COMPTES RENDUS DE LA MCI SUR LA GOUVERNANCE MONDIALE DE L'INTERNET

• Mardi 15 avril 2014
  • Audition, sous forme de table ronde, de Mmes Céline Castets-Renard, professeur à l'université Toulouse I Capitole, co-directrice du master 2 « droit et informatique », Jessica Eynard, docteur en droit, auteur de Les données personnelles, quelle définition pour un régime de protection efficace ? (2013), et Valérie Peugeot, vice-présidente du Conseil national du numérique, présidente de l'association Vecam et prospectiviste à Orange Labs, et de M. Francesco Ragazzi, chercheur associé au centre d'études et de recherches internationales (CERI) de Sciences Po Paris et maître de conférences à l'université de Leiden (Pays-Bas).
  • Audition de M. Philippe Boillat, directeur général, et de Mme Sophie Kwasny, chef de l'unité « protection des données » au sein du service de la société de l'information, de la direction générale des droits de l'Homme et de l'État de droit du Conseil de l'Europe
  • Audition de Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés

---

Mardi 15 avril 2014

- Présidence de M. Gaëtan Gorce, président -

Audition, sous forme de table ronde, de Mmes Céline Castets-Renard, professeur à l'université Toulouse I Capitole, co-directrice du master 2 « droit et informatique », Jessica Eynard, docteur en droit, auteur de Les données personnelles, quelle définition pour un régime de protection efficace ? (2013), et Valérie Peugeot, vice-présidente du Conseil national du numérique, présidente de l'association Vecam et prospectiviste à Orange Labs, et de M. Francesco Ragazzi, chercheur associé au centre d'études et de recherches internationales (CERI) de Sciences Po Paris et maître de conférences à l'université de Leiden (Pays-Bas).

La réunion est ouverte à 14 h 35.

M. Gaëtan Gorce, président. - Je vous remercie d'avoir répondu à notre invitation et vous laisse sans plus tarder la parole pour préserver le temps d'un échange au terme de vos présentations.

Mme Valérie Peugeot. - La période que nous vivons offre des opportunités formidables en matière de gouvernance mondiale de l'internet. Nous le devons à deux événements. Le gouvernement américain, tout d'abord, vient d'annoncer qu'il renonçait à son contrôle sur deux organisations essentielles, l'ICANN (Internet Corporation for Assigned Names and Numbers) et l'IANA (Internet Assigned Numbers Authority), ouvrant ainsi la voie à une gouvernance multilatérale, réclamée de longue date par de nombreux gouvernements et par la société civile. Le second événement, plus déterminant encore, nous le devons au lanceur d'alerte Edward Snowden, qui a dévoilé la fragilité intrinsèque de l'architecture numérique en mettant sur la place publique l'ampleur des dispositifs de surveillance devenus possibles dans un monde hyper connecté. Ce coup de tonnerre a mis fin à la période de consensus positiviste légèrement béat qui dure depuis le milieu des années 1990 et qui voulait que toute innovation technologique numérique soit nécessairement positive, tandis que les rares voix qui se montraient plus nuancées n'étaient guère écoutées. Ce faisant, Snowden a rendu la technologie au champ politique, en nous invitant à en faire un objet politique au coeur du modèle de société que nous entendons porter, à l'heure où le numérique touche presque toutes les activités humaines. Depuis près de trente ans, les organisations qui construisent et développent Internet et le web - je pense en particulier à l'IETF (Internet Engineering Task Force) et au W3C (World Wide Web Consortium) - sont portées, avec le succès indéniable que l'on sait, par des ingénieurs mis à disposition par leur entreprise - ou par des universités dans le cas du W3C - lesquels, c'est dans l'ordre des choses, sont conduits par des critères d'efficacité technique, visent à répondre aux besoins des acteurs économiques, et à développer des marchés potentiels. On ne peut pas leur demander de porter la vision stratégique sur le monde numérique à construire dont nous avons pourtant absolument besoin.

Sans une telle vision, nous pourrions bien découvrir, demain, que nous avons inconsciemment construit une société de surveillance absolue ou que le numérique a détruit en masse l'emploi sans que nous ayons construit de modèles alternatifs de redistribution du travail et des revenus. Une telle réflexion ne saurait être portée par les seuls ingénieurs, mais doit l'être par le tissu social et politique dans son ensemble. Quels peuvent en être les axes ?

J'en vois, pour ma part, trois : politique industrielle, diversité culturelle et création en commun par les internautes, confiance et libertés publiques.

Quelle doit être, en matière numérique, notre politique industrielle ? Le déficit de l'Union européenne en la matière constitue un lourd handicap, tant sur les marchés, où nos entreprises peinent à percer face aux géants américains, que dans les négociations internationales, comme celles qui sont en cours sur le traité transatlantique, le TTIP, où l'Europe entre mal préparée, où ses industriels n'ont guère conscience des enjeux commerciaux qui s'y jouent, et qui met en jeu, au-delà même, la question du rôle de la puissance publique et des services publics dans une société numérique. Il pourrait bien, dans des domaines comme l'éducation ou la santé, se révéler un cheval de Troie.

M. Gaëtan Gorce, président. - Vous dites que les industriels sont mal préparés. Pouvez-vous donner des exemples qui justifient vos inquiétudes ?

Mme Valérie Peugeot. - Le Conseil national du numérique, consulté sur ces négociations, a entendu une multitude d'acteurs. Nos entreprises ne sont pas préparées, elles ne perçoivent pas les enjeux alors qu'en face, les négociateurs américains, entourés d'une armée de lawyers, sont en ordre de bataille.

M. Gaëtan Gorce, président. - Mais y a-t-il des sujets plus sensibles que d'autres ?

Mme Valérie Peugeot. - Oui, celui de la commission arbitrale : les États se trouveraient relégués derrière la primauté accordée aux acteurs privés. La question des données est également essentielle ; les États-Unis veulent se servir du TIPP pour contourner les initiatives de la Commission européenne et le projet de règlement sur la protection des données personnelles. Ce qu'ils recherchent, c'est la dérégulation.

Pour y faire contrefeu, il importe de réaffirmer à l'échelle mondiale le principe de neutralité de l'Internet, comme l'avait demandé le Conseil national du numérique dans un avis rendu en mars 2013 et comme vient de le réaffirmer le Parlement européen au début de ce mois. Si ce principe fondateur était remis en cause, ainsi que le laissent craindre les signaux que l'on perçoit outre-Atlantique, l'innovation en pâtirait, les gros acteurs prenant le pas sur les petits, et l'industrie européenne en particulier, puisqu'en l'état des forces sur le marché, les principaux bénéficiaires d'une telle remise en cause seront nord-américains. À nous, Européens, de défendre haut et fort le principe de neutralité du net dans un cadre mondial, dès le NetMundial de Sao Paulo.

Les acteurs européens gagneraient également à investir davantage les espaces où se construisent les normes et les protocoles de demain, dans lesquels ils sont sous-représentés. J'ajoute que c'est dans des domaines nouveaux comme l'Internet des objets ou de la ville intelligente que se construisent les standards de demain : en l'absence d'espace de gouvernance, ce sont les entreprises américaines qui tirent le processus. Si bien que l'on risque de voir disparaître les standards ouverts, interopérables, qui ont présidé à la création de l'Internet et fait la philosophie originaire du web, qui mérite d'être préservée.

Dans le monde numérique, un mouvement de concentration oligopolistique opère sous nos yeux, auquel il s'agit de résister. Internet et le web ont été imaginés par leurs concepteurs initiaux comme des espaces distribués permettant au plus grand nombre de créer, d'innover. Cette vision s'atrophie à mesure que le jeu se concentre autour de quelques plates-formes caractérisées par leurs marchés bifaces, voire multifaces dans le cas de Google qui étend son emprise bien au-delà de ses métiers initiaux. Face à cela, nous devons promouvoir, au même titre que la neutralité des réseaux, une forme de neutralité des plates-formes sans laquelle les utilisateurs se retrouveront piégés par quelques acteurs surpuissants qui ne leur laisseront d'autre choix que de préempter leurs traces et leurs données personnelles. Le Conseil national du numérique a été saisi de ce sujet, sur lequel il remettra prochainement des recommandations.

Le rôle de l'OCDE, enfin, institution qui a le pouvoir d'aborder la question fondamentale de la fiscalité numérique, ne doit pas être négligé. Notre fiscalité internationale, imaginée à l'ère industrielle, est désormais inadaptée puisqu'elle laisse, en toute légalité, une part majeure de la richesse créée par les acteurs du numérique échapper à la logique redistributive. L'optimisation fiscale, par laquelle une part essentielle de l'économie, qui ne fera que croître, échappe à l'impôt, outre qu'elle est injuste pour les autres acteurs de l'économie, sape radicalement l'instrument majeur de l'action publique. Laisser faire, c'est sacrifier au modèle du toujours moins d'État au lieu d'aller vers celui du mieux d'État. L'OCDE a commencé à s'emparer du sujet ; l'Europe doit s'y montrer une force de proposition. La gouvernance de l'Internet passe aussi par la fiscalité.

Le deuxième axe stratégique porte sur les enjeux culturels, au sens fort, en tant qu'ils engagent des questions de civilisation. Le numérique tel qu'il s'est déployé à travers les réseaux, est, historiquement, un vecteur de diversité culturelle et de créativité. Étant inscriptible, modifiable, contributif, le web est le produit de ce que l'on a appelé des « proams » ; il participe à faire tomber la séparation historique entre producteur et consommateur, entre le créateur et son public, entre professionnel et amateur. Contrairement à l'ère prénumérique où ce que l'on a coutume d'appeler le soft power était en grande partie entre les mains des médias traditionnels et de l'industrie culturelle, tout un chacun peut aujourd'hui, sous condition d'équipement et d'accès au réseau, façonner les créations et les savoirs mondiaux, en écrivant, publiant, partageant, faisant circuler, produisant des contenus, des informations, des données.

Cette capacité contributive distribuée est un facteur clé de la créativité et de la diversité culturelle de nos sociétés. Il n'est que d'observer le déclin de la part de l'anglais sur la toile au profit des autres langues ou l'explosion des blogs, des conversations informelles sur les réseaux sociaux, des sites contributifs, pour s'en convaincre.

Plus encore, le numérique participe de la construction de nouveaux « Communs », à l'image des biens communaux qui marquèrent notre paysage entre le XIIème et le XVIIIème siècle, c'est-à-dire de ressources qui ne sont gérées ni par le marché et les droits de propriété classiques ni par la puissance publique, mais par des communautés auto-organisées autour de logiques de partage. Je pense bien entendu au logiciel libre, mais aussi à des sites contributifs comme Wikipedia ou OpenStreetMap, à des outils de vigilance citoyenne mondiale comme Ushahidi ou Safecast.

Ces espaces de Communs dans lesquels se pratiquent des échanges non marchands sont essentiels à notre diversité culturelle et répondent, par l'innovation sociale, à des problèmes sociétaux auxquels ni le marché ni la puissance publique ne savent apporter de solution. Les Communs ne s'opposent pas aux marchés mais les complètent ; ce sont des gisements de savoirs, de créativité dans lesquels tout le monde, y compris les acteurs publics et les entreprises, peuvent puiser.

Face à la tendance idéologique dominante qui tend à tout faire rentrer dans le marché, c'est une sphère que nous devons protéger en réaffirmant le principe de neutralité du net, garant de la liberté d'expression.

De ce point de vue, le droit d'auteur mériterait d'être réformé, pour que soient reconnues les productions de ces « proams », ces amateurs créateurs, et recherchées des pistes de financement. Des voies existent, mais qui supposent de secouer le joug idéologique où nous enferme le droit de la propriété intellectuelle, forgé par les acteurs de l'industrie culturelle prénumérique qui cherchent à se protéger à tout prix.

Mme Catherine Morin-Desailly, rapporteure. - Pouvez-vous formuler des propositions concrètes de réforme ?

Mme Valérie Peugeot. - Il existe un droit ascendant, qui n'est pas sorti du chapeau du législateur ou de la jurisprudence, mais de la communauté agissante. Je pense aux Creative Commons, à l'ODBC (Open DataBase Connectivity) ou aux licences historiques du logiciel libre. Il existe déjà une boîte à outils juridique qui ouvre des brèches. Au-delà, il faudra bien reconnaître une place aux échanges non marchands. Sur Internet, les contenus circulent instantanément. On ne peut pas stigmatiser 70% de la population en l'accusant de piraterie. Mieux vaut accompagner des pratiques sociales d'une telle ampleur que chercher à les réprimer. Je vous renvoie aux travaux de Philippe Aigrain sur la contribution créative. Pour préserver les échanges non marchands, il faut trouver d'autres formes de rétribution des auteurs et sortir de la vision binaire dans laquelle nous sommes enfermés depuis le début de l'ère industrielle, où l'on se contente de déplacer le curseur entre puissance publique et marché, pour laisser place à un espace de Communs où les ressources sont gérées sur le mode du partage, dans la lignée de la réflexion née des travaux d'Elinor Ostrom. L'idée émerge ainsi d'un « bundle of rights », un faisceau de droits dans lequel on pourrait imaginer un découplage du droit d'usage.

Enfin, dernier axe stratégique, et non le moindre, celui de la confiance et des libertés dans une société numérique. La confiance est une pierre de soutènement de notre économie. On ne saurait laisser se déployer une économie autour des masses de données sans construire, dans le même temps, les conditions de la confiance. Les acteurs, qui voient miroiter, dans le big data, un nouvel Eldorado, font allègrement la confusion entre données produites par les industriels eux-mêmes et données coproduites avec leurs clients et utilisateurs. Il est indispensable de disjoindre les deux approches. Que les premières fassent l'objet de commercialisation ne pose aucun problème. Mais avec les secondes, coproduites, on entre dans le champ des données personnelles, ce qui suppose une réflexion beaucoup plus poussée. Ces données coproduites font aujourd'hui l'objet de deux modes de commercialisation. Dans le premier, que l'on appelle l'économie de l'attention, l'entreprise offre un service dit gratuit en échange de quoi elle collecte des données qui vont servir à pousser des publicités vers l'internaute ou être revendues sur les marchés de traces. Le second peut, plus utilement, servir à créer de nouveaux services, au bénéfice de l'utilisateur. Il me semble que nous devons décourager la dérive de notre économie vers une économie de l'attention, où le marketing prédictif occupe une place prédominante, car c'est structurellement encourager la captation plus ou moins licite de traces et le renvoi de l'utilisateur à sa condition de consommateur captif. Il faut, au contraire, encourager le développement d'une économie servicielle, dans laquelle les données pourront constituer une ressource, sous contrôle strict de l'utilisateur, mis en mesure de contrôler, modifier, déplacer, effacer les données qu'il a coproduites, ce qui lui reste aujourd'hui impossible. Certes, l'Union européenne travaille, avec le règlement en préparation, à un nouveau cadre juridique, mais qui restera en partie inopérant si la question n'est pas portée à l'échelle mondiale.

Quelle peut être l'enceinte d'une discussion mondiale sur ces sujets ? Il est clair que ce doit être un espace politique, découplé des espaces proprement techniques. Forum de la gouvernance de l'Internet aux compétences et moyens renforcés ou autre cadre à inventer ? En tout état de cause, ce cadre devra être multipartenarial. Le Sommet mondial pour la société de l'information a, entre 2003 et 2005, posé les premières briques d'une telle approche, qui échappe au modèle onusien traditionnel. C'est un laboratoire d'innovation démocratique dont on n'a pas encore tiré le bilan. Toujours est-il qu'il faudra, autour de la table, asseoir, bien sûr, les Etats - même si tout le monde n'est pas d'accord - mais aussi les instances représentatives des collectivités locales, car elles ont un rôle essentiel à jouer dans notre futur numérique, les acteurs de la société civile et les acteurs économiques, petits et grands.

M. Gaëtan Gorce, président. - Merci de cette présentation très complète. Je vais à présent donner la parole à Mme Castets-Renard, qui, étant passée par l'université de Nouvelle Calédonie, y a peut-être croisé l'excellent juriste qu'est le professeur Mathias Chauchat ?

Mme Céline Castets-Renard. - Absolument, nous étions dans le même laboratoire. Sur ce sujet qui soulève bien des débats, touchant notamment au rôle du multipartisme dans la régulation, je tenterai de ramener l'attention vers la question de la production de normes, de réorienter la réflexion vers le droit « dur », en somme.

Le Sommet mondial pour la société de l'information a défini la gouvernance de l'Internet comme « l'élaboration et l'application par les États, le secteur privé et la société civile de principes, normes, règles, procédures de prise de décision et programmes communs propres aÌ modeler l'évolution et l'utilisation de l'internet ». Une telle approche, qui retient des termes assez vagues par souci de consensus, pourrait aboutir à privilégier la soft law, peu contraignante et mal respectée parce que donnant lieu à interprétation.

J'appelle à ne pas oublier ce que sont les exigences de la norme. Le législateur, soit les parlements nationaux et le parlement européen, sans oublier le Conseil de l'Europe, a su avancer sur la question des libertés fondamentales et se rapprocher des grands principes. Il se trouve que la révision de la convention 108 du Conseil de l'Europe et celle de la directive de 1995 interviennent, par hasard, au même moment. La Convention 108 couvre un champ d'application territorial large puisque des Etats hors Union européenne y ont adhéré. Ce pourrait être l'outil le plus pertinent en l'état des travaux...

Si l'on veut un Parlement européen fort, il faut des parlements nationaux forts. C'est une dimension à ne pas négliger, non plus que ne doit être oublié le rôle du juge. J'en veux pour preuve l'invalidation, par la Cour de justice de l'Union européenne, de la directive de 2006 sur la conservation des données personnelles. Décision courageuse, par laquelle elle a considéré que la lutte contre le terrorisme ne pouvait, comme telle, justifier toute conservation des données, à la différence des juges américains, qui estiment que la lutte contre le terrorisme autorise à porter des atteintes aux libertés individuelles. En Europe, c'est la culture juridique de la balance entre les principes qui prévaut : sur un tel sujet, le juge est bien placé pour établir les équilibres.

Je veux ici insister sur l'exigence de précision de la norme, sans laquelle se pose, inévitablement, un problème de légitimité et d'acceptation sociale - voir la controverse soulevée par l'article 20 de la loi de programmation militaire. C'est une exigence d'autant plus impérative lorsqu'elle touche aux données personnelles, ainsi que le rappelle la Cour de justice dans sa décision. S'en remettre, en ces matières, aux décrets d'application, est périlleux.

Pour une norme forte, il faut une volonté politique européenne forte. Or demeure, en Europe, un problème de compétence, on l'a vu sur les questions touchant à la surveillance. Certes, la période préélectorale que nous vivons ne s'y prête guère, mais il est indispensable d'avancer en matière de fiscalité numérique et de données personnelles. Le règlement, qui augmente le niveau de protection, doit être adopté ; ce n'est pas le moment de chipoter sur les termes. Le processus est en cours depuis 2012, on ne peut plus attendre, car plus on tarde, moins on est protégés. On critique beaucoup la CNIL, mais le problème n'est-il pas que les sanctions pénales ne sont jamais appliquées ? L'idée d'une amende véritablement dissuasive, en pourcentage du chiffre d'affaire, mérite d'être explorée. De même, le contrôle qu'autorise le droit européen de la concurrence en matière d'abus de position dominante et de barrières à l'entrée sur le marché mériterait d'être mieux exercé.

Certains, comme les Brésiliens, militent pour une Constitution de l'Internet, afin de marquer symboliquement les esprits sur les principes. Nous gagnerions à les rejoindre. L'Europe pourrait adopter un texte équivalent, qui serait un apport au regard de la Charte des droits fondamentaux, laquelle vise certes, dans son article 8, la protection des données à caractère personnel et consacre le droit de propriété intellectuel comme un droit fondamental, mais sans les envisager sous l'angle du numérique comme tel.

Pour l'heure, la question reste posée du champ d'application des normes européennes, et de la loi applicable en matière de numérique. Les grands prestataires du numérique se trouvant aux États-Unis, c'est sous le régime de la loi américaine que leurs conditions générales d'utilisation s'imposent. L'article 3 du projet de règlement européen, considérant que ce n'est pas la loi territoriale de l'établissement prestataire qui doit s'appliquer, mais celle du lieu de résidence de l'utilisateur, vise à inverser la logique. On pourrait utilement s'inspirer des analyses suscitées par les règlements Rome 1 et Bruxelles 1 sur la question du juge compétent, en retenant le critère de l'activité dirigée. Dès lors qu'un prestataire vient diriger ses services vers le consommateur européen, c'est la loi de ce consommateur qui prévaut. Un tel principe pourrait trouver à s'appliquer, au-delà du consommateur, au citoyen. C'est le moyen de prévenir toute colonisation numérique.

La préservation de notre indépendance passe aussi par les infrastructures. Si elles restent sous contrôle américain, les normes demeureront sans effet. Car c'est le plus souvent en amont que s'opère la captation des données, ainsi que l'a clairement montré l'affaire Snowden. L'initiative conjointe du Brésil et de l'Union européenne, qui militent en faveur d'un réseau propre de câbles intercontinentaux, vaudrait d'être encouragée. C'est un sujet tout particulièrement sensible au Brésil, qui dépend très largement des États-Unis en cette matière. Cela vaut la peine de réfléchir ensemble à des systèmes de sécurisation. On se souvient des déclarations d'un responsable d'Airbus, qui disait que l'on n'est jamais certain, quand on envoie des informations cryptées, de n'être pas victime d'un algorithme truqué qui permettrait à Boeing de les récupérer...

Une telle démarche, pour réussir, doit pouvoir s'appuyer sur une politique industrielle volontaire. Trop de nos étudiants s'expatrient ; la NSA et la Silicon Valley attirent les meilleurs ingénieurs. On ne préviendra cette fuite des cerveaux que par une politique globale.

J'en viens à la question de la neutralité du net. La définition proposée dans le paquet télécoms, avec la notion de services spécialisés, n'est guère pertinente : elle ouvre la brèche au triage des flux. Si l'on remet en cause la neutralité en faisant payer l'accès à des débits, on favorisera les dominants, au détriment des services alternatifs européens. Rompre le principe de neutralité, c'est aussi prendre le risque de voir remis en cause le régime favorable d'irresponsabilité des FAI, les fournisseurs d'accès internet, que leur reconnaît la directive commerce électronique, dès lors, ainsi que le précise l'arrêt Google rendu par la Cour de justice en 2010, qu'ils restent des intermédiaires techniques, neutres et passifs, qui n'interviennent pas sur les contenus. C'est un argument qu'il vaut la peine de faire valoir : il n'est pas de leur intérêt que se mettent en place, comme cela tend à devenir le cas, de multiples mesures de filtrage.

Les entreprises de l'Internet sont essentiellement américaines. C'est un risque indéniable pour la diversité des cultures et des valeurs. Il serait bon de réagir pour protéger le patrimoine européen. On commence, dans certains textes, à voir émerger cette notion. Je pense à la directive sur les oeuvres orphelines, qui se veut une réponse à Google Books, ou à la loi française sur les oeuvres indisponibles. Mais la réaction reste encore trop timide, et je crains que la réforme de la directive sur les services de la société de l'information ne suffise à y répondre.

M. Francesco Ragazzi. - J'espère que les travaux que je vais vous présenter, fruit d'une recherche conjointe du Centre d'études sur les conflits, liberté et sécurité (CCLS) et du Centre for European Policies Studies (CEPS) de Bruxelles, autour de la question de la surveillance de masse sur internet, qui ont alimenté l'enquête du Parlement européen sur le sujet, seront utiles à votre réflexion sur la gouvernance mondiale de l'Internet.

Un point, tout d'abord, sur cinq aspects des politiques de surveillance de masse telles qu'elles ont été révélées par l'affaire Snowden, ainsi que par les travaux des juristes, des investigateurs et des chercheurs, et sur la situation en Europe.

Les pratiques de collecte de données révélées par l'affaire Snowden relèvent de deux modes opératoires. L'upstreaming, en premier lieu, c'est à dire la collecte en masse des données qui transitent sur les câbles en fibre optique, soit l'architecture physique d'Internet, grâce à des dispositifs d'interception. C'est le fait des États-Unis, via la NSA, mais aussi du Royaume Uni, qui a placé quelque deux cents de ces dispositifs sur les câbles qui relient les îles britanniques à l'Europe et aux États-Unis, de la DGSE française, autour de Djibouti et ailleurs, du Bundesnachrichtendienst (BND) allemand, qui s'intéresse entre autres aux données qui transitent à travers l'Internet Exchange de Frankfort, de l'agence suédoise FRA (Försvarets radioanstalt), pour les câbles qui relient les pays Baltes à la Russie. On est loin, ici, des problématiques du cloud : chacun agit sur son pré carré...

Le second type de pratique, lié au programme Prism est l'acquisition de données personnelles via des décisions de justice, notamment celles de la cour créée par le Foreign Intelligence Security Act (Fisa). Ce sont, dans ce cas, des sociétés privées comme Google, Facebook, Apple, ou Microsoft ainsi que les grandes sociétés de télécommunications, qui assurent la collecte. Les chiffres sont connus, ils ont été récemment publiés. Ils fournissent un ordre de grandeur. Le nombre de requêtes dont la NSA a ainsi demandé communication à Google a pu atteindre, certains trimestres, 30 000 à 35 000.

À cela s'ajoute un ensemble hétérogène de pratiques qui concernent d'autres aspects de la surveillance, comme les programmes de collecte de masse de métadonnées des téléphones, ou des programmes tels que Bullrun, visant à affaiblir les technologies de cryptage, ou bien encore des tentatives pour exploiter les failles des protocoles de sécurité - voir les récentes révélations sur la faille dite Heartbleed dans le protocole OpenSSL.

Les chiffres, cependant, révèlent l'extrême disproportion dans les moyens. La NSA emploie 37 000 personnes pour un budget annuel de 7 milliards, le GCHQ britannique (Government Communications Headquarters), 5 600 personnes pour un budget de 1,2 milliard, et la DGSE française 4 600 personnes pour un budget de quelque 650 millions.

Ce qui frappe, cependant, c'est l'ampleur du phénomène, qui opère à grande échelle. On est bien au-delà du « business as usual »... Il existe des cartes éloquentes qui permettent de comparer la taille des archives de la Stasi et celle de la NSA... Le GCHQ à lui seul intercepte 21 pétaoctets de données par jour, l'équivalent de l'utilisation quotidienne de 2,1millions de gros consommateurs de bande passante, ce qui laisse penser que la surveillance porte sur 3 à 4 millions de personnes par jour...

La distinction entre surveillance légitime et illégitime se brouille. On ne sait pas grand chose sur la façon dont les données sont utilisées, traitées et distribuées au sein des agences de sécurité européennes. Servent-elles, in fine, à des opérations de surveillance ciblée ne débordant pas le cadre juridique fixé par la loi ou faut-il penser que les agences européennes, à l'instar de la NSA, se livrent à un data-mining actif et indiscriminé qui met en cause les droits fondamentaux comme l'a révélé Edward Snowden au sujet du programme X-Keyscore qui permet de faire des recherches sur tout un ensemble de bases de données mises en commun. La NSA procède à un traitement algorithmique des données, qui produit directement des listes de cibles potentielles pour les drones de la CIA. De là à l'élimination totale du facteur humain dans la détermination des cibles, il n'y a qu'un pas. D'une manière générale, on ignore quelles conséquences a la surveillance pour les personnes qui en sont l'objet.

Toutes ces questions sont souvent posées sous le registre de l'antagonisme entre les États-Unis et l'Europe, quand il s'agit bien plutôt d'un problème de contrôle démocratique sur un réseau transnational. Notre rapport montre que les services de renseignement dans les pays européens que nous avons observés, en France, en Allemagne, en Suède, aux Pays-Bas, sont tous engagés dans des programmes de surveillance de masse, le plus souvent coordonnés par les États-Unis, et impliquant l'échange de données. Une des raisons majeures de la course à la collecte engagée en France à partir des années 2000 tient même à cette volonté de s'asseoir à la table des États-Unis. L'échange de données est automatique pour le GCHQ britannique, dans le cadre des accords Ukusa dit aussi Five Eyes passés entre les États-Unis, le Canada, le Royaume Uni, l'Autralie et la Nouvelle-Zélande. On estime par exemple que 60% du renseignement du GCHQ provient des données de la NSA, qui aurait financé l'agence britannique, sur les trois dernières années, à hauteur de 120 millions, directement assignés au programme Tempora. Il en va de même dans le cadre d'autres configurations, comme Alliance Base, accord de coopération antiterroriste passé entre les États-Unis, le Royaume Uni, la France, l'Allemagne et l'Australie, avec des échanges en partie pilotés par la France. Sans parler des révélations du journal Le Monde sur la coopération entre Orange et la DGSE.

M. Gaëtan Gorce, président. - Nous avons voulu entendre le PDG d'Orange, mais il s'est retranché derrière les règles de sécurité nationales. Je le regrette, il eût sans nul doute fait entendre un silence éloquent...

M. Francesco Ragazzi. - Il y a, derrière ces coopérations, des enjeux juridiques. L'échange de données permet de contourner la loi quand elle interdit sur le territoire une surveillance de la population nationale. Les Allemands peuvent ainsi, par exemple, avoir dans les mains des données sur leurs citoyens...recueillies par les Suédois. Didier Bigo n'hésite pas à parler de guilde transnationale des professionnels du renseignement, qui entretiennent plus de liens entre eux qu'avec les acteurs institutionnels de leur propre pays chargés de faire respecter les libertés civiles.

Les Etats seuls ne sont pas impliqués, les sociétés privées le sont aussi. Les programmes de surveillance reposent largement sur les sociétés de télécoms et les grands fournisseurs de services, dont la collecte fait partie du coeur de métier.

On entend souvent poser le problème en termes d'équilibre entre liberté et sécurité, droits des citoyens et efficacité de la lutte antiterroriste, sans qu'ait été donnée aucune preuve de cette efficacité. Au contraire, même, puisque le directeur de la NSA, après avoir déclaré que cinquante-quatre attaques ont pu être évitées grâce à l'action de ses services, n'a bientôt plus parlé que de treize cas, avant de devoir reconnaître qu'au vrai, ils n'avaient mis au jour qu'un seul vrai cas de financement du terrorisme... La vérité, c'est que ce sont, à proprement parler, les valeurs fondamentales de nos ordres démocratiques qui sont en jeu.

M. Gaëtan Gorce, président. - On n'entend guère les responsables politiques s'exprimer en ces termes. Comment expliquer qu'ils ne témoignent pas, comme vous, de l'indignation que de telles dérives devraient susciter ?

M. Francesco Ragazzi. - Peut-être une question d'intérêt bien compris. Après s'être indigné des pratiques de la NSA, chacun a dû en rabattre quand l'ampleur des collaborations a été dévoilée et qu'il a été clair que de telles pratiques étaient monnaie courante.

M. Gaëtan Gorce, président. - Voyez-vous des raisons objectives qui auraient pu pousser des responsables politiques à considérer que les valeurs fondamentales pouvaient passer au second plan ? Serait-ce l'espoir de résultats ? Mais vous avez indiqué qu'ils étaient fort minces. Serait-ce l'habitude prise de telles pratiques, où le lien entre systèmes de renseignements finit par l'emporter sur les responsabilités de souveraineté, ainsi que vous l'avez souligné ? Serait-ce mélange entre intérêts industriels et intérêts politiques ? J'avoue que j'ai du mal à comprendre, car ce qui est en cause, ce sont bien les valeurs sur lesquelles s'est construite la démocratie. Quand réaction il y a eu, c'est davantage au regard des effets dans l'opinion de ces révélations qu'en vertu de ces valeurs. Comment expliquer que les politiques aient perdu conscience de l'enjeu fondamental ?

M. Francesco Ragazzi. - On peut aussi penser que le jeu trivial des intérêts bureaucratiques a fait son oeuvre. Un exemple. La technologie développée par William Binney, ancien directeur technique au sein de la NSA, permettait, ainsi qu'il l'explique lui-même, d'éviter le stockage de données. Mais très rapidement, à la fin des années 1990, les dirigeants de la NSA, craignant que dans un contexte budgétaire serré, une telle solution ne pousse à la diminution de leurs crédits, ont choisi de privilégier un programme de collecte le plus ambitieux possible...

M. Gaëtan Gorce, président. - C'est Docteur Folamour ! Antoine Lefébure, dans son livre sur l'affaire Snowden, raconte que le bureau du patron de la NSA est la réplique exacte du vaisseau de Star Trek...

M. Francesco Ragazzi. - Je l'ai dit, la question n'est pas tant géopolitique que transnationale : l'une des solutions passe par un renforcement des instances nationales de contrôle des services de renseignement, et leur constitution en un réseau transnational à l'échelle européenne, pour créer un contre-pouvoir.

L'idée a également été avancée de développer un cloud européen. Les données des citoyens européens se trouvent, c'est un fait, entre les mains des États-Unis. Le Safe Harbor était censé garantir à tous un même niveau de protection ; on a vite compris qu'il n'en était rien. Restent des discussions sur ce que pourraient être les modalités techniques d'un tel cloud. Des dispositifs de package tracing permettraient de maintenir les paquets de données au sein du territoire européen, sans qu'elles transitent par le câble. Cela n'empêchera pas les échanges entre services de renseignement, mais assurerait, au moins, une meilleure protection juridique.

Une autre piste va à renforcer, au niveau européen, la protection des données personnelles, de façon à contraindre les sociétés les plus puissantes à respecter les législations nationales en la matière, avec des sanctions suffisamment dissuasives, en pourcentage du chiffre d'affaires annuel.

Il importe également, et je rejoins les propos qu'a tenus devant vous Jérémie Zimmermann, de développer l'open source, pour contrer les logiques de rente et de commercialisation à tout va. Dès lors que la recherche publique finance le développement technologique, il n'y a pas de raison que ses résultats ne soient pas accessibles à tous. L'Union européenne a fait de l'open access en matière de publication une priorité, il pourrait en aller de même pour l'open source. En ces temps de vaches maigres, on trouverait bien des avantages à utiliser des programmes ouverts comme LibreOffice, OpenOffice ou Firefox au lieu de verser des fortunes à Microsoft. Sans parler des avantages en termes de sécurité, puisque l'open source laisse à la communauté les mains libres pour remédier aux failles de sécurité et prévenir la pratique des backdoors - l'affaire Snowden nous a appris que Windows en contient. L'open source est aussi le moyen d'assurer la confidentialité de la navigation sur Internet, je pense notamment à des initiatives comme celle qui a donné naissance au réseau Tor.

Mme Jessica Eynard. - Les données personnelles, sur lesquelles je centrerai mon propos, sont devenues un moteur de l'économie. Ce sont souvent les actifs les plus valorisés au sein des entreprises. C'est dire qu'autant il serait illusoire de militer pour une interdiction de leur exploitation, autant il importe d'encadrer leur utilisation, et d'autant plus que le contenu de ce que l'on appelle les données personnelles a beaucoup évolué. Quand, dans les années 1970, il ne s'agissait que de données d'état civil, les informations susceptibles d'être aujourd'hui collectées donnent une appréhension de plus en plus large des éléments constitutifs de la personne - données biométriques, physiologiques, mais aussi comportementales, grâce au prélèvement de traces qui servent à créer un profil dans lequel on enferme l'individu, et qui peut servir à fonder des décisions graves, ainsi que vient de le rappeler Francesco Ragazzi en évoquant les algorithmes par lesquels la NSA dresse des liste cibles militaires potentielles.

Cette évolution s'est accompagnée d'une perte de la maîtrise intellectuelle des individus sur l'information les concernant. Chacun a une empreinte génétique, mais ne la comprend pas pour autant, pas plus que l'on ne comprend les données présentes dans nos cookies ou les fichiers de nos logs. Comment protéger soi-même ce que l'on ne comprend pas ? C'est bien là la faille du système : on fait reposer le régime de protection sur un individu qui est incapable de connaître et de comprendre les données recueillies à son sujet. Comment faire jouer un droit de rectification face à un algorithme ? Comment prouver qu'une adresse IP n'est pas la sienne ?

C'est la raison pour laquelle il me semble que si l'individu doit conserver son rôle dans la protection, il ne peut plus en être le centre, et que d'autres acteurs, capables d'appréhender les données traitées et disposant d'outils spécifiques de protection, doivent prendre le relai. L'Europe a là un rôle à jouer. Il s'agit de renforcer de tels acteurs et de les doter d'outils opérationnels.

Quels peuvent être ces acteurs de la protection ? On pense bien sûr, en premier lieu, aux autorités de contrôle. Cependant, leurs pratiques restent encore très hétérogènes, et mériteraient d'être harmonisées - le projet de règlement va, de ce point de vue, dans le bon sens. Il importe également de leur assurer une réelle indépendance, y compris à l'égard des pouvoirs publics, et de revoir leur mode de financement, afin que le contrôle soit effectif quel que soit le responsable de traitement.

Ces autorités, enfin, ne peuvent agir seules, eu égard à la multiplicité des données et des moyens de collecte et de traitement. Elles ont besoin de s'appuyer sur un acteur de proximité. C'est le rôle, en France, du délégué à la protection des données ou du correspondant informatique et libertés. Doit-il être obligatoire, pour les entités traitant des données personnelles, de désigner un tel correspondant ? Le débat demeure. Pour les uns, un tel mécanisme ne sera efficace que s'il reste un engagement volontaire des responsables de l'entité concernée. Pour les autres, dont je suis, il faut clairement le rendre obligatoire - chose d'autant plus aisée que le régime, qui autorise mutualisation et temps partiel, est flexible - contrairement à ce que retient le projet de règlement, qui prévoyant des seuils et distinguant selon la nature de l'information traitée, limite les cas où cette désignation serait rendue obligatoire. Pour s'assurer de l'efficacité de cet acteur, il faut en outre qu'existe un contrôle des moyens qui lui sont conférés pour exercer sa mission.

Le bilan de la CNIL, qui constate que les structures dotées d'un correspondant sont plus respectueuses des règles de la loi informatique et libertés plaide en faveur de cette généralisation.

Un rôle devrait également être reconnu aux associations de protection représentatives de personnes dont les données sont traitées. L'individu est seul face aux professionnels de la collecte. Que des associations puissent l'aider dans ses démarches ne saurait être que bénéfique.

Au plan international, les choses sont plus complexes. On se trouve face à un patchwork d'entités et de textes peu contraignants, peu protecteurs ou qui n'ont été ratifiés que par peu de pays. Pour avoir du poids, l'Europe doit parler d'une seule voix et militer, dans les enceintes internationales, pour que la Convention 108 du Conseil de l'Europe soit plus largement ratifiée ou pour que soit adopté un instrument international plus contraignant, respectueux des principes fondateurs de sa législation. Elle gagnerait, dans cette perspective, à se rapprocher des Etats dépourvus de régime de protection ou faiblement protégés, afin d'exporter son modèle. Il existe déjà une association francophone des autorités de protection ; il faudrait faire de même au niveau européen.

Les outils à promouvoir doivent être à la fois juridiques et techniques. Les outils juridiques doivent reposer sur un texte intelligible, appliqué de façon large et homogène. C'est pourquoi le projet de règlement européen, dont la négociation piétine depuis deux ans, doit être adopté sans tarder. Car comment imposer nos principes si nous ne sommes pas même capables de nous entendre ?

Reste le problème du contrôle hors Union européenne. Le contrôle en ligne, tel qu'autorisé par la loi sur la consommation, est peut-être un début de réponse. Il a permis à la CNIL d'effectuer des contrôles, qui, certes, ne peuvent être très approfondis, mais qui permettent de faire un tri.

Les contrôles, enfin, doivent aboutir à des sanctions qui, pour être dissuasives, mériteraient d'être alourdies. Cela exige aussi d'homogénéiser des pratiques qui demeurent très disparates en Europe. Ainsi, la CNIL, qui ne sanctionne qu'en dernier recours, par souci de pédagogie, reste plus frileuse que d'autres autorités, qui sanctionnent plus vite. L'obligation de publication des décisions, très dissuasive en ce qu'elle nuit à l'image de l'entreprise, est aussi une arme à ne pas négliger. Google n'a guère apprécié de devoir publier sa condamnation sur sa page d'accueil...

Les autres outils juridiques envisagés, enfin, posent encore une série de problèmes : les codes de conduite seront-ils ou non contraignants ? Les labels ? Ils exigent de développer de multiples référentiels.

J'en viens aux outils techniques, qui trouvent un nouvel essor avec le principe de privacy by design, protection à la conception, qui consiste à concevoir les technologies, les produits, les traitements, les services, en considération des règles protectrices de la vie privée. Ainsi peut-on imaginer des systèmes de purge automatique des données. Le principe est intéressant, car il ne repose pas sur l'individu mais sur le concepteur. Mais on peine à voir comment il se matérialisera. Mettra-t-on en place des référentiels ou chacun pourra-t-il agir à sa guise ? Il reste encore, sur ce sujet, un gros travail à effectuer.

Mme Catherine Morin-Desailly, rapporteure. - Je vous remercie de ces éclairages. Au regard de ce qu'a exposé M. Ragazzi, estimez-vous, en tant que juristes, que l'on peut obtenir par le droit ce que l'on ne parvient pas à atteindre par la technique ?

Mme Jessica Eynard. - J'ai ferme espoir en des solutions juridiques, sans lesquelles il faudrait se résoudre à la surveillance généralisée. On peut aussi faire valoir qu'une perte de confiance dans le net fragiliserait les Etats et ferait disparaître des marchés potentiels...

Mme Céline Castets-Renard. - Pour répondre à certaines questions, comme l'existence de failles dans les systèmes de cryptologie, il faudra bien trouver des solutions techniques. Oui, apporter une réponse juridique est essentiel, mais il faudra veiller à ne pas trop l'ancrer dans la technique, qui évolue très vite. Ne reproduisons pas l'erreur de la loi Hadopi, qui s'est trop focalisée, en matière de contrefaçon, sur un type de technologie.

Mme Valérie Peugeot. - Il faut marcher sur ses trois pieds. Les solutions passent par le droit « dur », bien entendu, mais aussi par la technologie - non pas dans une fuite en avant vers des solutions cryptographiques, car on ne résout pas un problème politique avec des solutions techniques, mais en recherchant les moyens de rendre du pouvoir aux citoyens - et par des dispositifs autorisant d'autres pratiques sociales. C'est grâce à de telles pratiques, appuyées sur le droit et sur des outils, que l'on sortira par le haut du cercle vicieux dans lequel on est enfermés.

Je travaille avec la Fondation Internet nouvelle génération (Fing) et un ensemble d'entreprises sur un projet relatif au « vendor relationship management ». Les données de 300 clients volontaires sont stockées sur un cloud personnel, chacun d'entre eux en ayant la maîtrise. Chaque individu peut ainsi renseigner son profil beaucoup plus précisément, et c'est lui qui choisit les entreprises qui y auront accès. Le jour où il recherche une machine à laver, au lieu que sa requête lui renvoie des myriades de publicités, il ne reçoit que des offres adaptées.

Mme Catherine Morin-Desailly, rapporteure. - Vous conviendrez que cela suppose une sensibilisation individuelle aux pratiques numériques.

Mme Valérie Peugeot. - L'agilité numérique - ce que les anglo-saxons appellent iteracy - évolue. C'est un savoir-faire qui peut être incorporé dès l'école.

Mme Catherine Morin-Desailly, rapporteure.  - L'obligation de stocker et de traiter les données sur le sol européen est-elle pour vous, monsieur Ragazzi, une solution ?

M. Francesco Ragazzi. - Ce serait une bonne chose. Mais cela suppose que les sociétés qui stockent et traitent les données soient clairement soumises au droit européen. L'entreprise Google, en Europe, reste susceptible de devoir répondre à des mandats de la cour Fisa... Pour de telles entités internationales, la séparation juridique devra être claire.

Mme Catherine Morin-Desailly, rapporteure. - Le gouvernement a laissé entendre qu'un texte sur les droits et libertés numériques pourrait bientôt être soumis à la discussion. Qu'est-ce qui devrait impérativement, pour vous, y figurer ?

Mme Céline Castets-Renard. - Le principe de neutralité du net est essentiel. Il serait également utile, même si le droit n'aime guère les redondances, qu'y figurent, dans leur application au numérique, les droits fondamentaux garantis par d'autres textes. Je pense à la liberté d'expression, ou au droit à la protection de la vie privée, certes déjà garanti par la charte européenne des droits fondamentaux, mais qu'il serait bon, symboliquement, de réaffirmer.

Il serait également utile d'intégrer la notion de patrimoine culturel, sachant combien est aujourd'hui controversée la notion de propriété intellectuelle. La protection de la diversité culturelle peut faire contrepoids à la seule vision économique.

Il existe, au Parlement européen, un projet d'habeas corpus numérique, mais on y mélange les genres, à cause des tensions avec les Etats-Unis. Les questions touchant à la feuille de route dans les accords de libre-échange n'ont pas, à mon sens, à y figurer. Mieux vaudrait y réaffirmer les droits fondamentaux.

Mme Valérie Peugeot. - Nous aurions grand besoin d'un cadre générique sur lequel le législateur puisse s'appuyer quand il intervient dans des domaines spécifiques. Cela éviterait les dérapages que l'on a connus avec certains projets de loi - lutte contre le proxénétisme, égalité entre les hommes et les femmes, programmation militaire - et que ne se glissent dans les textes, à l'initiative d'élus bien intentionnés mais sans compétence dans le domaine numérique, des alinéas liberticides. Il serait bon, pour l'éviter, de poser des fondamentaux neutres, qui fournissent un cadre.

M. Gaëtan Gorce, président. - Je vous remercie de vos contributions.

Audition de M. Philippe Boillat, directeur général, et de Mme Sophie Kwasny, chef de l'unité « protection des données » au sein du service de la société de l'information, de la direction générale des droits de l'Homme et de l'État de droit du Conseil de l'Europe

M. Gaëtan Gorce, président. - Nous recevons, du Conseil de l'Europe, M. Philippe Boillat, directeur général des droits de l'homme et de l'État de droit, accompagné de Mme Sophie Kwasny, en charge de la protection des données. Le Conseil de l'Europe a entrepris la modernisation de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel - dite Convention 108 -, alors que, de son côté, l'Union européenne élabore un règlement sur les données personnelles : comment le droit international évolue-t-il et peut-il évoluer, à vos yeux - et quels sont les moyens d'action des citoyens, ou encore les outils utiles pour renforcer les capacités des citoyens à maîtriser un tant soit peu leurs données personnelles sur Internet ?

M. Philippe Boillat, directeur général des droits de l'Homme et de l'État de droit du Conseil de l'Europe. - Merci d'avoir associé le Conseil de l'Europe à vos travaux sur ce sujet si important.

Internet est une ressource publique universelle, un outil indispensable dans la vie quotidienne. Aussi est-il impératif que les individus puissent l'utiliser en toute liberté et en toute confiance. Internet est un patrimoine commun qui doit être géré et gouverné pour le bien de tous, ce qui implique que les diverses parties prenantes doivent être associées et participer aux dialogues et aux travaux de sa gouvernance, dont les éléments clefs sont la transparence et la responsabilité de répondre du bien-fondé des décisions prises et de leurs conséquences. Ainsi soutenons-nous une gouvernance multi-acteurs et inclusive.

Le Conseil de l'Europe - vous le savez - est la plus ancienne des organisations intergouvernementales à vocation paneuropéenne. Son statut, ouvert à la signature à Londres, le 5 mai 1949, repose sur trois piliers : les droits de l'homme, la démocratie et l'État de droit. Ses 47 États membres - couvrant plus de 800 millions d'individus - sont tous parties à la Convention européenne des droits de l'homme. L'Union européenne adhèrera à cette convention dès qu'un certain nombre de procédures auront abouti, ce qui renforcera l'architecture européenne des droits de l'homme.

Ces trois piliers sont complémentaires et interdépendants, ils guident chacune des actions du Conseil de l'Europe. C'est dans cette perspective que nous travaillons à la promotion et au plein respect des droits de l'homme, de la démocratie et de l'État de droit sur Internet. Ils doivent en effet s'appliquer dans le monde virtuel comme ils s'appliquent dans le monde réel, hors ligne comme en ligne.

Le Conseil de l'Europe s'efforce depuis 2003, date du premier Sommet mondial sur la société de l'information (SMSI) organisé à Genève à l'initiative de l'Organisation des Nations Unies, de contribuer activement - et de façon constructive - à la gouvernance de l'Internet, qui est désormais l'une des priorités stratégiques de notre Organisation.

C'est ainsi que nous soutenons et participons activement à l'IGF, le Forum sur la gouvernance de l'internet onusien, à sa version régionale, l'EuroDIG, ainsi qu'à de nombreux événements nationaux. Ce sont autant d'occasions pour le Conseil de l'Europe de promouvoir ses valeurs fondamentales afin que l'Internet demeure universel, ouvert, neutre, novateur et accessible.

Le Conseil de l'Europe est chargé à l'échelle régionale par le Bureau du Haut-Commissaire aux droits de l'homme de l'ONU de travailler à la mise en oeuvre des Principes directeurs relatifs aux entreprises et aux droits de l'homme, adoptés le 16 juin 2011 par le Conseil des droits de l'homme des nations unies.

Notre action se situe à un double niveau : la gouvernance de l'Internet, protéger le moyen technique, notamment son universalité, son intégrité et son ouverture, la gouvernance sur l'Internet, la protection et la promotion du droit au respect de la vie privée et de la liberté d'expression, de réunion et d'association notamment.

S'agissant de la gouvernance sur l'Internet, notre action revêt de nombreuses formes : adoption d'instruments juridiquement contraignants ou non, textes de l'Assemblée parlementaire, mécanismes de suivi pour surveiller la mise en oeuvre dans nos États membres de leurs obligations ou encore des programmes de coopération et de renforcement des capacités dans les pays pour qu'ils mettent leur législation et leurs pratiques en adéquation avec nos standards.

La Convention européenne des droits de l'homme, avec la jurisprudence de la Cour de Strasbourg, revêt une importance déterminante dans ce domaine. Elle exige que toute ingérence dans un droit ou une liberté garantie par la Convention, notamment la liberté d'expression et le droit au respect de la vie privée, soit prévue par la loi - à savoir que l'ingérence ait une base légale, claire, accessible et prévisible -, que cette ingérence réponde à un objectif légitime et qu'elle lui soit proportionnée ; en d'autres termes l'ingérence doit répondre à « un besoin social impérieux dans une société démocratique ». Les États parties doivent prendre les mesures nécessaires pour que les droits et les libertés garantis par la Convention soient concrets et effectifs et non pas, pour reprendre le langage de la Cour, techniques et illusoires. Les normes en matière de droits de l'homme priment sur les conditions générales d'utilisation imposées par les entreprises aux utilisateurs d'Internet.

D'autres instruments juridiques contraignants du Conseil de l'Europe proposent des solutions à l'échelle universelle, étant ouverts à l'adhésion d'États non membres du Conseil de l'Europe.

Il y a d'abord la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, plus connue sous le nom de « Convention 108 ». Il s'agit du seul instrument international juridiquement contraignant ayant pour objet de protéger les personnes au regard du traitement des données personnelles. La Convention, qui s'applique au secteur privé et au secteur public, est l'une des meilleures réponses qui s'offrent aux pays préoccupés par les allégations de surveillance de masse : elle réunit déjà 46 pays, dont l'Uruguay. D'autres États non-européens sont sur le point de demander à y adhérer ; le Maroc l'a déjà fait. La Commission européenne a demandé aux États-Unis d'y adhérer suite aux révélations d'Edward Snowden. Cette Convention a servi de source d'inspiration à une multitude d'États lorsqu'ils ont adopté leur législation sur la protection des données.

Il y a aussi la Convention sur la cybercriminalité (Budapest, 2001), également ouverte aux États non membres du Conseil de l'Europe. Elle compte 41 États Parties dont l'Australie, les États-Unis, le Japon, Maurice, la République dominicaine et prochainement les Philippines. Elle poursuit une politique pénale commune destinée à protéger la société contre le cyber-crime par l'adoption d'une législation pénale appropriée et la stimulation de la coopération internationale. Elle a servi de loi modèle à plus de 120 États dans le monde.

Il y a également la Convention sur la contrefaçon des produits médicaux et les infractions similaires menaçant la santé publique, qui vise à protéger la santé publique en combattant la contrefaçon des produits médicaux et leur distribution tout particulièrement sur Internet. Elle compte aujourd'hui 15 signatures mais aucune ratification. Nous allons faire campagne pour favoriser les signatures, ratifications et adhésions.

Quatrième instrument « ouvert », la Convention sur la protection des enfants contre l'exploitation et les abus sexuels (Lanzarote, 2007), qui joue un rôle-clé en pénalisant notamment le « grooming » par le biais d'internet.

Enfin, je mentionnerai la Convention pour la prévention du terrorisme, qui, elle, s'adresse exclusivement à nos 47 États membres. Elle a notamment pour but de pénaliser le recrutement des terroristes et l'appel au terrorisme par Internet.

L'éventail des actions que le Conseil de l'Europe mène a été consigné dans une stratégie sur la gouvernance de l'Internet 2012-2015, qui peut se résumer ainsi : un maximum de droits et de services soumis à un minimum de restrictions avec un niveau de sécurité à même de répondre aux attentes légitimes des utilisateurs. Cette stratégie est centrée sur les personnes et souligne l'importance de travailler également sur les questions telles que la culture, la diversité culturelle et la démocratie. Elle ne se limite donc pas à lutter contre la cybercriminalité, la protection des enfants ou celle de nos données personnelles.

Cette stratégie prône une vision globale d'Internet et défend son universalité, son intégrité et son ouverture. Il faut souligner les dangers d'une limitation géographique de l'Internet par la création de clouds nationaux ou régionaux, qui pourraient conduire à une fragmentation d'Internet. Un Internet fracturé en systèmes fermés - nationaux ou régionaux - contredit l'esprit d'ouverture de l'Internet et tend à donner un contrôle supplémentaire, un moyen de censure supplémentaire, à ceux qui contrôleront ces réseaux fermés. C'est précisément afin de s'assurer de la protection de l'universalité, de l'intégrité et de l'ouverture d'Internet que les 47 Etats membres du Conseil de l'Europe ont adopté en 2011 dix principes sur la gouvernance de l'Internet. Nos Etats se sont notamment engagés dans l'exercice de leur souveraineté, à « s'abstenir de toute action qui porterait directement ou indirectement atteinte à des personnes ou à des entités ne relevant pas de leur compétence territoriale ». Notre politique est donc claire. En revanche, un cloud européen, qui se limiterait à assurer que les utilisateurs bénéficient des mécanismes de protection, notamment de la vie privée, et qui ne mettrait pas en cause l'universalité du réseau, mériterait d'être examiné. C'est la conclusion à laquelle est parvenue la Conférence qui s'est tenue il y a un mois, sous Présidence autrichienne du Comité des Ministres. Les participants ont demandé au Conseil de l'Europe d'étudier la faisabilité juridique et politique d'un tel cloud.

Enfin, le Comité des Ministres devrait adopter demain un Guide sur les droits de l'homme pour les utilisateurs d'Internet. C'est un outil de vulgarisation qui rappelle les obligations juridiques des États et les droits des utilisateurs, mettant l'accent sur les voies de recours dont chacun dispose pour faire valoir ses droits lorsque ceux-ci ont été restreints ou violés en ligne.

À quels nouveaux défis faisons-nous face ?

Le premier est certainement de rétablir la confiance dans les réseaux, mise à mal par les révélations de surveillance de masse.

Pour ce faire, le modèle de gouvernance et les décideurs doivent gagner en légitimité, reflétant l'universalité et la diversité d'Internet et plaçant toutes les parties prenantes sur un pied d'égalité.

À l'ère du « big data » et au vu des révélations de l'année passée, le lien entre le secteur privé et le secteur public ne devrait plus être négligé. L'agrégation illimitée de données personnelles dans un cadre commercial ou à des fins d'innovation et de développements sociétaux peut mener à des utilisations inquiétantes par des agences de sécurité nationale dotées de capacités techniques jusque-là insoupçonnées.

Nul ne conteste que les États doivent assurer la sécurité publique - mais pas à n'importe quel prix. Il est impératif que les activités de surveillance des agences de sécurité nationale répondent aux exigences de la Convention européenne des droits de l'homme et de la Cour et soient soumises à un contrôle démocratique. Dans le cas contraire, nous risquerions de saper, voire de détruire la démocratie au motif de la défendre.

La perspective dans laquelle travaille le Conseil de l'Europe, est très proche de celle de l'Union européenne. Nous partageons un espace juridique et géographique commun : 28 de nos 47 États membres sont également membres de l'Union européenne. C'est donc un patrimoine commun et des valeurs communes que nous défendons, et pour lesquelles une coordination de nos actions apporte une plus-value aux positions que nous soutenons à l'échelle mondiale.

Je me félicite de la complémentarité et de la synergie des actions menées par l'Union européenne et le Conseil de l'Europe : les deux Organisations ont des positions communes en matière de gouvernance de l'Internet, notamment pour préserver un Internet non-fragmenté, ouvert et libre - c'est-à-dire sans blocage, filtrage ou ralentissements opérés en dehors de l'Etat de droit. Position commune au regard également de la nécessité de gouverner l'Internet dans l'intérêt commun et sur la base d'une participation multipartite, en toute transparence, légitimité et représentativité.

De surcroît, l'Union européenne soutient les normes pertinentes du Conseil de l'Europe qui sont de portée potentiellement mondiale, telles que la Convention sur la cybercriminalité et la Convention 108, qui figurent expressément au titre des priorités de coopération 2014-2015 adoptées par le Conseil de l'Union européenne et qui sont régulièrement mises en avant par les institutions de l'Union européenne dans le cadre de ses relations avec les États tiers.

La décision récente de la Cour de Justice du Luxembourg en matière de conservation des données illustre cette vision commune. Les références à la Convention européenne des droits de l'homme et à la jurisprudence correspondante de la Cour de Strasbourg, soulignent l'importance de l'adhésion rapide de l'Union européenne à la Convention européenne des droits de l'homme afin d'éviter dans le futur une interprétation divergente de ce patrimoine commun et de nos droits.

Je souligne enfin que nous travaillons avec d'autres organisations internationales telles que l'OCDE, l'OSCE, ou l'Unesco afin de conserver une cohérence à l'articulation de nos travaux respectifs.

La France a joué un rôle actif dans la gouvernance de l'Internet, pour faire avancer l'État de droit et le respect des droits de l'homme dans le cyberespace.

A l'heure des craintes et des désillusions suscitées par les révélations d'Edward Snowden, l'Europe se doit de continuer de défendre son idéal de liberté et d'Etat de droit. La route est certes longue, mais nos valeurs et nos principes nous montreront la voie, soulignant que leur pleine application à cette nouvelle forme de gouvernance n'est pas négociable.

Mme Catherine Morin-Desailly, rapporteure. - Le 8 avril dernier, l'Assemblée parlementaire du Conseil de l'Europe a auditionné Edward Snowden par vidéo : que cet échange vous a-t-il apporté ?

M. Philippe Boillat. - Je n'ai malheureusement pas pu assister à cette audition organisée par la commission des questions juridiques et des droits de l'homme de l'Assemblée parlementaire, mais je sais qu'Edward Snowden y a fait de nouvelles révélations, en particulier sur la collecte systématique de données échangées par de grandes organisations internationales.

Mme Sophie Kwasny, chef de l'unité « protection des données » au sein du service de la société de l'information, de la direction générale des droits de l'Homme et de l'État de droit du Conseil de l'Europe. - Je n'y étais pas non plus, mais j'ai pu la suivre en direct dans les locaux du Conseil. Cette audition était organisée dans le cadre de deux rapports conjoints que prépare Pieter Omtzigt sur les opérations massives de surveillance et sur les donneurs d'alerte - et deux autres personnalités étaient également auditionnées ce jour-là : Hansjörg Geiger, ancien directeur du service fédéral allemand du renseignement, auteur d'une proposition de « code du renseignement » visant à réglementer les activités de renseignement entre pays amis, et Douwe Korff, professeur de droit international à Londres.

Cette audition a effectivement confirmé que le Conseil de l'Europe est dans son rôle en proposant d'encadrer davantage la collecte des données, et qu'il y a des outils juridiques pour le faire.

Mme Catherine Morin-Desailly, rapporteure. - Dans son rapport Améliorer la protection et la sécurité des utilisateurs dans le cyberespace, que l'Assemblée parlementaire du Conseil de l'Europe vient d'adopter, Axel Fischer appelle à une législation sur la protection des données, ainsi qu'à une initiative à l'échelle mondiale menée conjointement par les gouvernements et l'industrie pour renforcer la protection et la sécurité des usagers. Croyez-vous que le Conseil de l'Europe puisse être le creuset d'une mondialisation accélérée de la gouvernance de l'Internet, sur un mode multiacteurs ?

M. Philippe Boillat. - En matière de cybercriminalité, il n'est pas question, pour le Conseil de l'Europe - comme pour l'Union européenne et pour les États-Unis -, de renégocier un instrument d'échelle mondiale : cela prendrait de longues années, pour parvenir à un texte qui serait très probablement moins protecteur que la convention de Budapest. En revanche, il faut renforcer les moyens d'action des États, autant juridiques que matériels, pour qu'ils transcrivent les textes, qu'ils forment leurs services de police et de justice contre le cyber-crime, aussi bien que leurs entreprises : nous nous y employons au Conseil de l'Europe, avec, en particulier, l'ouverture d'un bureau spécialisé à Bucarest.

Sur la protection des données, ensuite, nous modernisons la Convention 108, sans en changer le fond : elle a été écrite en 1980, les techniques ont considérablement évolué depuis, nous y adaptons le texte.

Mme Sophie Kwasny. - Le Conseil de l'Europe est ouvert à la gouvernance multiacteurs d'Internet, nous venons en soutien, nous expliquons au plus grand nombre d'acteurs les principes et la portée de la protection des droits de l'homme, nous impliquons du mieux que nous pouvons le plus grand nombre de parties prenantes.

Mme Catherine Morin-Desailly, rapporteure. - De nombreuses personnalités se sont prononcées récemment pour l'adoption d'une déclaration des droits sur Internet - Tim Berners-Lee est allé dans ce sens - ou encore d'une Constitution reconnaissant, comme le demande Catherine Trautmann, un Habeas corpus numérique : qu'en pensez-vous ?

M. Philippe Boillat. - L'approche multiacteurs est indispensable, les échanges, les débats sont une grande source de richesse - mais il faut aussi prendre des décisions, élaborer des textes, ce qui m'a déjà fait conclure de très longs tours de table où chacun avait eu tout loisir d'exposer ses idées, par un : « So what ? Et maintenant, que fait-on ? ». La conférence de Graz s'est achevée en mars dernier sur la perspective d'adopter une « Magna Carta » de l'Internet, posant des principes de base de la gouvernance d'Internet et sur Internet - comme l'universalité, l'intégrité, la neutralité, l'ouverture, l'accessibilité, la liberté d'expression, la protection de la vie privée, ou encore le droit de recours. Le Conseil examine la faisabilité d'un tel document avant, éventuellement, d'en faire la proposition.

M. Gaëtan Gorce, président. - Les révélations d'Edward Snowden ont établi que les services de renseignements européens avaient des pratiques tout à fait comparables à celles des services américains : ces pratiques sont-elles conformes à la Convention européenne des droits de l'homme ? Comment vous paraît-il possible de les encadrer ?

M. Philippe Boillat. - Ces pratiques ne sont guère conformes à la Convention, la Cour européenne le dirait très probablement si elle en était saisie. Je le répète : toute ingérence dans un droit ou une liberté garantie par la Convention, notamment la liberté d'expression et le droit au respect de la vie privée, doit avoir une base légale, claire, accessible et prévisible, il faut que cette ingérence réponde à un objectif légitime et qu'elle soit proportionnée à ce dernier - il faut, selon la Cour, que l'ingérence réponde à « un besoin social impérieux dans une société démocratique ».

La collecte massive des données répond-t-elle à « un besoin social impérieux dans une société démocratique » ?

Le secrétaire général du Conseil de l'Europe a déjà eu à enquêter sur les « red missions » dans lesquelles les services américains, en dehors de toute procédure, ont saisi des personnes sur le territoire européen pour en faire des prisonniers à Guantanamo : on a vu alors combien ces questions étaient de la plus haute sensibilité politique - et que les États n'étaient pas nécessairement prêts à se mettre autour de la table pour offrir à leurs ressortissants toutes les garanties pourtant prévues par la Convention européenne des droits de l'homme.

Cependant, je crois qu'un contrôle démocratique doit être organisé, c'est un minimum indispensable. Il faut en trouver la forme précise, par exemple via des commissions parlementaires. Sans ce contrôle, on risque de voir certains services de renseignement se constituer en « État dans l'État » : est-on certain, par exemple, que le Président Obama savait que la NSA espionnait les citoyens à l'échelle qu'a révélée Edward Snowden ?

M. Gaëtan Gorce, président. - Un contrôle démocratique vous paraît donc ici mieux adapté qu'un contrôle juridictionnel ?

M. Philippe Boillat. - Les deux sont possibles, complémentaires - mais en matière de big data, un contrôle juridictionnel paraît plus difficile à mettre en oeuvre, puisqu'il faudrait savoir qu'on est espionné pour pouvoir s'en plaindre...

M. Yves Détraigne. - Le Conseil de l'Europe est tout à fait dans son rôle en protégeant la vie privée et les droits fondamentaux des citoyens, mais avec la rapidité d'évolution des techniques, n'est-on pas condamné à avoir toujours « un train de retard », d'autant que les services secrets disposent de moyens bien plus importants ?

M. Philippe Boillat. - L'adversaire, effectivement, a toujours un coup d'avance, mais ce n'est pas une raison de baisser les bras : comme contre le dopage, des techniques nouvelles apparaissent, mais la lutte progresse également.

M. Gaëtan Gorce, président. - Au Conseil de l'Europe, vous êtes en position privilégiée pour observer l'évolution des esprits sur la question du contrôle démocratique : pensez-vous que la prise de conscience progresse, sur une nécessité de contrôler en particulier l'usage que les agences de renseignement font des données recueillies sur Internet, ou bien partagez-vous cette impression que le cynisme règne, chaque État se livrant à des comportements qu'il condamne en façade ? Sachant que l'existence d'une sphère privée dans laquelle l'État se défend d'entrer, est au fondement même de la démocratie - bien avant le contrôle parlementaire sur le gouvernement -, comment pensez-vous possible de retrouver cette séparation entre le public et le privé, qui paraît bien mise à mal ?

M. Philippe Boillat. - Je dois avouer que, malheureusement, je partage votre diagnostic. Il me semble, cependant, que les opinions publiques en ont pris conscience et que la confiance perdue est un facteur de changement. La dernière conférence du Conseil de l'Europe des ministres responsables des médias et de la société de l'information, tenue à Belgrade l'an passé, a manifesté une volonté politique forte d'appliquer sur Internet les principes et les droits de la Convention européenne des droits de l'homme. Des limites techniques existent cependant, il faut le reconnaître, qui rendent le contrôle difficile même quand on le souhaite. Nous modernisons la Convention 108, le Conseil de l'Europe invite les États-Unis à ratifier ce texte, ce qui constituerait une base commune, facteur de bien des progrès.

Mme Catherine Morin-Desailly, rapporteure. - Vous dites que l'adversaire a toujours un coup d'avance : qui, selon vous, incarne l'adversaire ?

M. Philippe Boillat. - L'expression est malheureuse - sauf à viser les adversaires de l'État de droit - car nous sommes tous des partenaires d'un Internet ouvert et nous nous efforçons d'associer tous les professionnels, les opérateurs, les entreprises, pour diffuser auprès de toutes les parties prenantes des lignes directrices, des bons usages qui constituent une soft law particulièrement utile.

Mme Catherine Morin-Desailly, rapporteure. - Il y a aussi le risque de voir un opérateur prendre bien trop de contrôle, voire le monopole dans le cyberespace, et qui pourrait alors bien être un adversaire direct de l'État de droit et des libertés fondamentales...

M. Gaëtan Gorce, président. - Merci pour ce débat.

Audition de Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés

M. Gaëtan Gorce, président. - Nous accueillons maintenant Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL). La CNIL est très impliquée dans les débats liés à la protection des données personnelles sur Internet, y compris à l'échelle européenne et internationale.

La mission a déjà mené un nombre important d'auditions, qui n'ont pas été forcément rassurantes. Le droit paraît en retard sur l'évolution des techniques et il semble que la volonté politique ne manque pas pour soutenir des pratiques qui ne sont pas toujours acceptables...

Mme Isabelle Falque-Pierrotin. - Le secteur de la protection des données personnelles figure parmi ceux dans lesquels l'Europe peut jouer un rôle de premier plan. Il constitue un bon laboratoire de la gouvernance.

Je souhaiterais aborder la question sous trois angles : juridique, technique et politique.

Sur le plan juridique, le temps est aux grandes manoeuvres. On assiste à une concurrence entre les grandes régions juridiques ; la question se pose de savoir laquelle offrira l'espace le plus adapté à l'économie de demain, fondée sur le numérique et les données. L'Union européenne présente l'avantage de disposer de règles déjà anciennes, avec la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive apparaît en effet aujourd'hui dépassée. Sa révision est l'occasion de moderniser le cadre juridique pour l'adapter dans trois domaines : la reconnaissance de nouveaux droits, comme la portabilité ou le droit à l'oubli, qui n'existent pas forcément ailleurs ; l'allègement de contrôles a priori qui n'ont aujourd'hui plus de sens ; enfin, le renforcement des sanctions. Il convient de construire un nouveau schéma de régulation, dans lequel la charge passera de l'amont à l'aval, à travers une responsabilisation des acteurs.

Le projet de règlement en cours d'examen dessine un schéma de coopération entre autorités de régulation assez inédit. Jusqu'à présent, celles-ci étaient tournées vers leur marché national et coopéraient peu. La logique du projet de règlement est de favoriser une plus grande coopération, en évitant les deux écueils du « chacun chez soi » et de la décision bureaucratique centralisée. Le modèle de gouvernance à l'étude repose sur trois niveaux. Au niveau national, chaque autorité de régulation est compétente sur son territoire, lorsque les résidents du pays concerné sont ciblés par un service particulier. Cela signifie que, potentiellement, plusieurs autorités peuvent se prononcer sur un même sujet (Google, Facebook etc.). Le deuxième niveau de la gouvernance relève de la coopération entre autorités lorsqu'il existe un sujet d'intérêt commun : cette coopération intra-européenne doit permettre le cas échéant de prendre une décision sur la base du consensus. À défaut - c'est le troisième niveau, l'autorité européenne de protection des données (EDPB pour European data protection board), appelée à succéder au groupe de travail prévu par l'article 29 de la directive de 1995, dit «  G 29 », sera compétente pour résoudre les questions qui n'auront pu être réglées par la seule coopération des autorités de régulation. Ce schéma présente ainsi à la fois un caractère décentralisé et distribué, mais également des incitations fortes à la coopération. Il permet de concilier « le guichet unique » demandé par les entreprises et la possibilité pour les citoyens de porter les litiges au niveau national. Il est remarquable que toutes les autorités réunies au sein du G 29 aient pu, malgré leurs différences, convergé vers ce schéma de gouvernance.

Le troisième exemple d'avancée juridique concerne l'accord conclu en février 2014 entre l'Union européenne et les États membres de la coopération économique pour l'Asie-Pacifique (APEC) pour encadrer les flux internationaux de données. Chacune des deux régions dispose de son propre système pour garantir les transferts de données internes à des entreprises ou à des groupes (binding corporate rules dites « BCR » pour l'Union européenne, cross-border privacy rules dites « CBPR » pour l'APEC). Or, les grands groupes veulent échanger des données à travers le monde entier. Un référentiel a pu être élaboré, pour dégager un bloc de règles commun aux deux zones concernées et des blocs additionnels spécifiques. Ainsi, l'Union européenne, en même temps qu'elle promeut avec le projet de règlement un meilleur encadrement des données, est capable d'ouvrir un chemin d'interopérabilité. Elle ne se ferme pas au reste du monde, bien au contraire.

L'espace juridique européen a donc apporté la preuve qu'il était suffisamment robuste pour intégrer l'innovation, même lorsque sont remises en cause les approches traditionnelles comme c'est par exemple le cas avec le big data. Au fond, les Américains nous disent que le principe de finalité n'a plus de sens à l'heure du big data, puisque l'on croise des données sans forcément connaître à l'avance le bénéfice que l'on va pouvoir en tirer. C'est la corrélation qui va déterminer la finalité. En outre, les Américains ont le sentiment que les modes d'utilisation actuels des données sont tellement compliqués qu'il devient impossible de demander aux citoyens leur consentement. Or, c'est un principe fondateur de la réglementation européenne. L'idée du projet de règlement est donc de convaincre les Américains, mais aussi et surtout les Européens, que le cadre juridique de l'Union européenne est suffisamment souple pour intégrer l'innovation tout en offrant des garanties pour les consommateurs. Au regard de la gouvernance juridique des données, l'Union européenne peut donc se prévaloir d'outils robustes à la fois offensifs et défensifs.

De plus, sous l'angle de l'innovation technologique et industrielle, l'Europe dispose, à travers la proposition de règlement, d'une arme juridique utile vis-à-vis des grands acteurs internationaux, ouvrant ainsi la faculté d'orienter la gouvernance juridique de la donnée selon notre propre schéma, sans avoir à subir celui des autres puissances.

Le deuxième élément concerne l'aspect technique de la gouvernance dont on ne peut se désintéresser car l'adage qui prédomine en cette matière est « code is law ». Cela signifie qu'il est nécessaire de normer techniquement ce que dit le droit. Par exemple, il est fondamental de définir ce qu'est l'anonymisation des données car, à l'heure du big data, le croisement de données permet la réidentification des internautes même lorsqu'ils ont fait le choix de l'anonymat. Nous avons procédé à la CNIL à cet exercice de réidentification sur un site de rencontres en ligne et nous nous sommes aperçus que cette opération prenait moins de dix minutes, malgré l'utilisation de pseudonymes. Il faut donc tirer des conséquences juridiques de cette situation pour garantir les droits des personnes.

À cet égard, je remarque que, très récemment, le G 29 a émis un avis appelant l'Europe à définir un standard d'anonymisation tant sur les principes (projet de règlement, conventions internationales) que sur leur traduction technique. Cela signifie que pour être respectées dans ses orientations, l'Europe doit être présente dans la gouvernance technique.

Un deuxième exemple nous est fourni par la décision du 8 avril dernier de la Cour de justice de l'Union européenne. Celle-ci a invalidé la directive sur la conservation des données de connexion en raison d'un défaut de proportionnalité dans l'atteinte au droit des personnes. La conséquence à tirer est la nécessité de localiser en Europe les serveurs qui traitent ces données. Cette position est intéressante en ce qu'elle dit que pour que les principes juridiques soient respectés, il faut établir une règle technique allant dans le sens de la constitution du cloud souverain.

Le troisième volet sur lequel je souhaite conclure est la gouvernance politique. En matière de protection des données personnelles, cela signifie que l'avance de l'Europe et de pays tels que l'Allemagne et la France qui ont été les premiers pays à légiférer à partir de la fin des années 70, acquise avant l'ère du numérique doit être remise à plat car le message de l'Europe sur sa conception de la protection des données n'a pas été suffisamment audible. En tous cas, il ne l'a pas été pendant les dernières décennies de développement de l'économie digitale. Les affaires Snowden et Prism, mis à part en Allemagne, n'ont pas provoqué une mobilisation aussi importante qu'on aurait pu le souhaiter. Pourtant, elles illustrent une rupture absolue dans le paradigme de surveillance. Jusqu'à présent, le pacte tacite était que les activités des services de renseignements ne visaient que les populations dites à risque et les dirigeants. Avec Snowden, nous changeons d'univers car tout le monde est maintenant concerné par la surveillance : cela signifie que le système par défaut est devenu la collecte généralisée de données. Il s'agit d'une inversion de la surveillance et donc de la présomption d'innocence.

M. Gaëtan Gorce, président. - Toute la population est considérée comme étant à risque.

Mme Isabelle Falque-Pierrotin. - C'est exactement cela et c'est totalement inédit dans un système démocratique, sans qu'aucun débat ne soit intervenu. Or l'affaire Snowden continue, à bas bruit, à diffuser ses effets, notamment dans la sphère économique, le cloud américain ayant perdu 10 % de ses clients du fait de la perte de confiance dans les dispositifs de stockage. Sur le plan politique, la réaction de l'Europe peut prendre deux formes. D'abord, la réaffirmation de la robustesse de son modèle qui se caractérise par l'équilibre entre la liberté économique et le caractère fondamental de la protection des données personnelles. Le Parlement européen s'est prononcé en avril à une majorité écrasante en ce sens. Cela illustre la puissance de la position européenne.

Ensuite, il faut être capable de pousser le gouvernement américain à prendre des mesures opérationnelles afin de ne pas en rester au seul stade du discours prononcé par le Président Obama. A ce stade, il faut déplorer qu'aucune action concrète n'ait encore été prise.

Il faudrait être capable d'influer sur les négociations en cours sur le « safe harbour » et le traité transatlantique de libre-échange. La CNIL attend avec une extrême vigilance l'issue des négociations entre les Etats-Unis et la commission européenne, sachant que la menace de suspendre le « safe harbour » serait une arme de dissuasion extrêmement puissante si elle était brandie par l'Europe.

Pour résumer, le domaine de la protection des données personnelles est un facteur de l'identité européenne suffisamment consensuel pour constituer un atout pour son industrie.

Mme Catherine Morin-Desailly, rapporteure. - Vous avez évoqué la robustesse du modèle européen, mais peut-on espérer que celui-ci soit suffisamment efficace sur le plan technique face à des menaces comme « Bull run » et Prism ? Êtes-vous confiante sur nos capacités de réponse ?

Mme Isabelle Falque-Pierrotin. - Dans notre cadre juridique européen, l'article additionnel introduit par le Parlement européen permettant de résister à la demande d'accès aux données de citoyens européens par des États étrangers permet de faire avancer l'idée d'accords intergouvernementaux sur la coopération en matière de renseignements et donnerait une architecture juridique donnant un cadre aux échanges d'informations. Ensuite, la question de savoir si ce cadre sera respecté est de nature politique. Mais nous aurions au moins établi une architecture symbolique pour sécuriser les échanges de nos grandes entreprises européennes face aux pressions de la législation américaine. Il faut rehausser l'exigence juridique européenne pour rétablir l'équilibre. A partir du moment où nous aurons provoqué un conflit de loi, nous pourrons alors entamer une discussion plus équilibrée avec les Américains.

Mme Catherine Morin-Desailly, rapporteure. - Êtes-vous optimiste pour l'adoption rapide du projet de règlement ? On aurait pu penser que l'affaire Snowden agisse comme un accélérateur mais il faut se rendre à l'évidence que le lobbying venu d'outre-Atlantique porte ses fruits auprès de certains États membres. Comment analysez-vous ces différences de points de vue ? Par ailleurs, serait-il nécessaire de différencier des catégories de données en fonction de leur utilisation et selon qu'elles s'appliquent au big data ou à la biométrie ?

Mme Isabelle Falque-Pierrotin. - Je suis relativement confiante sur les chances d'adoption du règlement européen sur la protection des données personnelles. Certains États ne rendent certes pas la négociation facile, mais je pense que ce serait un tel camouflet politique pour l'Europe de ne pas conclure qu'il y a plus de chance d'aboutir à un texte que de ne pas parvenir à se mettre d'accord.

Pour répondre à votre question sur la distinction juridique entre les types de données, je crois qu'il nous faut nous méfier de l'offensive anglo-saxonne concernant les données pseudonymisées qui, parce qu'elles présenteraient moins de risque, nécessiteraient une moindre protection. En effet, qu'est-ce qu'une donnée pseudonymisée ? Cette idée selon laquelle certaines données ne seraient qu'à moitié personnelles, couplée à une approche par les risques conduit en fait à un détricotage du schéma de protection auquel nous avons abouti en Europe, donc à sa fragilisation. La notion de données personnelles directement ou indirectement identifiantes est au contraire suffisamment flexible pour permettre de couvrir beaucoup de choses.

Pour autant, je rejoins le Président Gaëtan Gorce lorsqu'il considère que certaines données doivent faire l'objet d'une attention particulière : les données biométriques, les données de santé... Cela passe par des garanties procédurales spécifiques : exigence d'étude d'impact, d'un consentement renforcé... Ainsi, si on doit distinguer parmi les types de données, c'est pour assurer une meilleure protection de certains d'entre eux, pas l'inverse.

Il nous faut prendre en compte le souhait des entreprises d'avoir des outils plus simples à utiliser. Mais, dans le cadre d'une concurrence de plus en plus dure concernant les données, c'est une nécessité de ne pas affaiblir le régime de protection des données personnelles européen.

Mme Catherine Morin-Desailly, rapporteure. - Que pensez-vous de la proposition de créer un droit de propriété sur les données personnelles ? Quel regard portez-vous sur les propositions formulées par le rapport Colin et Collin sur la fiscalisation des données ?

Mme Isabelle Falque-Pierrotin. - Je ne comprends pas la proposition de créer un droit de propriété intellectuelle sur les données personnelles. Le régime de protection actuel reconnaît des droits à la personne, y compris lorsque ses données sont traitées par d'autres. C'est un dispositif très puissant. En revanche, peut-être faut-il travailler à une meilleure effectivité de ces droits en rééquilibrant la relation de pouvoir sur les données, par exemple par le nouveau droit à la portabilité de ses données.

Je connais la proposition de Nicolas Colin sur la fiscalité des données. Je pense que c'est une bonne idée d'utiliser les données comme indicateurs étant donné leur place dans certains modèles économiques. Mais la fiscalité ne doit pas être orthogonale par rapport à la protection des données. La protection des données personnelles est la garantie d'une liberté fondamentale ; considérer les données personnelles comme des actifs à fiscaliser ne doit pas conduire à contredire la volonté de les protéger efficacement.

M. Gaëtan Gorce, président. - Comment assurer le contrôle des services publics de renseignement ? Quelle est votre analyse sur ce sujet ? Vos conclusions ?

Mme Isabelle Falque-Pierrotin. - Ce sujet a fait l'objet d'une discussion au sein du G 29, discussion d'autant plus intéressante que les autorités de protection des données personnelles dans les différents pays de l'Union européenne ont des positionnements différents par rapport aux services de renseignement nationaux. Dans son avis, le G 29 a introduit un paragraphe incitant à la mise en place de mécanismes de contrôle indépendants et efficaces, dans lesquels les autorités de protection des données doivent jouer un rôle. Tel est l'enseignement que l'on peut tirer non seulement de l'Affaire Snowden, mais également de la décision de la Cour de justice de l'Union européenne sur la directive de 2006 sur la conservation par les opérateurs des données de connexion.

Pour donner quelques exemples, l'autorité polonaise a vu dans l'introduction de ce paragraphe dans l'avis du G 29 l'occasion de se créer une légitimité et une compétence en matière de contrôle des services de renseignement. En Grande-Bretagne ou aux Pays-Bas, il existe une commission parlementaire pour contrôler les services, mais ce paragraphe est perçu comme permettant à l'autorité de contrôle de mieux travailler avec cette commission. En France, le contrôle des services de renseignement est limité car ils bénéficient de dérogations importantes. En tout état de cause, la CNIL ne peut exercer de contrôle sur les services eux-mêmes, en revanche, elle peut contrôler les fichiers de données.

D'où une convergence des points de vue en dépit des différences de situation.

Mme Catherine Morin-Desailly, rapporteure. - Y a-t-il un avant et un après Snowden ?

Mme Isabelle Falque-Pierrotin. - À titre personnel, j'en suis convaincue. Edward Snowden a cristallisé des choses qui n'étaient pas forcément visibles de tous, il en a fait la démonstration devant le monde entier, obligeant chacun à s'interroger.

M. Gaëtan Gorce, président. - Existe-t-il un prix de la CNIL que vous pourriez lui décerner ?

Mme Isabelle Falque-Pierrotin. - Il existe bien un prix... de thèse !

Mme Catherine Morin-Desailly, rapporteure. - L'initiative à laquelle la CNIL a participé pour faire de l'éducation au numérique une cause nationale pour 2014 n'a pas abouti. En connaissez-vous les raisons ?

Mme Isabelle Falque-Pierrotin. - Nous avions effectivement constitué un collectif regroupant une cinquantaine d'entités diverses : industriels, représentants du monde de l'éducation, association de parents d'élèves... Cette initiative avait pour point de départ le constat que la France est en train de manquer le virage du numérique car la population comprend mal cette révolution numérique, elle n'en maîtrise pas les usages et est insuffisamment armée pour être un acteur investi dans le numérique. Nous avions donc l'espoir qu'une prise de position au plus haut niveau donne de la visibilité à cette action.

Nous avons donc constitué un dossier, entrepris les démarches nécessaires, mais la proposition n'a finalement pas été retenue. Pourtant le problème reste entier. C'est pourquoi le collectif a décidé de se maintenir et de se concentrer sur des actions à déterminer.

Il n'en reste pas moins le sentiment d'une occasion manquée de faire passer un message de mobilisation indispensable, au moment même où outre-Atlantique le Président Obama affirme que chaque Américain devrait faire une heure de code par jour.

M. Gaëtan Gorce, président. - Peut-être cela est-il dû à une éducation au numérique insuffisante de la part même de ceux qui ont pris la décision...

La réunion est levée à 18 h 30.