes de normes et d'interconnections.

En matière de protection des données et des communications, les exigences sont graduées, dans une logique de cercles concentriques. Au coeur, pour les données et communications classifiées, nous devons viser une obligation de résultat, garantissant leur protection contre des attaques ciblées des adversaires les plus compétents. Cette ambition implique la maîtrise nationale de certaines technologies, au premier rang desquelles le chiffrement des communications. La France possède dans ce domaine une industrie de confiance, apte à fournir des équipements de très haut niveau de sécurité.

Pour le champ médian des données et communications sensibles, des exigences impératives doivent pouvoir être fixées, sous forme de label de l'État.

Cette déclinaison en plusieurs sphères s'applique pleinement à la question du cloud. Ainsi, pour ses données stratégiques classifiées, l'État aura recours exclusivement à un cloud interne. En revanche, pour d'autres données publiques et pour les besoins des entreprises, la qualification des clouds par l'ANSSI permettra d'identifier les offres qui apportent des garanties suffisantes vis-à-vis des risques tant techniques et que juridiques. Les entreprises doivent elles-mêmes faire l'effort de segmenter leurs données en fonction de leur caractère stratégique ou sensible.

Sur cette question du cloud, notre environnement juridique mérite également d'être adapté au rapport de force qui s'engage actuellement avec certains de nos partenaires tentés par une application extraterritoriale de leur droit. Dans la perspective de tels conflits de normes, il est essentiel pour rester crédibles de pouvoir leur opposer des outils comme le règlement général sur la protection des données (RGPD) ou une « loi de blocage » rénovée. Ces textes normatifs auront, d'une part, un effet incitatif dans les négociations qui doivent s'engager entre États et, d'autre part, un effet dissuasif sur les sociétés étrangères concernées, exposées au risque d'être en infraction avec nos normes.

M. Stéphane Piednoir. - Dans ce champ cyber très concurrentiel, où les hackers ont toujours un temps d'avance, comment s'assurer de conserver les meilleures compétences et d'attirer les talents ?

M. Jérôme Bascher. - Dans le monde physique, en cas d'incident, les États n'hésitent pas à nommer la provenance d'un navire ou d'un avion étranger violant l'intégrité du territoire national. Pourquoi une telle discrétion en cas de cyber-attaques ? De mémoire, il y a deux ans, seule la Finlande a identifié publiquement le grand pays voisin source, selon elle, d'une telle attaque...

M. Rachel Mazuir. - Quelques remarques seulement. Concernant d'abord l'ANSSI - que je connais bien pour avoir été, avec mon collègue Olivier Cadic, co-rapporteur délégué sur le volet cybersécurité lors de l'examen de la loi de programmation militaire pour 2019-2025- personne ne peut dire, hélas, que l'agence ait aujourd'hui trop de moyens, même si je note les engagements du Président de la République en la matière !

Je relève aussi dans vos propos la particulière difficulté des opérations d'attribution des cyberattaques : c'est un processus complexe et bien long. J'ai le sentiment qu'une réponse plus vigoureuse reste indispensable en la matière. Nous ne sommes pas épargnés, nous avons tous entendu parler de la dernière en date, qui concernait la plateforme du service « ARIANE » du ministère de l'Europe et des affaires étrangères.

S'agissant de l'articulation nécessaire entre moyens défensifs et offensifs, je note que les premiers existent bien, alors que les seconds me semblent moins performants.

M. Hugues Saury. - Tout en faisant le constat de la grande intelligence de nos systèmes d'attaque et de défense cyber, n'y a-t-il pas un paradoxe à ce qu'ils passent tous par des câbles sous-marins - notamment ceux au large de Djibouti - constituant ainsi autant de points de faiblesses et de dépendances dans le système ?

Mme Claire Landais. - Concernant la concurrence dans le recrutement des talents, le principal obstacle reste, du point de vue de l'État, un problème de salaire. Nous souffrons souvent de la comparaison avec le privé pour conserver nos ingénieurs et les profils industriels qui nous intéressent. Une réflexion est cependant en cours, vous le savez, sur l'évolution du droit de la fonction publique, qui devrait nous donner ces capacités de souplesse nécessaires aux recrutements dans un secteur particulièrement tendu. La DINSIC a récemment diffusé une circulaire qui rappelle la panoplie des outils de recrutement déjà utilisables. Ne négligeons pas non plus l'attrait du drapeau et la renommée de l'ANSSI, dont la réputation d'excellence permet de recruter les meilleurs éléments. Le passage par l'agence reste pour beaucoup une garantie ultérieure de reconversion ou de passerelle réussie dans le privé.

Concernant les moyens de l'ANSSI, je partage votre diagnostic, tout en constatant que la trajectoire d'emploi est positive. Mettre des moyens dans la cyberdéfense est une priorité assumée de l'État.

La discrétion dans l'attribution des cyberattaques et la faible publicité qui leur est ainsi donnée tient d'abord, à la difficulté technique inhérente au mécanisme d'identification des responsabilités. La méthode reste celle du faisceau d'indices, et l'entraide judiciaire est compliquée, soit par mauvaise volonté, soit tout simplement par manque de compétences techniques de certains pays. Sans jamais s'interdire de donner un caractère public à l'attribution, le mécanisme est jusqu'à présent pas ou peu utilisé car il est mis en balance avec l'efficacité réelle des messages passés à titre confidentiel. Dans une matière aussi délicate, rendre public un nom c'est aussi prendre le risque de figer les positions et de compliquer l'engagement d'un dialogue. Mais je peux comprendre la frustration des parlementaires et du public face à cette apparente réserve dictée par l'efficacité.

Concernant le bon équilibre de nos moyens entre les dimensions défensives et offensives, une même discrétion rend peut-être ici moins visible l'ampleur des ressources déployés dans la seconde catégorie. La loi de programmation militaire prévoit bien des engagements sur ce point, rappelés encore récemment par la ministre. Le modèle français prévoit à cet égard une séparation spécifique entre les deux chaînes, qui doivent être bien articulées.

M. Gérard Longuet, rapporteur. - Madame la secrétaire générale, vous avez une formation de juriste, vous êtes conseillère d'État, vous savez donc que l'autorité de l'État s'exerce sur un territoire défini par des frontières, sur lequel vivent des citoyens, et qui est doté du monopole de l'usage de la force pour trancher un éventuel conflit ou pour protéger sa population. Dans l'espace numérique, y a-t-il des frontières et avez-vous le sentiment que l'État soit en mesure de les définir ? Les entreprises ne peuvent-elles pas aujourd'hui être tentées d'organiser leur riposte et donc de priver l'État du monopole de la force pour trancher un conflit ? En somme, c'est l'assise traditionnelle de la souveraineté qui est sérieusement ébranlée dans l'espace numérique, qui est virtuel et insaisissable.

Mme Claire Landais. - L'ère numérique fragilise effectivement ces monopoles régaliens. Des acteurs privés peuvent aujourd'hui se substituer à l'État ou, à tout le moins, le concurrencer en se dotant parfois plus facilement ou plus rapidement que lui, des outils classiques de la souveraineté.

Les frontières sont à repenser mais peuvent être reconstituées. Je parlais des cercles concentriques, qui vont du plus au moins sensible. C'est aussi à l'État de repenser ces frontières logiques, au-delà des frontières physiques. Certains sont capables de penser au-delà de leur sphère normale d'influence et de juridiction. On pense notamment à l'extra territorialité de la législation. Il nous - Français et plus probablement Européens - faut également savoir recréer des frontières. Par ailleurs, certains États ont su se fermer au monde numérique extérieur. C'est donc possible, mais je ne suis pas certaine que ces États soient porteurs de modèles que nous souhaiterions suivre. Le numérique n'est donc pas exclusif de capacités de souveraineté, y compris robustes, si ce n'est autoritaires.

Je vous rejoins en revanche parfaitement sur le monopole de la violence légitime. Les acteurs privés pourraient en effet se faire justice eux-mêmes, en pénétrant dans les systèmes d'information de l'attaquant pour aller détruire l'origine de l'attaque, prenant le risque de se tromper d'attaquant ou de générer des dommages collatéraux, pour reprendre les termes du droit international humanitaire - qui s'applique bien au monde numérique -, avec des risques d'effets de bord si ce n'est d'effet boomerang. D'où l'idée que l'État doit garder ce monopole de la violence légitime.

M. Gérard Longuet, rapporteur. - Pensez-vous que le lieu de stockage des données constitue un trait d'union entre la souveraineté traditionnelle des États et la réalité numérique ? Le support matériel est-il le point d'ancrage permettant à un État de faire usage de ses prérogatives de souveraineté ?

Mme Claire Landais. - Le régime applicable au mode de stockage des données est évidemment important. Cela se constate dans la stratégie de cloud de l'État, qui conduit à stocker les données protégées par le secret de la défense nationale dans un cloud interne à l'Etat. Mais on ne peut pas imposer à certains acteurs privés un mode de stockage sans leur offrir des solutions industrielles qui répondent à leurs besoins. On sait que le stockage est aujourd'hui moins important que les services qui y sont liés, lesquels sont offerts par des géants du numérique en face desquels, actuellement, nous ne disposons pas nécessairement de concurrents potentiels. Nous réfléchissons très activement aux voies et moyens de faire émerger des solutions associant stockage, hébergement et services. C'est un préalable avant d'envisager de recourir à des modes d'action plus autoritaires, tels que les régimes des opérateurs d'importance vitale ou des opérateurs de services essentiels. La loi de programmation militaire de 2013 et la transposition de la directive NIS (Network and Information System Security) sont autant de jalons récents dans notre histoire, où les pouvoirs publics ont considéré que le moment était venu d'imposer à des opérateurs critiques certaines obligations en termes de sécurité physique ou logique de leurs systèmes d'informations. On ne peut envisager le recours à ce type de solutions que si l'on est certain que ces acteurs disposent de solutions industrielles qui leur permettent de ne pas en pâtir.

M. Laurent Lafon.  - Y a-t-il eu des tentatives de perturbation des élections européennes sur les réseaux sociaux ?

Mme Claire Landais. - Je peux vous dire que nous avons nettement progressé sur ce sujet, à travers la mise en place de capteurs et en utilisant tous les réseaux de veille disponibles. Jusqu'à présent, ces derniers étaient dispersés, parfois redondants sur certains aspects et notre dispositif pouvait comporter certains angles morts. Nous avons donc essayé de rationaliser notre vision d'ensemble afin de créer un réseau sans angles mort, d'améliorer nos capacités de détection, et de renforcer nos interactions avec les plateformes en leur signalant les éléments artificiels que nous pouvons repérer, les mettant ainsi en capacité d'en tirer les conséquences. Nous avons donc réellement accru notre sensibilité, notre visibilité et notre capacité à avoir des relais dans le monde de la société civile, des grandes plateformes, pour lutter contre les risques de remise en cause de la sincérité du débat électoral.

M. Jérôme Bascher. - Avez-vous une stratégie pour vous doter d'un réseau de fibre optique indépendant du monde civil ? Sur les équipements actifs, le fait qu'il n'y ait que très peu de fournisseurs dans le monde et qu'ils ne soient pas tous basés en France - ou à Balard ! - pose-t-il problème ? Même question sur la téléphonie car un très grand pays outre-Atlantique érige actuellement des barrières à la pénétration de téléphones chinois qui, parfois, équipent les hauts gradés du ministère des Armées.

Mme Claire Landais. - Le SGDSN est un service du Premier ministre. Nous travaillons évidemment très étroitement avec le ministère des Armées car le Premier ministre est responsable de la défense nationale et, si l'ordonnance de 1959 distingue bien défense civile et défense militaire, nous travaillons souvent sur des sujets qui exigent d'articuler défense civile et défense militaire.

La protection des communications classifiées correspond bien aux activités du SGDSN, avec, d'une part, le centre de transmissions gouvernementales (CTG), unité militaire gouvernementale logée au sein de notre secrétariat général et, d'autre part, l'ANSSI. S'agissant de la protection des communications relevant du secret de la défense nationale, le besoin de systèmes d'informations qui assurent la confidentialité, la résilience, à travers, par exemple, du chiffrement et des solutions souveraines est essentiel et nous y veillons très sérieusement. Nous menons actuellement une réflexion sur les réseaux de transport, pour lesquels la nécessité d'un réseau dédié distinct du reste du monde de l'internet reste à démontrer. Il est possible aussi de se dire que la résilience et la confidentialité passent davantage par les systèmes d'informations posés sur ces réseaux de transport, ou que ces réseaux de transports soient redondés, voire triplés, voire que sur telle ou telle portion on utilise à la fois du câble et du satellitaire, ou parfois des moyens radios de tel ou tel ministère... Cette réflexion nous conduit à penser que, plutôt que de procéder par cloisonnement et de déployer des réseaux dédiés, il conviendrait de multiplier les capacités, ce qui rejoint ce que nous avons pu évoquer à propos des câbles sous-marins.

M. Franck Montaugé, président. - La nation qui, la première, accèdera à l'ordinateur quantique, aura très probablement une avance sur les autres, notamment sur le chiffrement et le déchiffrement. L'enjeu est considérable. Où en est la recherche française sur ce sujet ? Les moyens qui y sont consacrés sont-ils suffisants ?

Le livre blanc de 2013 avait fixé des objectifs ambitieux en termes de politique de sécurité des systèmes d'information. Y figuraient notamment des obligations d'audit, de cartographie de systèmes d'informations... Votre secrétariat suit-il le développement de ces dispositifs ? Le fait-il pour l'ensemble des entreprises ou uniquement pour certaines filières considérées prioritaires ? Avez-vous des indicateurs quantitatifs et qualitatifs ? Quel est l'état des lieux ?

M. Rachel Mazuir. - Pouvez-vous évoquer plus précisément les enjeux autour de la proposition de loi visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles ?

M. Julien Barnu, conseiller pour les questions industrielles et numériques. - La recherche en est encore à un stade très amont en matière d'ordinateur quantique. Il pourra effectivement calculer beaucoup plus vite et donc casser les systèmes de chiffrement. En revanche, les travaux - au niveau international, dans les organismes de normalisation, auxquels l'ANSSI participe activement - sont déjà très avancés sur la définition de nouvelles primitives cryptographiques, c'est-à-dire de nouveaux algorithmes de chiffrement qui permettront même de résister à un ordinateur quantique. La question est aujourd'hui de savoir quand s'effectuera cette bascule des primitives cryptographiques actuelles à ces nouvelles primitives, appelées « post-quantiques » ? Contrairement à la position américaine, qui encourage à basculer très vite sur ces nouvelles primitives, l'ANSSI a plutôt un message de prudence, considérant que les primitives actuelles seront encore résistantes pendant un certain temps, même s'il faut parallèlement réfléchir au calendrier de cette bascule. Nous ne sommes donc pas inquiets sur la capacité du chiffrement à résister aux ordinateurs quantiques. La capacité, de la France, à maîtriser la technologie quantique reste, en revanche, un enjeu majeur de souveraineté technologique et industrielle.

Mme Claire Landais. - La loi de programmation militaire de 2013 a bien tiré les enseignements du Livre blanc de 2013, dans lequel figurait l'idée de contraindre certains acteurs stratégiques à prendre des mesures de protection de leurs systèmes d'informations critiques. Les opérateurs d'importance vitale qui ont, en conséquence, été identifiés, sont des opérateurs publics ou privés dont le fonctionnement est considéré comme essentiel à la vie de la nation. L'ANSSI a été chargée de la rédaction d'une forme de cahier des charges des obligations imposées à ces opérateurs et les a accompagnés dans ce processus. L'approche de l'ANSSI est d'ailleurs très intéressante : parallèlement à l'usage de la contrainte législative et réglementaire, elle a adopté une démarche pédagogique, d'accompagnement des opérateurs - car une mise à niveau de ce type est coûteuse -, via des audits et des inspections, et en répondant aux alertes. Depuis février dernier, s'ajoute aux opérateurs d'importance vitale la catégorie des opérateurs de services essentiels, qui dépasse ce premier cercle, avec davantage de secteurs impliqués, qui se voient imposer certaines obligations. On peut notamment citer le champ de la santé. Nous faisons monter les systèmes d'information de ces opérateurs de services essentiels en compétence et en exigence en termes de sécurité.

M. Rachel Mazuir. - Voyez ce qui s'est passé au Royaume-Uni !

M. Franck Montaugé, président. - La souveraineté peut aussi s'entendre comme prenant en compte l'ensemble des entreprises, au regard de leur productivité, des emplois qu'elles créent, de leur efficacité... sans se restreindre à ces opérateurs d'importance vitale ou de services essentiels. Y a-t-il une politique de sensibilisation de l'ensemble des entreprises sur la sécurité des systèmes d'information ?

Mme Claire Landais. - Les opérateurs d'importance vitale et davantage encore les opérateurs de services essentiels comprennent bien des opérateurs privés.

M. Franck Montaugé, président. - L'Etat se protège-t-il correctement ? Par exemple, quels enseignements tirez-vous de l'attaque de la plateforme Ariane ?

Mme Claire Landais. - Je ne peux pas vous dire qu'on se protège totalement correctement. Le niveau de sécurité est encore assez variable dans la sphère publique. Les investissements sont difficiles à consentir pour des ministères qui, parfois, concentrent leurs moyens sur leurs coeurs de métiers et ont un peu de mal à penser, en tout cas immédiatement, aux enjeux de sécurité. C'est l'enjeu de la revue stratégique de cyber défense, de son suivi et de l'identification d'actions structurantes, de les contraindre à penser en termes de sécurité et à investir dans ce domaine. L'idée de cercles concentriques et d'acteurs pour lesquels toute attaque, exfiltration, compromission de données serait un drame pour la nation, permet de consentir des investissements à un niveau tel qu'on peut être relativement sereins. Mais nous sommes encore en phase de prise de conscience généralisée et de mise en cohérence des investissements.

M. Julien Barnu. - Depuis 2013, la nature de la menace à l'encontre des entreprises a radicalement changé. À l'époque, la plupart des attaques relevaient de l'espionnage, du siphonage discret de données sensibles. L'ANSSI rencontrait alors des difficultés à convaincre les entreprises - qui pouvaient considérer que le risque était davantage couru par l'Etat en raison de la faible sensibilité des données qu'elles hébergeaient - d'investir pour se protéger d'une menace en quelque sorte invisible. Depuis 2015-2016, on est passé à une menace de sabotage, à travers par exemple des « rançongiciels » qui chiffrent l'ensemble des données des entreprises et donc les exposent à des risques de pertes colossales, et même de disparition pour des PME. En conséquence, la perception de la menace cyber a complètement changé. Les entreprises ne s'interrogent plus sur la question de savoir si elles doivent se protéger, mais plutôt quelle est la meilleure façon de le faire.

La réponse de l'État est organisée en cercles concentriques. Pour les opérateurs d'importance vitale, l'ANSSI impose des règles, très précises et très techniques. Elle accompagne également les autres entreprises, mais à travers la production de guides et de recommandations. L'idée est aujourd'hui de faire en sorte qu'elle étende de plus en plus la certification des produits. Historiquement, elle certifiait principalement des solutions spécialisées en cybersécurité, dorénavant elle certifie des solutions de cloud. Demain, nous souhaitons étendre cette certification, en nous appuyant sur le secteur privé et sur des partenaires européens, aux nouvelles solutions numériques, tels que les objets connectés, les solutions virtualisées... L'objectif est de pouvoir classer l'ensemble des solutions numériques en fonction de leur degré de confiance.

M. Franck Montaugé, président. - Comment considérez-vous les normes ISO en la matière ? Disposez-vous d'une évaluation chiffrée au niveau national de ces certifications ?

M. Julien Barnu. - Toutes les règles de sécurité de l'ANSSI sont conformes à ces normes techniques internationales. Nous avons cependant constaté que ce ne sont que des grands principes, une sorte de code de la route de la sécurité informatique désignant ce qui est obligatoire et exigeant de motiver les dérogations. S'agissant des opérateurs d'importance vitale, la démarche consistant à édicter des exigences plus précises, plus techniques, adaptées au secteur car étudiées avec les opérateurs eux-mêmes, nous est apparue plus efficace.

M. Franck Montaugé, président. - Merci de cet exposé très intéressant.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 05.

- Présidence de M. Franck Montaugé, président -

Souveraineté numérique dans les relations internationales - Audition conjointe de MM. Nicolas Mazzuchi, chargé de recherche à la Fondation pour la recherche stratégique, Julien Nocetti, chercheur à l'Institut français des relations internationales et Christian Harbulot, directeur de l'École de guerre économique

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition commune de MM. Nicolas Mazzucchi, chargé de recherche à la Fondation pour la recherche stratégique, Julien Nocetti, chercheur à l'Institut français des relations internationales (IFRI) et Christian Harbulot, directeur de l'École de guerre économique, spécialiste d'intelligence économique.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. J'invite chacun d'entre vous à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Nicolas Mazucchi, Julien Nocetti et Christian Harbulot prêtent serment.

M. Franck Montaugé, président. - Une partie non négligeable de nos vies se joue désormais dans l'espace numérique. Si cela représente pour nos sociétés et nos économies de réelles opportunités, les défis sont considérables, et se déploient dans le domaine des relations internationales et géostratégiques. Comment la souveraineté numérique a-t-elle émergé peu à peu sur la scène internationale ? Comment influe-t-elle sur les relations internationales ? Induit-elle des stratégies nationales ou multilatérales ? Sont-elles concurrentes ?

Nous avons compris que trois modèles émergent : le modèle américain ultra-libéral, porté et portant ses acteurs privés. Ce modèle est souverain, dominant les secteurs clés, imposant ses normes et ses choix stratégiques qui affectent toute la société.

S'y oppose le modèle chinois, autoritaire, segmentant l'espace numérique pour en avoir un parfait contrôle sur son sol, interdisant aux entreprises étrangères de transférer leurs données électroniques vers leurs sièges nationaux, utilisant les données personnelles de ses citoyens pour asseoir la domination du parti communiste chinois. Ce modèle est-il réellement souverain ? Enfin, un modèle européen, tentant de proposer une alternative à cet antagonisme, et de protéger les droits fondamentaux qui sont son socle.

C'est une forme d'affrontement géostratégique et économique intense que se livrent les protagonistes. M. Harbulot parle même de guerre économique.

M. Nicolas Mazzuchi, chargé de recherche à la Fondation pour la recherche stratégique. - Le cyberespace est le seul espace stratégique artificiel créé de la main de l'homme. Il se compose d'une couche matérielle qui correspond à l'ensemble des appareils, serveurs, routeurs, ordinateurs qui permettent l'interconnexion des machines ; d'une couche logique ou logicielle qui couvre les éléments de communication entre les machines elles-mêmes, autrement dit les protocoles, ou bien entre les humains et les machines, c'est-à-dire les logiciels. Ces deux premières couches forment l'organisation technique du cyberespace et définissent la manière dont les réseaux fonctionnent. La troisième couche, dite sémantique, correspond à l'ensemble des informations qui transitent au travers des deux premières.

Cette segmentation en trois couches justifie une différence d'approches nationales selon la culture du cyberespace que l'on choisit de privilégier. Les pays de l'espace euro-Atlantique, se sont concentrés depuis la fin des années 80 sur l'architecture technique du cyberespace, définie par les deux premières couches. Ils ont négligé l'importance de la couche sémantique qui a fait un retour fracassant, avec l'invasion de la Crimée par la Russie, puis les élections américaines. D'autres pays ont développé une vision différente, comme les Russes qui ont parié sur la couche sémantique au point de parler d' « espace informationnel » pour désigner le cyberespace.

À cette approche par couches correspond une approche par attaques, avec trois types de cyber conflits, le sabotage, l'espionnage et la subversion. La vision américaine est structurée par les infrastructures, avec 90 % des communications dans le cyberespace circulant de manière sous-marine via des câbles, et un recours aux serveurs racines pour faire fonctionner Internet. C'est une vision libérale, avec des segments fixes détenus par le Department of Defense sur les serveurs racines, comme le serveur qui appartient au laboratoire de recherche de l'armée américaine, ou le serveur propriété de la NASA. L'État américain exerce ainsi un contrôle matériel très fort, l'action privée s'exerçant surtout sur les couches logicielle et sémantique.

Cette vision euro-Atlantique correspond à celle des pays du Nord, comme en témoigne l'architecture des câbles sous-marins, élaborée dans les années 90, qui privilégie un axe passant par l'Amérique du Nord et l'Europe pour aller jusqu'au Japon. Les autres pays ne sont pas exclus du système de communication, mais doivent le plus souvent avoir recours aux câbles qui desservent ces trois ensembles géographiques. La vision française et plus largement européenne s'est construite autour de cet arc euro-Atlantique étendu jusqu'au Japon, dont elle a hérité. L'émergence de la Chine est venue remettre en cause cette prégnance des pays du Nord, tout en se heurtant aux réalités techniques.

L'information et les données sont au coeur de la souveraineté du cyberespace, de sorte que la détention des infrastructures offre une capacité stratégique extrêmement forte. La dématérialisation du cloud computing s'opère à l'avantage des pays qui sont le plus ancrés dans le cyberespace : pas moins de 40 % des capacités mondiales se trouvent ainsi sur le territoire américain, la porosité extra-territoriale se limitant aux data centers que les grandes entreprises américaines comme Microsoft ou Apple déportent dans certains pays européens. La Chine qui arrive en seconde position connaît une croissance d'activité extrêmement forte, de sorte qu'elle tend à remettre en cause la toute-puissance américaine dans le champ du cloud computing. Les Chinois ont su mesurer l'importance de stocker des données sur leur territoire.

La capacité pour un État à détenir les données sur son sol, à être souverain en termes de données est au coeur du développement de l'IA.

Entre 2013 et 2018, le nombre de tweets à la minute a quasiment doublé. La création de données, quasi exponentielle, est au coeur de la souveraineté et de la puissance actuelle mais surtout future des États. La grande vogue de l'intelligence artificielle limitée ne peut se comprendre que si l'on prend en compte d'une part, la baisse du coût des capacités de calcul grâce à la performance des processeurs, qui suit peu ou prou la loi de Moore, et d'autre part, la disponibilité en masse de données variées qui a permis de sortir de ce qu'on a appelé les hivers de l'Intelligence artificielle. La puissance d'un État, qu'elle soit actuelle ou en germe, dépend étroitement de sa capacité à édicter une forme de géopolitique des données. L'entreprise est complexe, car les grands textes internationaux qui régissent le cyberespace sont rares, si l'on excepte le règlement international des télécommunications qui date de 1988.

La question financière pèse aussi. Le développement de l'intelligence artificielle attire beaucoup d'investissements, à cause des enjeux stratégiques qu'il porte. Les entreprises américaines et chinoises, dont la proximité avec leur État est encore plus importante que celles des entreprises américaines, sont les plus en pointe dans ce champ, grâce à la capacité qu'elles ont d'injecter des sommes colossales dans la recherche et le développement, mais aussi parce qu'elles ont les moyens d'aller racheter des pépites technologiques sur leur propre sol et à l'étranger. L'intégration transnationale par l'argent peut servir à asseoir la souveraineté d'un État, qu'il s'agisse de rapatrier une entreprise sur son territoire ou de la vider de sa substance, en recrutant ses chercheurs ou en s'appropriant ses brevets. Par rapport à l'évolution du nombre de dépôts de brevets en Chine, la capacité en la matière des pays de l'Union européenne reste extrêmement limitée.

La Chine est venue au cyberespace dans la seconde moitié des années 90, à ses propres conditions. Elle a d'emblée adopté la segmentation du cyberespace en trois couches et a décidé de devenir souveraine sur ces trois couches, tout au moins dans son propre espace national. La Grande Muraille dorée opère un contrôle des données sur la première couche, sous la forme d'un gigantesque pare-feu permettant à l'État chinois de contrôler, avec une efficacité importante, tout ce qui entre et sort de l'espace informationnel chinois.

Au niveau de la deuxième couche, la population chinoise peut bénéficier des services d'opérateurs nationaux qui offrent en version locale et facilement contrôlable, avec une législation obligeant à stocker les données sur le territoire national, l'équivalent de ce que proposent les opérateurs internationaux. On retrouve ainsi répliqués les grands GAFAM (Google, Apple, Facebook, Amazon, Microsoft), avec, par exemple, Baidu pour Google, Alibaba pour Amazon, ou Sina Weibo comme Twitter local. 

Pour ce qui est de la couche sémantique, une armée d'opérateurs sont payés pour effectuer des contrôles destinés à empêcher l'émergence de critiques sur le système politique et social chinois. L'État chinois affiche ainsi sa volonté de garder la mainmise sur toute l'architecture de son cyberespace, permettant à la Chine de s'insérer dans le cyberespace à ses propres conditions.

La France occupe la première place au niveau européen dans le classement des plus grandes entreprises mondiales des technologies de l'information et de la communication. Ce classement reste néanmoins tout relatif, car la capacité européenne à édicter la norme au travers d'un développement très fort de ces technologies reste extrêmement faible. La puissance normative des grandes entreprises américaines, et la croissance forte des grandes entreprises chinoises, les BATX (Baidu, Alibaba, Tencent, Xiaodu), risquent d'affaiblir encore nos capacités.

Quant au modèle russe, il se concentre sur la capacité d'avoir des opérateurs informationnels qui émettent en langue russe, au-delà des frontières russes, dans un espace post-soviétique relativement étendu. Ce modèle fait force de sa faiblesse en se concentrant sur la couche internationale au détriment des deux couches techniques.

La souveraineté numérique reste complémentaire d'autres types de souveraineté dans les stratégies étatiques. Le développement de l'Internet des objets par exemple ne peut se faire sans prendre en compte l'empreinte énergétique extrêmement forte des transitions numériques dans le monde. La Chine l'a parfaitement compris, qui travaille à mettre en place un système extrêmement complexe où une route de la soie électrique est accolée à une route de la soie numérique, les deux fonctionnant de la même manière. Pékin anticipe ainsi l'évolution des réseaux électriques mondiaux appelés à devenir la base des réseaux numériques mondiaux fonctionnant grâce à la 5G fournie par Huawei. La Chine investit aussi énormément dans les batteries qui seront le coeur de la transition énergétique et de la transition numérique.

M. Julien Nocetti, chercheur à l'Institut français des relations internationales (IFRI). - Depuis les derniers travaux du Sénat sur la souveraineté numérique, en 2014, les paramètres ont évolué. Il y a cinq ans, le contexte était marqué par l'affaire Snowden et la fin de l'innocence en matière numérique. Nous découvrions alors que la souveraineté numérique n'était pas l'apanage des régimes autoritaires. Cinq ans plus tard, nous connaissons tous l'ambiguïté de la technologie, qu'il s'agisse de la prolifération des cyber menaces, de l'accroissement des vulnérabilités liées au numérique, ou de l'extension de cette matière dans les technologies de rupture comme l'IA et la 5G. Dans tous ces domaines, des logiques de souveraineté sont à l'oeuvre, qui peuvent favoriser des tensions entre les États à cause d'enjeux économiques forts. La complexité technologique d'Internet va de pair avec l'exacerbation des luttes de pouvoir à l'échelle globale.

L'actualité immédiate est riche d'enseignements. À analyser les tensions entre la Chine et les États-Unis autour de Huawei, la technologie semble être un prétexte assez commode pour justifier le repli des États sur eux-mêmes. En 2010, Hillary Clinton, alors secrétaire d'État, promettait d'abattre le rideau de fer numérique, en référence au vaste système de censure en ligne chinois qui était déployé. En 2019, il n'est plus question de censure, mais d'un décret présidentiel et de guerre technologique. En décidant de bannir le géant chinois Huawei du sol américain et en intimant aux plus puissantes des plateformes américaines de cesser toute relation d'affaires avec la firme chinoise, le président Trump a conféré aux États-Unis des pouvoirs exorbitants sur toutes les chaînes de valeur technologique de la planète.

C'est un changement crucial de stratégie. L'affaire Huawei montre de manière frappante le repli américain sur le plan technologique. Elle tranche avec la doctrine historique des États-Unis en matière numérique et révèle la crainte de Washington de perdre sa supériorité technologique face à Pékin.

Depuis deux décennies, Washington avait fait du contrôle des données l'axe prioritaire de sa stratégie économique et de sa stratégie de sécurité. Les Américains s'appuyaient pour cela sur les géants de la tech, les fameux GAFAM, et sur les pouvoirs très importants confiés à la National security agency (NSA) en matière de surveillance. Ces deux éléments se conjuguaient dans une longue tradition d'open policy qui visait à l'ouverture du marché et au maintien d'une prééminence américaine à la fois militaire et économique, les deux dimensions étant inséparables. Cette politique qui était celle de Barack Obama entre 2008 et 2016 est plus ou moins remise en cause par Donald Trump.

L'affaire Huawei est typique de la stratégie qui consiste à affaiblir son adversaire en tissant avec lui des liens d'interdépendance. C'est un cas typique de militarisation de l'interdépencance. Cette interdépendance technologique et numérique entre la Chine et les États-Unis avait été largement sous-estimée, avec les conséquences que l'on constate désormais. L'industrie des semi-conducteurs, par exemple, pour le moins confidentielle et très technique, mais aussi très mondialisée, est devenue l'otage des tensions sino-américaines, avec le risque de déstabiliser la quasi-totalité des chaînes de valeur à l'échelle mondiale. Cela pose une lumière crue sur l'absence totale de souveraineté européenne en matière de semi-conducteurs.

Il y a quelques années, les services de renseignement américains s'étaient alarmés des velléités de Huawei de construire des câbles sous-marins, craignant que les Américains ne perdent leur prééminence en matière de renseignement d'origine électromagnétique. Les points d'atterrage et d'interconnexion des câbles sont un enjeu stratégique, qui permettent aux États de conduire des opérations d'espionnage, de piratage et d'intimidation. Certains pays, tels que la Russie, ne se privent pas d'exploiter la dimension physique d'Internet sous un angle stratégique. C'est un enjeu de souveraineté majeur pour l'Union européenne.

Les tensions entre Pékin et Washington autour de Huawei illustrent en accéléré toutes les logiques de fragmentation dans l'univers numérique que l'on constate depuis une dizaine d'années. Nous assistons à la fin de l'ère de la global tech, caractérisée aujourd'hui par un vif rejet du multilatéralisme et par la croyance en l'effacement des frontières, et en l'avènement d'acteurs économiques internationaux qui s'affranchissent des États au profit d'une logique de blocs. Tout ceci est remplacé par un protectionnisme exacerbé.

L'affrontement numérique entre les États-Unis et la Chine a pour objet le leadership technologique, avec l'Europe pour théâtre principal, et au-delà l'Afrique et l'Asie du Sud-Est. C'est sur le vieux continent que Huawei tire l'essentiel de sa croissance, notamment en 2018. L'Europe constitue le principal marché de la firme après la Chine depuis 2013. Cela symbolise la nouvelle orientation économique chinoise. Les dirigeants chinois privilégient une démarche qualitative plutôt que quantitative. Plutôt que d'être l'atelier du monde, la Chine veut montrer qu'elle est le bureau d'ingénierie de la planète, rivalisant ainsi avec les États-Unis.

Les Américains cherchent à contrer ces ambitions chinoises qui les inquiètent en conservant l'Europe dans leur giron numérique. L'ambition de Trump est d'aboutir à un découplage entre le client et la Chine. Du côté européen, l'oukase de Donald Trump risque de créer un précédent, puisque l'Europe réalise que l'avenir de ses propres fleurons industriels tient à l'humeur du président américain. Celui-ci joue sur une ligne de crête, en adoptant une stratégie extrêmement risquée. Il donne paradoxalement aux Européens l'opportunité d'affronter leur propre vulnérabilité. Le politique devrait s'en saisir.

L'Europe avance sur de multiples fronts numériques. Le règlement général sur la protection des données (RGPD) adopté en mai dernier ouvre une troisième voie, comme vous le rappeliez Monsieur le Président, entre les modèles californien et chinois. Cependant, Bruxelles continue d'agir de manière défensive en s'instituant comme le gardien des valeurs. Dans le même temps, nos concurrents collectent des milliards de données sans se soucier des paramètres qui nous sont chers en Europe. La question se pose, face à cette réalité de savoir si l'Europe peut fonder sa politique sur la seule morale.

L'affirmation européenne en matière de maîtrise des données ne doit pas occulter les contre-réactions inévitables : juste avant l'adoption du RGPD, les Américains ont voté le Cloud Act qui permet aux autorités américaines d'exiger des opérateurs numériques qu'ils livrent les opérations personnelles de leurs utilisateurs sans les en informer, ni devoir passer par les tribunaux, même lorsque ces données ne sont pas stockées sur le territoire américain.

Quant à la Chine, son projet des nouvelles routes de la soie a pour ambition de maîtriser la totalité des infrastructures numériques du territoire chinois jusqu'à l'Europe, en passant par l'Afrique, à la fois en matière de cloud, de data centers, de câbles sous-marins et de réseaux 5G. Rappelons que Huawei a construit plus de 70 % du réseau 4G en Afrique.

Enfin, on ne peut pas dissocier le numérique du financement de l'innovation et de la formation du capital humain. C'est en évitant la fuite des cerveaux et en formant massivement ses propres experts que l'Europe pourra surmonter ses vulnérabilités.

M. Christian Harbulot, directeur de l'École de guerre économique, spécialiste d'intelligence économique. - La notion de guerre économique explique la manière dont les pays s'affrontent depuis la nuit des temps pour accroître leur puissance grâce à l'économie. L'économie n'est pas seulement liée à la créativité humaine et aux échanges, mais aussi aux affrontements qui ne sont pas que concurrentiels. Pour comprendre la notion d'intelligence économique, je vais vous proposer d'explorer certains mots clés. Le premier est celui de suprématie.

Le monde immatériel, ou cyberespace, est un monde à conquérir, au même titre que le monde matériel l'a été, avec des siècles d'affrontements pour la suprématie. Pourquoi le monde immatériel échapperait-il à ces luttes ?

La recherche de la suprématie découle d'un premier principe : quand les États-Unis créent l'architecture du cyberespace, ce n'est pas seulement pour prolonger leur communication dans un contexte de guerre froide, mais c'est aussi pour occuper les meilleures positions dans ce monde en devenir qui ne cesse de prendre forme. Aussi inavouable soit-il, préserver sa suprématie est un enjeu stratégique évident, et la dépendance technologique en est la conséquence et l'arme.

S'est-on déjà posé la question de la suprématie en France ? Le général de Gaulle, de retour aux affaires en 1958, avait compris que l'informatique allait devenir un enjeu majeur dans le développement de l'économie française. Il avait même, à en croire les écrits d'Alain Peyrefitte, développé une vision de la souveraineté numérique qui dépassait même le cadre de la souveraineté, puisqu'il souhaitait que les entreprises françaises conquièrent des marchés. Malheureusement les plans du président de la République n'ont pas reçu le soutien du monde de l'entreprise, resté focalisé sur les notions de marché propres à l'époque. Il s'agit là d'un dysfonctionnement classique dans le système français, où s'opposent d'un côté une vision politique, et de l'autre un écosystème pas forcément en phase avec cette vision.

Ce dysfonctionnement a laissé des traces, puisque lorsqu'ont émergé l'Internet et la puissance technologique américaine, ainsi que le marché qui en découlait, la plupart des chefs d'entreprise français ont accepté très vite la notion de dépendance, en se disant qu'il était déjà trop tard. Cela a eu et a des implications dans le domaine de l'intelligence économique.

L'intelligence économique examine en quoi l'information peut être utile en termes de développement et de compétition. On constate qu'en France, dès lors qu'une très grosse entreprise de technologie expose à la Porte de Versailles, pas moins de 2 000 entreprises se déplacent ; un syndicat d'entreprises françaises qui tente de faire de l'innovation n'arriverait pas à en réunir 100. La différence est significative. Elle montre la difficulté qu'ont les entreprises françaises à s'emparer du concept de souveraineté, à lui accorder le poids qu'il mérite et à prendre en compte les dynamiques de puissance.

J'ai participé, il y a quelques années, à un colloque de responsables des systèmes d'information. Au lendemain de l'affaire Snowden, des comités exécutifs ont fait machine arrière sur des décisions d'externalisation qui avaient été prises en fonction de critères de marché et de rentabilité. Il suffisait qu'une affaire éclate, mettant en cause les décisions prises montrant que les problématiques de puissance avaient été occultées pour mettre en péril la notoriété du chef d'entreprise. Le problème n'est pas évident. Il n'y a pas sur une question aussi importante d'harmonie de pensée qui prévaut en France entre le monde politique et celui de l'entreprise.

La première urgence face à ce phénomène consisterait à mettre le monde des entreprises devant ses responsabilités. Lors d'une rencontre organisée par le Medef sur la souveraineté numérique, j'ai été très étonné d'entendre les chefs d'entreprise déclarer qu'ils attendaient la feuille de route du politique. On n'aurait jamais entendu telle réaction aux États-Unis. Les entreprises françaises souffrent d'un refus d'entrer dans le paysage des rapports de force entre puissances. D'où le désarroi actuel. Ainsi, le système de cloud français a échoué parce que les groupes français ne se sont pas mis d'accord pour travailler selon une logique d'intérêt national, voire européen.

Mettre le monde de l'entreprise français devant ses responsabilités, c'est le conduire à réfléchir sur le devenir de notre pays dans le monde du cyberespace et son action. Conquérir ce fameux monde immatériel c'est conquérir des parts de marché. Nous ne pouvons pas nous contenter de petits segments. Nous avons une très forte valeur ajoutée en génie logiciel. C'est un problème vital que de savoir l'exploiter à la hauteur de nos ambitions.

La deuxième urgence se situe au niveau européen, car l'Europe est dépendante du monde américain. La stratégie doit-elle consister à ouvrir la porte aux Chinois pour jouer sur les tensions sino-américaines, au risque de créer une double dépendance ? Lorsqu'il était à la tête de la petite structure d'intelligence économique au Secrétariat général à la Défense (SGDN), Alain Juillet disait que nous gagnerions déjà à récupérer les petites marges de manoeuvre qui nous restent. On ne peut rester sur un constat aussi modeste, dès lors qu'il y a tout un monde à conquérir. Le dialogue est encore possible dans le cadre européen. À Milan, il y a deux mois, des chefs d'entreprise constataient les nombreuses contradictions qui les opposaient en matière d'intelligence économique. En revanche, ils étaient d'accord sur la nécessité d'instaurer un dialogue entre eux sur la question de l'économie numérique, pour éviter d'instaurer une dépendance qu'elle soit double aux conséquences néfastes en termes industriels et en termes de tassement économique.

Il y a des marges de manoeuvre dans le dialogue au niveau européen sur ce sujet stratégique. Les Allemands eux-mêmes en ont pris conscience face à l'agressivité de M. Trump.

J'en reviens à l'essence du monde économique. La troisième urgence est la prise en considération de l'enjeu majeur de l'organisation du commerce des données. Quand nous mettrons-nous en ordre de bataille pour conquérir des marchés de données ? J'ai fourni dans un document écrit un exemple très précis de ce que j'appelle un encerclement cognitif classique venant de la puissance qui a la suprématie, c'est-à-dire les États-Unis d'Amérique. Ils prennent nos données et en font du business. Leur présence dans notre propre système de sécurisation des technologies bancaires est trop forte. Ils nous disent : « Prenez nos technologies pour lutter contre les économies criminelles et le terrorisme ! » mais ainsi, nous perdons nos données.

Le RGPD ne suffit pas. On ne peut pas en rester à un simple problème moral. Nous devons élever la barre au niveau stratégique. Le commerce des données est une piste très intéressante pour créer des activités et des emplois.

M. Franck Montaugé, président. - Merci.

M. Gérard Longuet, rapporteur. - Le sujet de la nationalité des entreprises est délicat. Les entreprises françaises n'ont pas d'autre nationalité que celle de leurs clients et de leurs actionnaires, qui sont de moins en moins français ou que s'ils le sont ont les mêmes attentes que les non français. De plus, le marché national est significatif mais pas décisif.

Dans le secteur des télécommunications, il y a quarante ans aux États-Unis, comme dans les années 1950 dans le secteur pétrolier, des politiques visant à casser des monopoles ont été menées. AT&T a été cassé et divisé en une dizaine de sociétés distinctes, comme Standard Oil auparavant. Cette perspective est-elle envisageable ? Ou à l'inverse, le marché étant mondial, les États-Unis ont conscience qu'une entreprise n'est importante que si elle est mondiale, et si elle est première, comme le dit l'expression, le gagnant qui prend tout ?

L'aspect matériel des réseaux constitue-t-il un point de faiblesse ou bien cela pourrait-il être finalement la porte d'entrée vers une régulation stratégique mondiale ?

Mme Catherine Morin-Desailly. - J'ai été très intéressée par la carte des infrastructures dans le monde présentée par M. Mazzucchi. Pourriez-vous en dire plus sur les organismes de régulation d'Internet, qui sont américains : Internet engineering task force (IETF), Internet corporation for assigned names and numbers (Icann) et World wide web consortium (W3C) ? Que pensez-vous du retrait d'Orange de W3C ? N'est-ce pas un renoncement en matière de souveraineté ?

M. Nocetti explique que les choses ont évolué depuis 2014. Mais déjà à cette date, en constatant que l'Europe était déficitaire dans ce nouveau système. Les services over the top (OTT) sont aux États-Unis, les équipements en Chine... L'Europe faillit par son déficit de volonté d'une politique industrielle, même si le RGPD a été une immense avancée. L'absence de volonté est peut-être liée aux conditions structurelles de l'Union européenne. En effet, les règles de la concurrence sont tout à fait à notre désavantage. Il y a aussi une absence de schéma de croissance ou d'investissement massif dans certains secteurs clés tels que l'énergie, l'environnement, la santé. L'offensive ne passerait-elle pas par un changement de ces règles ? A contrario, ne faut-il pas démanteler les GAFAM qui défient l'Europe mais aussi les États-Unis et en fait plus généralement les États-nation ce qui pose des questions en termes de souveraineté.

M. Rachel Mazuir. - Les États-Unis, l'Australie et la Nouvelle-Zélande ont interdit l'intervention de Huawei pour le déploiement de la 5G. Le Royaume-Uni, au contraire, a contractualisé avec cette entreprise. Que penser de cette situation ?

On entend des avis divergents sur la propriété des données personnelles. Certains sont favorables à leur monétisation et d'autres disent que ce serait subir une dépendance supplémentaire. Quelle est votre analyse en la matière ? Enfin, la France peut-elle encore prendre une place industrielle dans cette compétition, comme l'a fait la Chine ?

M. Nicolas Mazzucchi. - Standard Oil a été démantelé par le Sherman Act de 1890, ce qui n'a pas empêché les compagnies pétrolières américaines de s'entendre en 1928 dans l'accord d'Achnacarry pour se partager à nouveau le monde. Quand il y a une nécessité de s'entendre, il y a toujours des capacités. Les entreprises américaines des télécommunications et du numérique sont tout à fait capable de s'entendre entre elles. Je rappelle qu'AT&T est peu présente hors du territoire américain contrairement à Orange qui a une stratégie d'expansion internationale.

Nous constatons aujourd'hui des dissensions entre les GAFAM et l'État américain, qui les a beaucoup soutenus, notamment Google, car ils étaient un élément de puissance. Il y a une opposition très nette entre les chercheurs de Google et la Defense advanced research projects agency (Darpa). Ils sont en concurrence pour attirer les meilleurs ingénieurs et Google refuse de continuer à collaborer avec la Darpa et le Department of defense américain. L'actuelle remise en cause du modèle américain de coopération entre le public et le privé n'apparaît pas dans le modèle chinois où il y a concordance parfaite des intérêts publics et privés.

La géopolitique du cyberespace est double. D'une part, la localisation d'un serveur décide du droit dont il ressort. Ainsi, la Russie contraint les données russes à être sur le territoire russe et exclut des entreprises - Linkedin n'a pas droit de cité. Les éléments matériels sont les seuls à partir desquels faire appliquer le droit. D'autre part, les éléments immatériels relèvent de la norme. La puissance américaine est fondée sur ces deux aspects. La grande force des États-Unis est d'avoir la main sur l'ensemble des organismes, qui sont de gestion privée. Icann est une société de droit californien : l'entité qui gère l'architecture d'Internet, soit une partie du cyberespace, est privée. C'est ce qui empêche aujourd'hui une véritable régulation internationale par les acteurs étatiques.

En décembre 2012, lors de la réunion de l'Union internationale des télécoms (UIT) à Dubaï destinée à faire évoluer la régulation internationale de l'Internet, la question de laisser la gestion à Icann ou de la transférer à l'UIT, donc aux Nations unies, a été posée. Tous les pays du Nord, dont la France, ont refusé ce transfert auquel tous les pays du Sud étaient favorables. Nous avons raté le coche.

Il est intéressant aujourd'hui de relever la présence des acteurs chinois dans la normalisation de l'intelligence artificielle. Ils trustent les postes de présidents ou secrétaires généraux de groupes de recherche et de réflexion, au sein de l'Institute of Electrical and Electronics Engineers (IEEE), de l'International Society of Automation (ISA) et de l'International Organization for Standardization (ISO), car aujourd'hui dans le monde numérique, c'est la technologie qui dicte la norme et donc la puissance.

Ce serait une erreur de monétiser la propriété des données personnelles. Elles ne sont pas du pétrole. Une donnée, c'est une rencontre entre un acteur et une plateforme. Si l'on entrait dans une relation économique avec un acteur de gestion des données, nous perdrions le droit d'exercer un certain nombre de garde-fous. La donnée seule ne vaut rien. Elle ne vaut que parce qu'elle est agrégée à d'autres données, dans des volumes extrêmement importants. La monétisation ne ferait qu'entrer l'utilisateur dans une dépendance bien plus grande.

J'en viens à la 5G au Royaume-Uni, dont l'impact politique est extrêmement important. Il faut bien comprendre l'ensemble de la dépendance de l'économie britannique à la Chine, y compris dans le domaine énergétique. Ces deux économies sont très imbriquées. Cette présence chinoise très forte oblige le Royaume-Uni à tenir compte de la Chine. Cela fragmente le bloc euro-atlantique, y compris sur des questions de renseignement.

Quant au retrait d'Orange, la politique de la chaise vide est toujours une erreur.

M. Christian Harbulot. - Le problème n'est plus la nationalité des entreprises. Une entreprise américaine est une entreprise qui sert les intérêts américains. Idem pour la Chine, la Russie, la Turquie, l'Iran. En 2019, il est temps de comprendre pourquoi un petit État comme Israël, qui subit une hémorragie constante de ses start-ups, a pris la décision de mener une politique de puissance pour créer de la dépendance dans la dépendance, sur des logiques technologiques. Ne reproduisons pas les mêmes erreurs. Une politique de puissance n'est pas l'addition des nationalités inscrites sur les cartes d'identité des actionnaires.

M. Julien Nocetti. - Nous percevons souvent les États-Unis comme une scène numérique monolithique. C'est loin d'être le cas. Les relations entre M. Trump et les GAFAM sont mauvaises. On a vu des passes d'armes entre M. Trump et Google sur Twitter. Le président américain a ainsi rappelé à Google de ne pas collaborer avec des laboratoires d'intelligence artificielle chinois ; il considère aussi que Facebook est à la solde du parti démocrate. La candidate à l'investiture démocrate Elizabeth Warren plaide pour une plus grande régulation des GAFAM. Elle appuie son argumentaire sur le respect des règles anti-concurrentielles. Le milieu des think tanks universitaires américains joue aussi un rôle moteur dans le débat.

Je souhaite nuancer les propos de Nicolas Mazzucchi sur les alliances. Elles ont été à géométrie variables. L'Inde, acteur majeur du numérique, avait rejoint le camp occidental en 2012 lors de la réunion de l'UIT à Dubaï en 2012 et s'est opposé au document final de la conférence du NETmundial à Sao Paulo en 2014. Autre exemple, la Biélorussie ne s'est pas rallié à la Russie au cours de ces années.

Très peu de choses ont changé dans les grandes instances techniques. Icann est revenu au statu quo et à la gestion par la technique du nommage et de l'adressage. Ce n'est pas du tout le guichet unique de la gouvernance mondiale. Le centre de gravité numérique de la planète se déplace inexorablement vers des instances plus politiques et vers la Chine, qui cherche à dupliquer cette gouvernance internationale numérique en sa faveur. Chaque année se tient en Chine une réunion de grands acteurs nationaux et internationaux du Net autour du président chinois.

Il faut rappeler la très forte porosité du Royaume-Uni aux équipements de Huawei, qui ne date pas d'aujourd'hui. Nombre d'anciens du renseignement britannique collaborent avec cette entreprise. C'est extrêmement dommageable. L'exemple britannique n'est pas forcément à suivre.

Pour revenir à l'aspect normatif, nous mentionnions des instances telles qu'ISO : sachez que son représentant français travaille chez Microsoft. Il y a une porosité entre public et privé qui ne joue pas forcément en faveur du pays.

M. Jérôme Bascher. - Monsieur Harbulot, vous faites une distinction entre souveraineté et puissance. Si l'on peut comprendre que la souveraineté numérique telle qu'elle nous intéresse semble à ce jour hors de portée, comment envisagez-vous que la France et l'Europe puissent redevenir une puissance numérique ?

M. Christian Harbulot. - En France, le pétrole a, pendant plusieurs décennies, été un problème stratégique auquel les gouvernements n'ont pas su trouver de réponse. À l'époque du retour du général de Gaulle, la France était complètement dépendante des sept grandes compagnies pétrolières anglo-saxonnes. C'est alors qu'Elf-Aquitaine a été créé.

Il existe deux façons de reprendre les choses en main. La première est de rattraper le temps perdu en copiant ce que d'autres ont fait. Nous avons démontré dans le passé que c'était possible en ciblant bien les domaines où l'on pouvait exister réellement, par exemple en reprenant la technologie américaine sur le nucléaire. La seconde est de mener la stratégie du grain de sable, que l'Union européenne sait très bien faire, en grippant les mécanismes. Voyons comment, sur des éléments très précis de notre savoir-faire industriel et technologique, nous pouvons nous repositionner et soyons très présents à l'échelle européenne pour devenir ce grain de sable face à deux blocs très solides.

M. Julien Nocetti. - Je note un changement sémantique significatif : on parle bien moins de souveraineté numérique et bien plus d'autonomie stratégique. Encore faut-il assurer une présence française suffisamment importante pour que la vision française soit représentée.

M. Nicolas Mazzucchi. - Nous devons disposer de hedge funding. Nous avons un problème structurel car nous sommes capables de financer l'innovation au premier stade mais pas d'aider les entreprises à croître. C'est le hedge funding qui a permis aux grandes entreprises chinoises et américaines d'exister.

Nous avons, avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), l'une des meilleures agences de certification au monde, dont il faut renforcer les capacités à refuser les produits qui ne nous conviennent pas.

Troisièmement, il faut instaurer une préférence européenne pour certaines applications critiques - à condition que les produits répondent à des exigences fortes de performance.

Mme Catherine Morin-Desailly. - Que pensez-vous du fait qu'Orange renonce à participer à l'élaboration des standards et des protocoles ? L'Internet des objets est aussi un défi : les objets connectés vont se multiplier et incorporer toujours plus de données.

M. Nicolas Mazzucchi. - C'est un énorme sujet : c'est même le Far West du numérique. Il y a actuellement un foisonnement de technologies et de protocoles qui ne sont pas harmonisés les uns avec les autres. La sécurité de l'Internet des objets est un problème majeur, car la sécurité est la couche qui a été ajoutée en dernier sur ces objets, ce qui fait qu'ils sont, pour la plupart, très poreux et dangereux. Les éoliennes, notamment, sont extrêmement vulnérables. La confidentialité des données pose problème, car l'éthique by design n'a pas été configurée, et les protocoles de communication sont en concurrence les uns avec les autres. En fait, celui qui remporte le marché est le mieux disant sur le plus grand volume d'objets avec le prix le plus bas - c'est-à-dire, pour la 5 G, Huawei, qui propose un équilibre optimal entre distance de communication et volume de transfert de données, qui est le point de bascule pour l'adoption des différents protocoles.

M. Franck Montaugé, président. - La relocalisation physique des données sur le continent, en Europe, est-ce important ?

M. Julien Nocetti. - J'ai beaucoup travaillé sur ce que font les Russes en la matière. C'est un bon exemple de ce qu'il ne faut pas faire. Les Russes nationalisent le système de nommage et d'adressage - le DNS - tout en essayant de rediriger le routage vers leur territoire, en coupant les ponts avec l'étranger. Pour autant, la Russie n'est pas souveraine comme la Chine, qui a très tôt « souverainisé » son propre espace numérique. Elle dépend très largement de serveurs basés à l'étranger et d'infrastructures liées à d'autres pays. Elle cherche à mettre un terme à cette situation. Pour un pays qui s'étend sur onze fuseaux horaires, c'est peu réaliste. En Europe, l'échelle géographique est plus réduite, mais il y a des polémiques sur l'exploitation des données relocalisées. Les acteurs privés américains insistent sur le risque en termes de libertés publiques.

M. Franck Montaugé, président. - Cela peut les garantir.

M. Christian Harbulot. - Nous pouvons aussi nous tenir en alerte sur l'évolution des technologies de stockage : là aussi, rien n'est immuable, et il n'est pas impossible que de nouvelles technologies nous permettent de reprendre la main sur le sujet. L'essentiel est de développer une stratégie de puissance. Si nous avons deux chercheurs isolés, très bons, qui font des découvertes sur une nouvelle forme de stockage, et que nous les laissons partir aux États-Unis, il ne faudra pas venir pleurer ! Il faut une vision stratégique décidée au plus haut niveau de l'État, comme c'est le cas ailleurs.

M. Franck Montaugé, président. - Merci.

La réunion est close à 15 h 30.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de M. Benoît Thieulin, ancien président du Conseil national du numérique, rapporteur de l'avis "Pour une politique de souveraineté européenne du numérique" adopté au Conseil économique, social et environnemental

La réunion est ouverte à 15 h 35.

M. Franck Montaugé, président. - Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié. Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, M. Benoît Thieulin prête serment.

M. Franck Montaugé, président. - Président du Conseil national du numérique de 2013 à 2016, vous avez contribué à asseoir cet organisme consultatif dans le paysage institutionnel français, et à inspirer la loi pour une République numérique de 2016. Vous êtes désormais membre du Conseil économique, social et environnemental, où vous avez été rapporteur d'un avis adopté le 13 mars dernier et intitulé « Pour une politique de souveraineté européenne du numérique ».

Nous réfléchissons à la souveraineté et à son exercice, plutôt dans le cadre national qu'avec une dimension européenne mais nous sommes heureux d'élargir avec vous notre approche. Dans votre avis, vous soulignez la dépendance économique de l'Union européenne vis-à-vis des géants américains et chinois de l'internet. Quelles sont les conséquences en termes de souveraineté ? Au-delà de l'économie et de la sécurité informatique, c'est l'État de droit, la démocratie, les droits fondamentaux qui sont menacés.

Quels sont les principaux constats de votre rapport ? Vous proposez notamment un renforcement de la régulation des plateformes en Europe et le soutien à l'émergence d'un écosystème numérique conforme aux principes et aux valeurs européennes.

M. Benoît Thieulin, ancien président du Conseil national du numérique, rapporteur de l'avis "Pour une politique de souveraineté européenne du numérique" adopté au Conseil économique, social et environnemental. - Voilà près de vingt ans que j'ai la chance de travailler dans le numérique, où j'essaie de promouvoir une vision politique, et même géopolitique, en démystifiant la technologie pour déceler les enjeux politiques de plus en plus prégnants, et que la technologie tend à masquer.

Au cours de la première décennie, pour un geek passionné de politique comme moi, le but était surtout de trancher la querelle des Anciens et des Modernes de l'époque, c'est-à-dire de faire prendre au sérieux à nos élites économiques et politiques ce que l'on n'appelait pas encore la transformation numérique du monde. On a d'abord voulu la minimiser, la voir comme l'émergence d'un média de plus, coincé entre la télévision et la presse. Puis, voyant l'ampleur de cette transformation numérique se développer, on a voulu y voir l'émergence d'un secteur économique particulier. C'était l'époque de la première vague des start-up, celle de la bulle des années 2000 et de la résurrection qui a suivi. Cette décennie s'est soldée, disons-le, par notre victoire intellectuelle : cette querelle des Anciens et des Modernes est tranchée, et plus personne ne doute que la transformation numérique du monde est l'un des enjeux les plus considérables auxquels l'humanité doit faire face. Ma conviction profonde est même qu'il faut la placer au même niveau que la transition écologique. C'est un des paradoxes de notre situation historique que d'avoir à repenser à la fois notre rapport à la nature, avec la transition écologique, et à la culture, qui est l'enjeu de la transformation numérique du monde.

La décennie suivante, celle des années 2010, nous l'avons surtout consacrée à faire passer une idée plus subtile. Le numérique était devenu important, c'était acquis. Il fallait désormais le penser, et se doter d'une vraie stratégie, au lieu de le regarder comme une succession d'inventions plus ou moins fortuites, qui nous tomberaient du ciel et que l'on n'aurait qu'à adopter, vu leur importance et l'incroyable rapidité avec laquelle elles se diffusent - bref, au lieu de le regarder bouche bée, comme un acquis sur lequel on ne peut pas peser. Nous avons été plus ou moins efficaces pour faire passer cette idée. Il fallait bien montrer que la révolution numérique n'était pas californienne et que ce n'était pas à la Silicon Valley de penser la manière dont elle devait se structurer.

Au fond, l'informatique est encore récente, elle a tout juste 70 ans, et son évolution n'a pas été linéaire, ni continue. Le mot de disruption est récent, mais il aurait pu s'appliquer dès la fin des années 1960. Internet, en fait, a été la première grande disruption, promue par des ingénieurs jeunes et dotés d'une vision politique des innovations technologiques. Leur choix a été de démocratiser l'informatique en construisant un réseau hyper-égalitaire. C'est ainsi qu'ils inventèrent Internet, sur des crédits militaires américains, certes, mais ils étaient surtout des étudiants et des professeurs. Le réseau distribué hyper-égalitaire ouvert qu'ils inventent sera l'épine dorsale de la révolution numérique que nous vivons aujourd'hui, et dont nous mesurons les conséquences politiques à l'aune des choix d'architecture technique qui, dès ce moment, comportaient des choix politiques. Il ne faut pas voir les technologies comme quelque chose de transcendant mais, au contraire, décoder les lignes de clivage et les enjeux politiques qui s'y cachent et qui sont devenus extrêmement structurants.

J'ai présidé le Conseil national du numérique, qui a produit 17 ou 18 rapports sur des sujets comme la fiscalité du numérique, la neutralité du Net, la loyauté des plateformes, la réforme de l'enseignement supérieur, l'enseignement du code à l'école, etc. Mes conclusions reposent donc tout autant sur ces rapports que sur le dernier travail que j'ai eu la chance de diriger au Conseil économique, social et environnemental.

Pourquoi parle-t-on de souveraineté numérique, nationale ou européenne ? Prenons quelques exemples. Vous utilisez tous un GPS, je suppose : Waze, Maps, Coyotte... Cet outil vous donne un itinéraire mais, surtout, il vous indique le chemin le plus court en fonction du trafic, mesuré en temps réel. Si vous êtes sur l'autoroute de Normandie et qu'un embouteillage se forme à Mantes-la-Jolie, les GPS vous font prendre la sortie n° 9, continuer pendant dix ou quinze kilomètres, et reprendre l'autoroute. Quid s'ils font faire la même chose à 20 000 véhicules ? Tous vont sortir par la même sortie, traverser le même village, dont la route n'a pas été conçue pour un tel flux. Résultat : la route va s'user en quelques semaines, il y aura des accidents d'enfants qui traversent la rue, et la pollution va s'accroître considérablement dans ce petit village. Au final, les gens vont chercher à partir et le prix des logements va s'effondrer. Voilà, en d'autres termes, une politique d'aménagement du territoire maîtrisée par une application sans qu'aucune puissance publique n'intervienne. C'est qu'une infrastructure immatérielle est venue s'ajouter aux infrastructures physiques que sont les réseaux routiers et autoroutiers. Ni Waze, ni Google Maps ni Coyote n'ont jamais investi dans une route, ni décidé d'aucune signalisation routière. Pourtant, ils ont entre leurs mains une partie de la gestion de la mobilité et des flux sur une partie de notre territoire.

Même chose pour un plan local d'urbanisme. Un maire peut organiser son territoire en regroupant les hôtels près des musées et des monuments à visiter, et les résidences là où il y a des parcs - respectant ce qu'a accumulé l'histoire et nos politiques d'aménagement du territoire, décidées collectivement et démocratiquement depuis deux siècles. Et, d'un coup, une plateforme propose de louer des chambres disponibles. Après quelques années, alors que certains quartiers avaient été pensés pour des activités commerciales et d'autres pour du logement résidentiel, on constate un détricotage complet du plan local d'urbanisme - sans la moindre pelleteuse, et sans changement de plan local d'urbanisme. Simplement, les plateformes numériques ajoutent une couche applicative et logicielle sur des infrastructures physiques qui demandent, elles, des dizaines d'années d'investissement - et il suffit d'une couche de logiciels et d'applications qui offrent des services différents vous en modifier profondément l'usage.

On pourrait multiplier de tels exemples à l'envi, dans presque tous les domaines d'activité. La transformation numérique est un phénomène général de transformation de la société, de la politique et de l'économie. Aucun secteur économique n'est totalement épargné. Il y a bien des marchés quelque peu protégés par des barrières réglementaires, comme la santé, l'éducation, la banque ou les assurances. Mais on sent bien les coups de butoir de la révolution numérique sur tous les secteurs. Cette révolution est engagée et elle ne s'arrêtera pas.

Près de deux millions d'entreprises européennes sont directement dépendantes du numérique, que ce soit pour leur publicité en ligne ou pour leur plateforme de vente. Prenez l'exemple de Booking.com, aussi. Son arrivée a correspondu à une vague de profonde démocratisation et de soutien à l'innovation. Booking.com a permis tout d'un coup à nombre de petits hôtels qui étaient perdus et avaient du mal à communiquer - bref, qui avaient des problèmes d'accès au marché - d'avoir d'un coup des millions de clients potentiels. Dans un premier temps, ces hôtels ont bénéficié d'un flux continu de clients. Mais dans un second temps, ils sont devenus tellement dépendants de ce flux de clients que la plateforme en vient à capter une part grandissante de la valeur ajoutée qu'ils produisent. Et certaines analyses économiques révèlent une tendance à ce que les comparateurs de prix où les enchères des mots-clés ont comme conséquence d'absorber la valeur ajoutée d'à peu près tous les secteurs économiques, ne laissant aux acteurs économiques juste que ce qu'il faut pour survivre.

En politique, la puissance horizontale de déverrouillage de l'innovation a, dans un premier temps, fait tomber des dictateurs - en tous cas le numérique y a contribué - et aidé M. Obama, ou notre actuel président de la République, à se faire élire. Ces technologies d'organisation très décentralisée permettent en effet de créer un parti politique en partant presque de zéro, de manière extrêmement rapide, de lever de l'argent et de diffuser de l'information à des coûts ridicules et en un temps record. Mais, dans une seconde phase, on a aussi pris conscience que la même technologie a contribué à faire élire le successeur de M. Obama. Et si les activistes du monde entier ont d'abord vu dans Internet un moyen de se renforcer, en rassemblant rapidement des foules nombreuses, on sait aujourd'hui que, sans le numérique, Daech n'aurait pas existé, puisqu'il n'aurait pas pu recruter des jeunes en les manipulant à distance, ni organiser leur flux vers l'État islamique.

Néanmoins, la révolution numérique a été, et est toujours, un moyen incroyable de démocratiser notre société et notre économie et de relancer l'innovation en injectant dans de nombreux secteurs une saine concurrence. Pour les taxis, par exemple, après une phase où la concurrence a fait monter tous les acteurs en gamme, et où l'arrivée des plateformes a créé des emplois, souvent dans des bassins qui en étaient assez éloignés, ce qu'on appelle les travailleurs indépendants sont en réalité placés dans une double subordination.

Il faut également garder à l'esprit la subordination que subissent ces prétendus travailleurs indépendants envers les utilisateurs. L'obséquiosité des chauffeurs de VTC ne vous a-t-elle jamais choqués ?

M. Gérard Longuet, rapporteur. - Certains diraient qu'ils ressemblent à des candidats aux élections...

M. Benoît Thieulin. - Absolument, et pour cause : s'ils ont trop de mauvaises notes, ils sont renvoyés. Rarement une situation économique aura été marquée par une telle dépendance.

Je ne cherche pas à donner une image apocalyptique de la situation : le numérique est une chance pour la démocratie, mais des choix politiques et géopolitiques s'imposent. Il s'agit de savoir quels usages nous voulons, ou non, pour le numérique.

À cet égard, nos préconisations sont de quatre ordres.

Premièrement, il convient de savoir précisément ce qui se passe dans ces boîtes noires que sont les plateformes. Qui sait quels types de produits sont vendus, après la saisie de quels mots-clefs ? Quel produit est favorisé, pour quelles raisons ? Pour se faire une idée de la situation, il faut imaginer Bercy mettant en oeuvre des politiques macroéconomiques sans l'aide de l'Insee, sur la seule base de quelques cas litigieux dont les tribunaux se sont saisis. Avant tout, il est donc indispensable de réarmer la puissance publique, en réunissant des équipes d'ingénieurs au sein d'une agence européenne d'évaluation des plateformes. Les plateformes ne sont pas censées fournir leurs algorithmes, qu'elles adaptent sans cesse et qui relèvent du secret industriel. En revanche, étant donné l'importance qu'elles ont prise dans nos vies, nous devons être en mesure de surveiller leur activité en permanence. Sinon, les États se contenteront demain de gérer des infrastructures physiques qui leur échapperont de plus en plus. Dans dix ou vingt ans, ils seront totalement désarmés.

Mme Catherine Morin-Desailly. - C'est déjà le cas.

M. Benoît Thieulin. - Certes, mais il est encore temps de réagir. Si l'on ne réarme pas la puissance publique, les utilisateurs devront exiger un droit de vote chez Google, Facebook ou Amazon : telle est, à mon sens, l'alternative. Ces plateformes sont très puissantes, mais les Européens représentent un tiers des 1,5 milliard d'individus qui ont recours à elles : et cette clientèle est sans doute celle qui leur rapporte le plus d'argent.

Deuxièmement, il faut assurer une régulation. Avec le RGPD, l'Europe a accompli une très grande avancée. Ce succès prouve que, malgré leurs cris d'orfraie, les plateformes étaient tout à fait prêtes à négocier - elles sont presque embarrassées par le pouvoir qu'elles ont gagné. On sait qu'elles ont pu contribuer à perturber des élections et elles se trouvent, de ce fait, dans une situation délicate. Pour l'heure, on se contente de discuter, avec Mark Zuckerberg ou avec d'autres : c'est nécessaire, mais ce n'est pas suffisant. Au cours des derniers mois, en modifiant son algorithme, Facebook aurait retiré 1 milliard de contenus haineux : ces chiffres sont vertigineux. Mais cette méthode ne peut qu'être transitoire. La puissance publique, démocratiquement élue, doit assumer la régulation le plus vite possible. Voilà pourquoi le RGPD doit être étendu aux médias et à l'économie.

Troisièmement, nous formulons une recommandation d'ordre stratégique : on ne pense pas suffisamment le numérique en Europe. Après la chute du mur de Berlin, les États-Unis ont réuni de nombreux experts, universitaires, militaires, politiques, pour penser la puissance au XXIe siècle. Les experts ont abouti à cette conclusion : la puissance sera fondée sur les infrastructures immatérielles. La politique poursuivie depuis lors par les Américains se fonde sur ce principe. Des capacités d'investissement hors normes ont été accordées aux grandes entreprises du numérique, lesquelles donnent la priorité à leur effort d'investissement. Désormais, l'Europe doit, elle aussi, faire des choix politiques forts en matière de numérique. Le Safe Harbor est un traité inégal, au sens où les Chinois parlaient de « traités inégaux » au XIXe siècle : en 2000, les Américains pensaient déjà le big data de 2015 et, de leur côté, les Européens négociaient en contrepartie un peu plus d'exportations de voitures allemandes et de vin français. Voyez, en parallèle, ce qui reste de notre stratégie de Lisbonne. Doit-on continuer de s'abriter sous le parapluie numérique américain ? Bien sûr, il est plus attractif que le parapluie numérique chinois, mais nous sommes bel et bien dans une nouvelle guerre froide, où le numérique joue un grand rôle et qui a, comme la précédente, l'Europe pour principal terrain : ne soyons pas réduits au rang d'otages technologiques.

Quatrièmement, il est grand temps de se doter d'une véritable politique industrielle. Le plan Juncker allait dans la bonne direction, il était d'assez grande ampleur, mais il ne faisait pour ainsi dire pas de choix stratégiques. On peut tout à fait accepter que la raquette numérique ait des trous - encore faut-il, néanmoins, qu'il y ait une raquette ! Je pense, évidemment, au cloud. Il y a une dizaine d'années, les acteurs économiques dominants ont capté les subventions accordées à cette technologie, aux dépens d'OVH, et ils ont échoué : aujourd'hui, il faut faire des choix beaucoup plus fléchés. Je pense également à la 5G. Cette infrastructure-clef ne peut pas être soumise aux aléas d'une nouvelle guerre froide, dans un contexte d'évolutions technologiques que nous ne maîtrisons pas. À cet égard, Nokia, Ericsson et Alcatel auraient un rôle à jouer : tant pis si nous perdons deux ou trois ans. Nous voyons aujourd'hui l'importance géopolitique stratégique de Galileo, qui, malgré des débuts difficiles, a été un succès. Je pense, enfin, à l'operating system. Le mois dernier, WhatsApp a dû admettre une grave faille de sécurité. En l'occurrence, c'est bien l'operating system qui était en cause : il est indispensable de forger un operating system européen. Procéder sans cet outil, cela revient à faire la guerre sans chars ni fusils.

M. Gérard Longuet, rapporteur. - Merci de cette communication passionnante, extrêmement claire et illustrée d'exemples parlants.

Selon la formule consacrée, lorsqu'une innovation apparaît dans le secteur numérique, les Américains en font du business, les Chinois la copient et les Européens la régulent. Mais, pour assurer une régulation à l'échelle de l'Union européenne, il n'est pas facile de dégager une majorité. La question cruciale qui se pose ici est de savoir si les États sont à même de pousser leurs citoyens à adopter tel ou tel comportement, par exemple à ignorer telle ou telle plateforme ?

Mme Catherine Morin-Desailly. - À propos des VTC, vous mettez en évidence ce qu'on nomme le « capitalisme de surveillance ». Mais ne s'agit-il pas d'un nouvel esclavagisme ?

Il faut certes une politique industrielle européenne pour le numérique. Toutefois, une agence serait-elle efficace ? Et les plateformes sont-elles réellement pleines de bonne volonté, voire « embarrassées » par leur pouvoir ? Voyez le lobbying qu'il a fallu vaincre pour mettre en oeuvre le RGPD ou la directive sur les droits d'auteur. Quant à Mark Zuckerberg, il savait dès 2014 que les Russes avaient infiltré Facebook, il n'a rien fait et a même menti sur ce sujet. N'est-il pas temps d'entrer dans une ère nouvelle, en instaurant un véritable statut des plateformes, en reprenant le chantier de la directive sur le commerce électronique et en se gardant de tout angélisme ?

Enfin, pouvez-vous préciser ce que vous suggérez pour la régulation, qu'il s'agisse de la concurrence ou des médias ?

M. Hugues Saury. - Vous faites un parallèle entre le changement climatique et la transformation numérique. Les Européens sont, en grande partie, conscients du premier enjeu. Mais mesurent-ils bien l'importance du second ? Et la révolution numérique peut-elle perdurer longtemps sans l'approbation des citoyens ?

M. Franck Montaugé, président. - Quelles limites apporter à la nécessité de connaître les algorithmes, au regard des droits individuels ?

M. Benoît Thieulin. - Monsieur le rapporteur, je suis persuadé que l'on peut réguler les plateformes à l'échelle européenne. Bien sûr, elles sont adoptées, voire adorées, par nombre d'utilisateurs. En outre, elles ont changé tous les pans de la vie des individus, qu'ils le veuillent ou non. Il ne faut pas tuer cette innovation, mais il est indispensable de contrer ses dérives et, à cette fin, nous disposons d'une force de frappe considérable : les plateformes comptent 500 millions d'utilisateurs en Europe, et ces clients sont parmi les principaux au monde. Si nous leur imposons des règles, elles les appliqueront, et elles les étendront même à d'autres régions du globe. Certes, elles ne sont pas là pour mener une action philanthropique, mais elles sentent le vent tourner. Elles sentent même le vent du boulet.

L'activité de Facebook se concentre sur les réseaux sociaux : c'est un pan assez limité de l'activité numérique, et l'entreprise ne semble pas franchement se diversifier. En outre, les plus jeunes utilisateurs ont déjà basculé vers d'autres plateformes ; pour l'essentiel, les clients de Facebook ont plus de quarante ans. De surcroît, la personnalité publique, quasi politique, qui incarne l'entreprise, Mark Zuckerberg, peut aujourd'hui apparaître comme un handicap, après avoir été un atout. Voilà pourquoi Facebook traverse une zone de turbulences assez fortes ; voilà pourquoi elle a viré sa cuti en se prononçant en faveur du RGPD. À l'évidence, le rapport de force a changé, à défaut de s'inverser. J'ajoute que le travail en faveur de la protection des données personnelles doit être poursuivi dans le domaine de la vente en ligne.

Madame Morin-Desailly, je ne crois pas tomber dans l'angélisme ; peut-être ai-je même brossé un tableau trop sombre, mais, comme vous l'avez vous-même indiqué dans l'un de vos rapports d'information, il faut à tout prix éviter que l'Union européenne ne devienne une « colonie du monde numérique ». Par leur activisme contre la directive sur le droit d'auteur, les plateformes m'ont profondément choqué : elles ont utilisé leur propre force de frappe à des fins de propagande. Il s'agit là d'un véritable problème démocratique.

Je ne crois pas non plus être naïf face à Uber. Cette entreprise, comme beaucoup d'autres, nous met face à de nombreuses questions sociales auxquelles il faudra répondre.

Pour réguler un secteur, il est indispensable de le connaître. L'Autorité des marchés financiers suit au quotidien les variations suspectes du cours des actions. En cas de soupçon, une enquête est immédiatement déclenchée. Désormais, il faut faire de même dans le secteur numérique. On ne peut plus se contenter de réagir après coup, en attendant de constater des dérives et voire de prononcer des sanctions, notamment politiques. Voilà pourquoi il faut une instance d'évaluation.

Je prendrai un autre exemple concret. EDF dispose, ou du moins disposait, d'un monopole naturel. Imaginez que, du jour au lendemain, cette entreprise décide d'abandonner le 220 volts, pour passer à 400. Dans votre usine, qui fonctionne à 220 volts, toutes les machines brûlent ; EDF vous a prévenu par un mail que vous lisez, trop tard pour éviter de faire « griller » votre usine. Or, de l'autre côté de la rue, vous voyez s'installer une nouvelle société, qui propose les mêmes produits que vous et qui, elle, dispose de machines fonctionnant à 400 volts. Cette situation paraît invraisemblable, mais c'est ce qui se passe en permanence dans le secteur du numérique : les plateformes, qui sont en situation de quasi-monopole naturel, disposent d'un droit de vie et de mort sur tout un ensemble d'acteurs. Il leur suffit de modifier les API.

Il faut revoir la directive sur le commerce électronique. Il faut réfléchir à un nouveau statut pour les plateformes, en leur imposant un cahier des charges contraignant : aujourd'hui, les règles de droit classiques mises à part, elles assument trop peu de responsabilités.

Monsieur Saury, vous avez entièrement raison : face à l'urgence climatique, la prise de conscience est réelle. Mais l'aveuglement persiste face à la révolution numérique. Je peine souvent à faire comprendre à mes interlocuteurs pourquoi la neutralité d'internet est une notion essentielle. Nous ne sommes pas nés avec internet. Nous sommes, d'une certaine manière, des migrants du numérique : mais, grâce à ce décalage, nous disposons d'un autre regard sur la liberté d'expression.

Nous avons un grand travail de pédagogie à mener au sujet des nouveaux médias. Il faut enseigner le codage dans les écoles, ne serait-ce que pour démystifier la technologie. Ma grand-mère et mon arrière-grand-mère connaissaient des rudiments de mécanique et d'électricité. Aujourd'hui, l'effet « boîte noire » asservit nos concitoyens. Il faut leur permettre de décoder le monde numérique pour éviter des entreprises de manipulation.

Enfin, monsieur le président, les changements algorithmiques peuvent avoir des effets considérables sur notre société. Après l'élection de Donald Trump, Facebook a été attaqué pour avoir permis l'essor de la société Cambridge Analytica. Mark Zuckerberg a décidé que les informations seraient à l'avenir diffusées de manière différente, en favorisant les échanges locaux. Au passage, ce dispositif est sans doute l'un des facteurs de l'émergence des gilets jaunes.

À l'évidence, les changements algorithmiques décidés par les plateformes ont, aujourd'hui, de nombreuses conséquences économiques et sociales. Ce serait une folie de les laisser au bon vouloir des entreprises privées : même avec les meilleures intentions du monde, elles n'ont pas la responsabilité démocratique permettant d'exercer de tels pouvoirs.

M. Franck Montaugé, président. - Nous vous remercions de l'éclairage que vous nous avez apporté.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de M. Bernard Benhamou, secrétaire général de l'institut de la souveraineté numérique

La réunion est ouverte à 16 h 40.

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de M. Bernard Benhamou.

Cette audition sera diffusée en direct sur le site internet du Sénat et fera l'objet d'un compte rendu publié.

Enfin, je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Levez la main droite et dites : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Bernard Benhamou prête serment.

M. Franck Montaugé, président. - Ancien délégué aux usages de l'internet au ministère de l'enseignement supérieur, de la recherche et de l'innovation, vous êtes aujourd'hui secrétaire général de l'institut de la souveraineté numérique, institution que vous avez contribué à créer ; vous comprenez pourquoi nous vous auditionnons aujourd'hui, d'autant que vous êtes familier des travaux que le Sénat consacre au numérique.

Vous avez participé au sommet des Nations unies pour la gouvernance d'internet. Vous y défendiez alors la position française, et européenne, à propos de l'architecture d'internet. Celle-ci se résumait à trois principes fondamentaux : interopérabilité, ouverture et neutralité. Pouvez-vous nous exposer rapidement les enjeux soulevés par la gouvernance d'internet, que vous avez qualifiée de « nouveau théâtre des conflits internationaux » ?

La France ne semble pas être aujourd'hui en position de force sur ce terrain. Elle peine à imposer ses régulations aux grandes plateformes numériques. Les grands acteurs sont américains et, de plus en plus, chinois. Vous ne croyez pas « au déterminisme dans le numérique ». Vous considérez cependant que nous sommes à un moment-clef et, comme notre interlocuteur précédent, M. Benoît Thieulin, qu'au-delà de la France c'est l'Europe qui doit réagir. Sur la forme que doit prendre cette réaction, au niveau national et européen, nous serions heureux d'entendre vos propositions.

M. Bernard Benhamou, secrétaire général de l'institution de la souveraineté économique. - Vous avez cité les travaux que j'ai pu consacrer aux questions numériques quand j'étais sherpa de l'ambassadeur de France aux Nations unies. Depuis lors, nous sommes toujours face à des rapports de force. Dans le même temps, le paysage numérique a changé, mais pas toujours dans le bon sens.

Nos interlocuteurs du département d'État nous disaient : « L'Europe n'a pas de grands acteurs dans ce domaine. Elle ne sait que geindre. » C'était il y a treize ans. De même, pour Barack Obama, alors président des États-Unis, la France était en fait jalouse des géants américains, qui ont façonné internet.

Notre réponse doit être avant tout industrielle. Si important soit-il, le RGPD est largement insuffisant face aux difficultés actuelles. Nous sommes pris en tenaille entre le laisser-faire américain, qui donne lieu aux pires excès - je pense notamment à l'affaire Cambridge Analytica - et la vision totalitaire, orwellienne, défendue par la Chine, avec le système de notation baptisé « crédit social ». En Chine, l'on en vient à imposer aux personnes mal notées une sonnerie téléphonique particulière : le Conseil d'État chinois a vivement approuvé cette mesure, en relevant qu'elle permettrait d'acculer les individus mal notés à la faillite.

Face à ces questions stratégiques, on constate trop souvent une certaine indécision de la classe politique. Le Président de la République a nommé John Chambers, patron de Cisco, ambassadeur mondial de la French Tech. Or ce n'est pas une nomination symbolique. À preuve, M. Chambers a accompagné le chef de l'État lors de son voyage en Inde. On aurait pu faire un meilleur choix....

Il nous faut établir un diagnostic lucide : au-delà des enjeux industriels, nous sommes face à un risque extrême. Désormais, aucun secteur n'est à l'abri de la numérisation, qu'il s'agisse de l'agriculture, de la culture, de la santé, de l'assurance ou du pouvoir de battre monnaie. On ne peut plus se contenter d'une attitude de déploration atterrée. Ce qui se joue, c'est l'avenir européen dans son ensemble. Certes, comme on a pu le rappeler précédemment lors de vos auditions, l'État n'a pas encore été uberisé, mais les plateformes ne demandent pas mieux !

Le déploiement du numérique n'est pas de même nature que l'électrification ou l'essor de la radio au début du siècle dernier : c'est une transformation intégrale de tous les processus de production.

Aujourd'hui, les plateformes sont des intermédiaires incontournables de la vie quotidienne, des éléments essentiels de la structuration du débat public, et partant de l'opinion publique. D'après les pointages, l'élection de Donald Trump s'est jouée à 0,09 % des grands électeurs, soit quelques dizaines de milliers de personnes. À l'échelle d'un tel pays, les plateformes sont tout à fait en mesure d'exercer une influence de cette ampleur.

À côté des GAFAM, on a laissé grandir des monstres inconnus du grand public : les data brokers, dont le métier est de rassembler toujours davantage de données. Or, d'après le Financial Times, ces acteurs ne peuvent pas être régulés : ce sont « les étoiles de la mort de la vie privée ». Voilà pourquoi il faut penser la régulation du futur. À mon sens, l'activité de ces data brokers devra à terme être interdite car, du fait de leur modèle économique, ils ne peuvent pour ainsi dire pas être contrôlés. En l'état actuel des choses, ni Facebook ni personne ne peut dire si les élections européennes qui se profilent seront soumises à telle ou telle influence.

M. Gérard Longuet, rapporteur. - Fondamentalement, l'économie numérique semble marquée par une double perversité.

Premièrement, personne ne paye - du moins apparemment - et l'absence de paiement entraîne des addictions extraordinairement fortes, lesquelles contrebattent les volontés politiques nationales ou européennes. La vente de données semble donc, pour l'heure, inévitable.

Deuxièmement, le financement par les marchés est ambigu. Les investisseurs européens veulent avant tout recevoir des dividendes ; mais, dans le monde anglo-saxon et dans les pays de la zone Pacifique, l'on privilégie la montée en puissance de l'entreprise, l'on garde l'oeil rivé sur les parts de marché, et peu importe si, dans un premier temps, l'on perd de l'argent.

Pour un Français, une entreprise comme Amazon est donc doublement curieuse. D'une part, elle a court-circuité toutes les législations nationales relatives à la distribution commerciale, notamment la loi Royer. D'autre part, elle a longtemps accepté de perdre de l'argent pour déployer son modèle économique.

Mme Catherine Morin-Desailly. - Effectivement, rien n'est gratuit : la publicité suscite des clics, donc des revenus, lesquels ne sont pas imposés, et les GAFA sont toujours plus puissants. Mais ce modèle est-il durable ?

Quelques voix s'élèvent pour appeler au démantèlement des plateformes. Or, à une question d'actualité que je lui soumettais hier, M. Cédric O a apporté une réponse édifiante : selon lui, si l'on démantèle les plateformes, les internautes européens devront se rabattre sur des plateformes russes ou chinoises, aux dépens de leurs libertés. S'agit-il d'un risque réel ?

M. Jérôme Bascher. - Est-ce qu'il n'y a pas urgence aujourd'hui à réguler au niveau européen, par de la norme, qu'elle soit technique ou juridique, alors que nous sommes encore aujourd'hui le premier marché pour ces entreprises du numérique ?

M. Bernard Benhamou. - La gratuité telle qu'elle a été conçue par les grandes plateformes qui dominent aujourd'hui l'internet est une gratuité qui s'accompagne d'un travail phénoménal sur le caractère addictif des services. La gratuité a donc été conçue comme la meilleure manière de créer le plus rapidement possible un auditoire qui soit le plus large et le plus captif possible. Les relations que nous entretenons avec les plateformes sont asymétriques, par exemple en droit : personne ne lit les conditions générales d'utilisation. Le législateur devrait trouver une réponse à cette asymétrie et créer un socle identique de conditions, pour éviter d'en avoir d'infinies variations. Je vous invite à lire Le capitalisme de surveillance de Shoshana Zuboff, professeure à Harvard. Cet ouvrage montre le caractère totalement inhabituel de la manière dont ces sociétés sont conçues. Elle cite l'exemple du travail des enfants. On l'a interdit, on ne s'est pas demandé s'il fallait introduire des exceptions. Ce n'est pas le cas pour certaines pratiques extrêmes de profilage.

Je vais vous citer l'exemple d'ERDF et du compteur Linky. Je leur ai demandé s'ils savaient que leur compteur permettait de faire du profilage ethnique et religieux. Ils n'ont pas su me répondre, ils voyaient leur compteur comme un simple outil technique, pour réguler au mieux le réseau et ils ne se rendaient pas compte que la donnée de consommation était infiniment personnelle et révélatrice. Il y a beaucoup d'exemples de données non-sensibles qui le deviennent puisqu'on peut, par l'intelligence artificielle ou par des algorithmes, en tirer des informations sensibles. Avec la loi de 1978, on a considéré qu'il y avait des données sensibles. Or, on peut maintenant deviner des choses sur sa santé rien qu'en regardant sa consommation ou ses informations sur Facebook. On peut faire une cartographie des maladies par le biais des recherches sur Google. La donnée a été conçue comme une perte raisonnable pour l'utilisateur, ce n'est plus le cas aujourd'hui. Nous sommes à l'aube de la génomique de masse. La loi américaine HR1313, qui voulait obliger tous les employés des entreprises américaines à subir des tests génétiques en entreprise, sous peine d'être pénalisé de 4000 à 5000 dollars par an, a failli passer au Congrès.

Sur la logique du « winner-takes-it-all » (la première plateforme arrivée gagne tout), c'est ce qui s'est produit avec Amazon puis Uber. Si l'activité de commerce de détail d'Amazon est plus risquée historiquement, ce n'est pas le cas de d'autres services, comme le cloud, très largement bénéficiaires. En éteignant toute forme de concurrence, le pari d'Amazon s'est révélé gagnant, au point que nos distributeurs sont obligés de faire alliance avec Amazon ou Google, par exemple pour être présents sur leurs enceintes connectées.

Sur la durabilité du modèle économique des plateformes, elles ne peuvent exister que si elles ont vocation à s'appliquer à tous les autres secteurs. Les secteurs visés par les GAFAM sont aujourd'hui la monnaie et l'assurance et, pour Apple, la santé. Le but est de reconfigurer ces secteurs, d'utiliser leurs technologies pour proposer des instruments de paiement ; proposer des services financiers (avoir les instruments bancaires pour gérer son budget. Apple s'est allié avec Goldman Sachs pour créer une carte de crédit). Les assureurs n'ont jamais bénéficié d'une manne informationnelle aussi grande que celle dont bénéficient les GAFAM aujourd'hui. On disait, il y a quelques années, que Visa pouvait prévoir quand les gens allaient divorcer. Ces plateformes ont aujourd'hui vocation à étendre leur influence. Google a passé un accord avec la ville de Toronto pour gérer l'un de ses quartiers (capteurs, nouveaux systèmes de transport). C'est un exemple concret d'ubérisation de la fonction politique.

Sur l'antitrust, on peut rappeler un exemple historique, celui de l'Union européenne qui a empêché la fusion de deux sociétés américaines, General Electric et de Honeywell, au début des années 2000. On se rend donc compte que l'Europe n'utilise pas aujourd'hui ses propres instruments. Le rapprochement entre Facebook, Instagram et Whatsapp aurait dû faire l'objet de mesures conservatoires pour pouvoir être examiné par l'Europe. Il n'est pas trop tard aujourd'hui, ceux qui réclament qu'on s'intéresse aux conditions réelles du marché ont tout à fait raison. S'il s'agit, certes, moins d'un risque de prix que par le passé, mais le risque de modifier les conditions de l'innovation et les conditions d'existence des autres sociétés est tout aussi justifiable en termes d'action antitrust.

L'argument russe/chinois a été utilisé récemment pour ne pas sanctionner Huawei, y compris par la numéro 2 de Facebook, qui craignait que cela ne donne la main aux grandes sociétés chinoises dans ce domaine. Là-dessus, rien n'est moins sûr. Si les sociétés chinoises ont été particulièrement habiles à se développer dans le domaine du hardware et à s'exporter, les réseaux sociaux chinois, eux, ne s'exportent quasiment pas. Un article récent du New-York Times montrait que les start-upers chinois, contraints par les perspectives de contrôle politique et social, fuyaient la Chine. Il est plus facile de maintenir un haut niveau d'innovation dans le domaine des hardwares et des réseaux que dans celui des logiciels : les contraintes politiques qui pèsent sur cette industrie chinoise pourraient devenir un véritable obstacle à son développement.

M. Rachel Mazuir. - Vous avez dit que certains parlementaires américains avaient demandé le démantèlement de Facebook. Pourquoi Facebook plus particulièrement ?

M. Bernard Benhamou. - Facebook est celui qui a posé le plus de problèmes politiques. Google a mieux réussi à passer sous silence son implication dans la radicalisation (par son moteur de recherche mais aussi par les vidéos de Youtube). Cambridge Analytica s'appuyait sur le micro-targeting via Facebook, mais l'antitrust se pose aussi pour les autres géants du numérique : pour Apple et sa plateforme de distribution, pour Amazon et les clauses léonines qu'elle a parsemé dans ses contrats avec les intermédiaires.

Mme Catherine Morin-Desailly. - Nous débattions récemment au Sénat de la taxation des GAFAM. D'aucuns évoquaient alors l'idée de la marchandisation et de la valorisation financière des données. Qu'en pensez-vous ? Ma deuxième question porte sur le rapport de la mission de régulation des réseaux sociaux remis au début du mois de mai 2019 au Président de la République. Quand on le lit, on peut s'étonner de « l'angélisme » du rapport, qui prône une auto-régulation, voire une corégulation de ces plateformes. Qu'en pensez-vous ?

M. Bernard Benhamou. - Sur la « patrimonialisation » des données, certains défendent l'idée que les utilisateurs pourraient être rémunérés en échange de leurs données. C'est le prototype de la fausse bonne idée, de l'enfermement des utilisateurs sous la coupe des GAFAM. À partir du moment où vous vous êtes dépossédés de vos données, la plateforme est en droit d'en faire ce qu'elle veut, alors même que le contrôle est aujourd'hui déficient. À long terme, on peut imaginer des choses aberrantes, telles que la génomique. Au lieu de s'autoréguler la plateforme, on va essayer d'en obtenir des miettes. Ce n'est pas la bonne stratégie, il faut se demander si le modèle économique de ces sociétés doit être remis en question. Cet aspect était totalement absent du rapport remis au Président de la République. Ce rapport portait sur les propos de haine, or l'un des vecteurs de dissémination de ces propos, c'est le profilage des individus. Si on ne s'attaque pas au coeur, s'attaquer à la périphérie du sujet sera se condamner à l'impuissance. Ce rapport aurait mérité d'avoir une posture plus offensive que la posture de conciliation à laquelle il a abouti.

M. Franck Montaugé, président. - Êtes-vous favorable à une relocalisation des données, à l'échelle nationale ou européenne, avec un contrôle de l'utilisation et de la commercialisation des données ?

M. Bernard Benhamou. - Absolument, à l'échelon européen. L'un des éléments clés de la souveraineté est la territorialité. Les Allemands sont allés plus loin en recommandant que les données des Allemands ne quittent pas le territoire européen. L'Inde s'en est aussi inquiétée, tout comme la Chine, pour d'autres raisons. Est-ce que cela sera suffisant au vu de la volonté d'extraterritorialité du droit américain (ex. Cloud Act) ? Cela demeure à voir. Après l'affaire Snowden, à laquelle la France a répondu de manière timide à l'époque, contrairement à l'Allemagne, nous n'avons pas fait suffisamment tôt le bilan des événements et de leurs implications. Nous avons été naïfs.

Nous sommes l'une des premières plateformes mondiales de consommation des biens technologiques mais, pourtant, pour l'essentiel, les compagnies qui en retirent le plus de profits ne sont pas européennes. En découlent des problèmes de taxation, des pratiques d'optimisation et d'évasion fiscale. Si on ne développe pas une véritable politique industrielle dans ce domaine, nous n'existerons pas. Là-dessus, les États-Unis ont été d'une extraordinaire opiniâtreté, en jouant un véritable rôle d'entrepreneur. Il faut mettre fin « au mythe du garage ». Les secteurs clés dans ce domaine ont été très largement financés par l'État américain. Palantir, partenaire de Cambridge Analytica, a été fondé sur le fonds d'investissement de la CIA. Palantir a en plus contractualisé avec la DGSI, ce qui n'a pas été sans soulever quelques questions. Après l'ère de la naïveté, l'ère de la lucidité doit rapidement advenir, avec la construction active d'une politique industrielle européenne et française. Dans les secteurs clés que sont la santé connectée, l'énergie, l'environnement, les transports et les technologies financières, nous nous exposons à de vrais risques si nous ne réagissons pas.

M. Franck Montaugé, président. - Vous avez dit que l'État n'a pas encore été ubérisé. L'État a évolué au fil des âges. Le concept d'État-entreprise est aujourd'hui avancé comme un moyen de décrire la situation politique dans laquelle on est. Aujourd'hui, on sent bien qu'à travers ces GAFAM, le rapport de forces s'inverse ; le monde politique se conforme aux techniques et aux stratégies de développement de ces entreprises. Comment voyez-vous les choses ? Considérez-vous que nous vivons un moment d'affaiblissement des États au bénéfice de ces grandes entreprises, qui participent d'un effacement du politique ?

M. Bernard Benhamou. - Je ne suis pas totalement d'accord. Les exemples de la période récente ont montré que les actions menées pour influencer les processus électoraux conduisaient toujours à polariser les opinions pour mener à la prise de pouvoir de partis extrêmes. La reprise en main à laquelle nous assistons en Chine se fait grâce aux entreprises. Internet, dans ses premières décennies d'existence, s'est développé comme une plateforme d'innovation. On a alors vu des géants venir le cartelliser, avec, aujourd'hui, une quasi-concurrence avec les pouvoirs étatiques traditionnels. Est-ce qu'on pourrait assister à une reprise en main par des sociétés qui deviendraient des substituts des États ? Ce n'est pas une perspective impossible. Le premier métier de Palantir, c'est la prédiction en matière de terrorisme. Faire appel à eux revient à déléguer une partie de nos fonctions stratégiques à une entreprise étrangère. Depuis, la France a souhaité se rapprocher de l'Allemagne pour créer une alternative franco-allemande à Palantir, mais ce n'est pas encore fait. Le risque de voir ces entreprises battre monnaie n'est pas non plus nul. Tout n'est pas encore joué, cependant, sur ces liens et ces confrontations entre entreprises technologiques et États. Pour l'instant, il y a une sorte de méfiance réciproque et d'autocontrôle réciproque. Il y avait une grande porosité, sous la présidence Obama, entre l'administration présidentielle et les cadres des grandes entreprises du numérique.

M. Franck Montaugé, président. - Merci.

La réunion est close à 17h35.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.