Allez au contenu, Allez à la navigation

COMPTES RENDUS DE LA CE SOUVERAINETE NUMERIQUE


Mercredi 17 juillet 2019

- Présidence de M. Franck Montaugé, président -

La réunion est ouverte à 16 heures.

Audition de M. Laurent Giovachini, pour le « Comité souveraineté et sécurité des entreprises françaises » du Medef et le Syntec numérique et de M. Loïc Rivière, Délégué général de Tech in France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de MM. Laurent Giovachini et Christian Nibourel. Monsieur Giovachini, vous présidez la Fédération Syntec, dont est membre le plus important syndicat professionnel du secteur du numérique, le Syntec numérique ; vous êtes également à la tête du comité sécurité et souveraineté économiques des entreprises du Medef. Monsieur Nibourel, vous présidez le groupement des professions de services et la commission mutations technologiques et impacts sociétaux du Medef. Votre audition est diffusée en direct sur le site Internet du Sénat ; elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Giovachini et Christian Nibourel prêtent serment.

M. Franck Montaugé, président. - Une personne auditionnée par notre commission d'enquête a souligné que le monde de l'entreprise avait sa part de responsabilité dans la compétition technologique en cours, et qu'il pouvait contribuer à éviter que la France et l'Europe ne soient réduites à un simple terrain d'opposition entre la Chine et les États-Unis. Il s'agissait d'un appel à davantage de patriotisme économique, afin que les entreprises concourent à la puissance de la France et de l'Europe en conquérant de nouveaux marchés.

La création d'un comité sécurité et souveraineté économiques au sein du Medef semble envoyer un signal en ce sens. Monsieur Giovachini, vous vous êtes d'ailleurs exprimé clairement sur ce point dans une interview, dans laquelle vous déclariez que « pour créer des GAFA européens, il faut que se conjuguent volonté politique et volonté des entreprises. Ces dernières ne peuvent pas s'exonérer de participer à l'effort de reconquête ».

Comment appréhendez-vous la notion de souveraineté numérique et quelle est la situation de notre pays dans ce domaine ? Que faire pour que la France recouvre sa souveraineté dans le monde numérique ?

M. Laurent Giovachini, président du comité souveraineté et sécurité économiques des entreprises françaises du Medef et de la Fédération Syntec. - Nous sommes heureux d'avoir l'opportunité de vous présenter la position du Medef sur la souveraineté numérique pour le monde économique.

Le Medef représente 170 000 entreprises adhérentes, d'une taille moyenne de quarante-sept salariés, au travers de soixante-dix-huit fédérations sectorielles et d'une centaine de Medef territoriaux. J'exerce, pour ma part, les fonctions de directeur général adjoint de Sopra Steria, entreprise française parmi les leaders européens de la transformation digitale, qui compte plus de 45 000 collaborateurs dans vingt-cinq pays et qui réalise un chiffre d'affaires supérieur à milliards d'euros. Je préside également la fédération Syntec qui regroupe, dans ses syndicats affiliés, des sociétés françaises spécialisées dans les domaines de l'ingénierie, du numérique, du conseil, de la formation professionnelle et de l'événement. Les 80 000 entreprises que nous représentons dans notre branche emploient environ un million de salariés et affichent un chiffre d'affaires total de 120 milliards d'euros. Je suis enfin président du comité souveraineté et sécurité économiques des entreprises du Medef, que Geoffroy Roux de Bézieux a souhaité créer au début de l'année 2019 pour renforcer la mobilisation des entreprises en la matière. De fait, les années passées dans le secteur public, à la délégation générale pour l'armement puis en cabinet auprès du Premier ministre, Lionel Jospin, m'ont permis de développer une expertise des problématiques de souveraineté.

La création d'un tel comité peut paraître à certains contradictoire avec la veine traditionnellement libérale du Medef, mais il convient de ne pas confondre libéralisme et naïveté et de tirer les enseignements de l'insuffisance des règles qui ont accompagné la libéralisation des marchés en Europe. Nous sommes confrontés à un contexte de tensions économiques internationales et de rivalité accrue entre les nations, avec t des conséquences lourdes sur l'activité des entreprises, qui se trouvent au coeur des enjeux de souveraineté économique. Les entreprises doivent, comme l'État, s'engager pour les protéger cette souveraineté économique. À défaut, le tissu économique français et européen pourrait être constitué, à l'avenir, soit de filiales de groupes extra-européens, soit d'entreprises de services de proximité. Si la réponse au défi de la souveraineté économique et numérique relève du politique, les entreprises portent également une responsabilité. De leur engagement dépend la capacité de l'économie française à créer et à développer des activités et des emplois durables.

Il existe une ligne de crête entre l'attractivité de la France et la souveraineté économique : nous devons demeurer un pays attractif, tout en conservant notre souveraineté, entendue comme la capacité de disposer d'une autonomie d'appréciation des situations, de décision et d'action. Le Medef souhaite jouer un rôle de sensibilisation et proposer des recommandations sur les enjeux liés à la souveraineté économique et numérique. Il faut que la France et l'Europe se dotent des outils, notamment juridiques, financiers et technologiques, pour préserver notre compétitivité et assurer des emplois durables. Nous devons bénéficier d'un cadre réglementaire préservant notre capacité à décider en toute autonomie. Il s'agit d'éviter les situations d'ingérence et de déstabilisation économique, comme les prises de contrôle par des investisseurs étrangers, de lutter contre l'extraterritorialité du droit, notamment américain, l'espionnage économique et industriel et l'action de certains fonds activistes. Le développement d'une culture de la sécurité économique et numérique au sein des entreprises paraît également indispensable.

Notre action vise un double objectif. D'une part, nous devons réinventer et densifier le partenariat entre les entreprises et le secteur public, y compris avec la délégation générale des entreprises, l'Anssi, le SGDSN, les services de renseignement. L'administration a conservé une terminologie pudique avec son service de l'information stratégique et de la sécurité économiques (SISSE), alors que nous osons le terme de souveraineté. D'autre part, il nous revient de mobiliser nos homologues européens, à commencer par la fédération de l'industrie allemande (BDI), car seule sera efficace une action forte et cohérente menée au niveau de l'Union européenne.

M. Christian Nibourel, président du groupement de professions de services et de la commission mutations technologiques et impacts sociaux du Medef. - Outre mes fonctions de président de la commission mutations technologiques et impact sociaux et du groupement des professions de services, je préside l'institut national des sciences appliquées (INSA) de Lyon. Jusqu'au mois de janvier, je présidais également Accenture France Benelux.

Nos adhérents expriment une demande forte de décryptage de l'impact des mutations technologiques sur l'activité des entreprises et sur la transformation de la société, notamment sur les nouvelles formes de travail. Leurs inquiétudes portent également sur l'éthique, sur la protection des données et sur la consommation d'énergie induite par les technologies numériques. Le Medef a créé, pour y répondre, la commission que je préside. L'accélération des transformations numériques oblige les entreprises à travailler différemment. En ce sens, la souveraineté numérique peut être définie comme la capacité des entreprises à s'adapter et à demeurer maîtresses de leur destin et de leur développement économique et social, tout en respectant les valeurs européennes. Cela passera non pas par une copie de ce qui a déjà été fait, mais par notre faculté à innover, notamment dans les domaines de la blockchain, de la cybersécurité, de l'intelligence artificielle, de l'ordinateur quantique et du cloud souverain. Nous devons également remporter la bataille des standards et des normes, essentiels en matière de transparence et d'interopérabilité. Face à l'enjeu numérique, le Medef pousse aussi à une meilleure organisation des entreprises européennes entre elles.

Notre commission a pour mission de faire prendre conscience aux entreprises des bouleversements des modèles économiques et sociaux induits pas le numérique et de la nécessité qu'elles participent à la construction de la réglementation. La cybersécurité représente un catalyseur fort du développement du numérique, de la sécurité et de la souveraineté : nous devons prendre de l'avance dans ce domaine pour ne pas perdre la bataille de la souveraineté. Nous en avons les moyens.

M. Gérard Longuet, rapporteur. - Le droit européen de la concurrence donne l'impression de favoriser le consommateur au détriment du producteur, en recherchant l'augmentation du pouvoir d'achat par la baisse des prix, par le jeu d'une concurrence forte. Il n'y a qu'à voir le secteur des télécoms... En outre, chaque État membre défend ses consommateurs en abandonnant les producteurs des autres pays européens. Dès lors, l'Union européenne se trouve dans l'incapacité de faire émerger des champions européens. Comment envisageriez-vous un droit de la concurrence plus réaliste ?

L'échec, en France, d'un cloud souverain s'explique par diverses raisons. Si les entreprises préfèrent les meilleures technologies au meilleur prix, elles n'ont pas vocation à financer l'indépendance européenne. Quid cependant de la protection de leurs données ? Quelles sont les conséquences juridiques du Cloud Act ?

Votre commission tente de convaincre les chefs d'entreprise qui n'ont pas encore perçu toute l'importance de la numérisation de leur activité. Certains en sont évidemment conscients, mais beaucoup proposent un service minimum en la matière, estimant que le numérique est avant tout une affaire de spécialistes. Que pensez-vous de l'initiative de notre collègue député Cédric Villani qui recommandait, dans son rapport sur l'intelligence artificielle, que les entreprises soient aidées pour mutualiser leurs données ? Vous semble-t-elle crédible?

Mme Martine Filleul. - Vous avez tous les deux évoqué la nécessité de travailler à l'échelle européenne pour favoriser le travail partenarial. Où en êtes-vous de cette volonté fédérative ? Avez-vous reçu partout le même accueil ?

M. Stéphane Piednoir. - Certains employés des entreprises du Syntec s'inquiètent-ils de l'utilisation des données possédées par ces entreprises à leur sujet ?

M. Franck Montaugé, président. - Êtes-vous favorables à l'extension du règlement général sur la protection des données (RGPD) aux données détenues par les entreprises ?

M. Laurent Giovachini. - Le droit de la concurrence en Europe est un sujet très important. Avec le comité souveraineté et sécurité des entreprises du Medef, nous en avons débattu franchement avec Mme Margrethe Vestager - c'était au moment de la décision de la Commission européenne sur la fusion Alstom-Siemens. Je lui ai dit qu'Airbus, entre ses mains, n'aurait peut-être pas abouti au même résultat...

À titre personnel, je suis favorable à ce qu', à côté de la direction générale concurrence, émerge une préoccupation pour la politique industrielle européenne, non seulement portée politiquement, mais aussi par l'administration bruxelloise. Ceci garantirait un meilleur équilibre dans l'instruction des dossiers. Nous étions les troisièmes interlocuteurs de la commissaire à lui parler de « champions européens » cette semaine-là, après le Premier ministre et Bruno Le Maire ; n'ayons pas peur de défendre cette idée !

Nous avons fait des propositions sur le cadre européen de la concurrence. Dans une Europe qui protège, il faut moderniser les principes et les règles du droit de la concurrence pour favoriser le rapprochement entre les entreprises européennes, renforcer notre système de production autour de champions européens ; rationaliser les règles des aides d'État afin de dynamiser l'investissement et répondre aux grands défis stratégiques - révolution technologique, recherche, innovation, durabilité... ; mettre en place un cadre commun afin de permettre aux États membres d'intervenir dans les secteurs stratégiques dès que des initiatives conduites par des opérateurs de pays tiers ne garantissent pas les règles de réciprocité. Vous avez vu le règlement européen sur le filtrage des investissements étrangers auquel le Parlement européen a donné son feu vert en février dernier. Désormais, il prévoit une obligation d'information mutuelle sur les opérations d'investissement extra-européen dont les États ou leurs entreprises font l'objet.

Nous devons agir pour une réforme en profondeur de l'Organisation mondiale du commerce (OMC) et instaurer des règles internationales pour combattre les pratiques anticoncurrentielles ou hors marché - c'est la notion de level playing field - afin que nos entreprises ne soient pas désavantagées par des règles européennes plus exigeantes que celles auxquelles nos concurrents sont soumis. Nous devons bâtir un agenda de négociations pour progresser sur le régime des échanges mondiaux, la sécurité internationale et la prospérité de l'économie mondiale. J'insiste sur ce nécessaire équilibre à Bruxelles entre la concurrence et la politique industrielle.

M. Gérard Longuet, rapporteur. - Y a-t-il une prise de conscience des entreprises françaises sur le fait qu'avec le Cloud Act, leurs données peuvent être stockées dans des centres de données aux États-Unis ou propriété d'entreprises américaines, et donc susceptibles d'être transférées à la justice américaine pour différentes raisons, parfois surprenantes ?

M. Christian Nibourel. - Il y a une prise de conscience, surtout dans les grandes entreprises, notamment après le RGPD. Nous devons soutenir des solutions juridiques, dont certaines existent déjà au travers de ce règlement. Il faut aussi réduire les risques pour les entreprises, qui ne savent pas toujours que la justice américaine peut aller chercher des données dans ces clouds. Il y a une déconnexion entre la réglementation française et le Cloud Act. La réponse devra être européenne avec de nouvelles réglementations.

Nous devons être prudents sur un futur RGPD des entreprises et sur la mutualisation des données d'entreprises, certaines données stratégiques sont le savoir-faire, la propriété de l'entreprise - il ne faudrait donc pas les divulguer. Avant de se poser la question de leur mutualisation, il faudrait segmenter les données. Le Health Data Hub va être bientôt créé, on en voit l'intérêt. C'est une solution d'avenir.

Si nous voulons devenir des leaders européens dans un certain nombre de domaines d'innovation, il faut un pilotage de l'innovation de rupture au niveau européen et prendre en compte la composante temps. Les innovations vont très vite. Il faut une vision et une permanence dans nos investissements, tout en étant capable de changer de cap rapidement pour pouvoir répondre aux nouvelles innovations.

Nous pouvons décider, par exemple dans la cybersécurité, avoir perdu la bataille du cloud, mais vouloir gagner la bataille des bases de données réparties, le edge computing.

Ne vaut-il pas mieux investir dans des start-up françaises ou européennes pour en faire des licornes, en travaillant sur des bases de données moins importantes pour entraîner les algorithmes ? Certains ingénieurs travaillent sur des technologies aboutissant aux mêmes résultats avec dix fois moins de données, en changeant la manière de développer les algorithmes. Nous pouvons prendre ce leadership, tout en sachant que, de toute façon, nous ne pourrons pas concurrencer les énormes bases de données. Nous pouvons aussi prendre le leadership d'une blockchain moins consommatrice d'énergie.

Avec le web sémantique, la donnée circule uniquement en fonction du besoin de calcul, mais reste la propriété du producteur. Il faut aller vers ce modèle : nous n'arriverons pas à copier les grands modèles américains, nous sommes trop en retard. Il vaut mieux se concentrer sur les futurs modèles. Actuellement, 80 % des données sont sur le cloud, 20 % sur le device. Demain, nous inverserons ce rapport. Nous avons besoin d'une organisation, d'un pilotage de l'innovation de rupture pour prendre de l'avance et s'affranchir de ces clouds.

M. Laurent Giovachini. - Si nous voulons être présents sur la prochaine vague de la révolution numérique, nous devons le faire à l'échelle européenne.

Nous avons la chance d'avoir en Europe un tissu industriel non négligeable, avec des grandes entreprises comme Thalès, de grandes sociétés de services du numérique - ex-SSII - comme Capgemini, Atos, Sopra Steria, des grands éditeurs de logiciels comme SAP en Allemagne ou Dassault Systèmes en France ; nous ne sommes pas démunis. Nous avons des start-up, mais, dans 80 % à 90 % des cas, elles sont rachetées pour devenir des sous-ensembles de grands groupes extraeuropéens.

En France, mais probablement aussi en Europe, nous devons faire en sorte que nos impôts, qui paient un appareil de formation qui reste l'un des meilleurs du monde avec des universités et des grandes écoles de qualité, ne conduisent pas à ce que les élèves de ces écoles aillent directement dans des GAFA ou dans des start-up intégrées dans ces entreprises quelques années après leur création... Nous avons des grandes entreprises industrielles, des grands éditeurs de logiciels mais, l'innovation technologique, l'innovation d'usage, qui vient des start-up, est bien souvent captée par des intérêts extra-européens. Il y a vingt ans, les banques américaines et britanniques débauchaient nos polytechniciens pour créer leurs produits structurés. Désormais, ce sont des sociétés comme Palantir Technologies qui captent nos meilleurs cerveaux.

Nous devons proposer des moyens publics et privés, non pour refaire ce qui n'a pas marché, comme le Plan calcul, mais pour que ces jeunes talents aient des débouchés européens. C'est ce qui manque actuellement. C'est une responsabilité partagée de l'État, et des entreprises.

L'Europe a réussi avec le RGPD à créer, sans le vouloir, un instrument à portée extraterritoriale qui défend nos valeurs. C'est donc possible. Certes, cela ennuie les entreprises et cela a un coût. Mais l'avantage, c'est que nos entreprises sont dans le continent où ce règlement a été conçu, elles ont donc un temps d'avance, alors que lorsque nous transposons des normes étrangères, et notamment américaines, nous avons deux temps de retard par rapport à nos concurrents. Nous pouvons être en avance sur les normes mondiales.

M. Gérard Longuet, rapporteur. - Je partage totalement vos orientations, mais il y a des difficultés propres au système européen.

Le marché des capitaux à risque est plus étroit en Europe qu'aux États-Unis pour des raisons structurelles, notamment du fait de la gestion du risque vieillesse. Comment pourrait-on faire basculer ce point rapidement ?

La coopération est difficile entre les entreprises nouvelles, les entreprises existantes et les pouvoirs publics, qui ont un rythme de décision lent, avec des étapes complexes et nécessairement nombreuses. Parfois, cela aboutit à vulgariser une idée, un comble pour l'entreprise qui pensait avoir un avantage sur ses concurrents !

Une start-up ne doit pas être privée de la possibilité d'optimiser son innovation. Si on lui dit qu'elle ne pourra pas vendre à celui qui lui propose le meilleur prix, elle ira ailleurs. Sans parler des solutions, pensez-vous que vos interlocuteurs publics sont conscients du problème ?

M. Laurent Giovachini. - De plus en plus ! Nous devons être conscients que le capitalisme français avait réussi une sorte de tour de force : utiliser l'argent étranger pour construire de grandes entreprises nationales.

M. Gérard Longuet, rapporteur. - Les fonds de pension californiens sont en effet très présents dans les entreprises du CAC 40 !

M. Laurent Giovachini. - Oui, mais les centres de décision restaient en France. Or nous devons être vigilants quant à l'équilibre des pouvoirs entre les conseils d'administration et les assemblées générales. Les choses sont plus compliquées aujourd'hui pour les start-up.

En ce qui concerne la coopération avec les pouvoirs publics, il y a une réelle prise de conscience, mais il faudrait que les mécanismes européens, a minima franco-allemands, soient à la hauteur et que les initiatives étatiques s'inscrivent dans la durée. Les entreprises ont parfois l'impression que chaque nouveau gouvernement, voire chaque nouveau ministre, veut tout réinventer et abandonner ce qui avait été fait précédemment ; certes, les intentions sont bonnes, mais nous avons besoin de stabilité. Devrions-nous aller vers une loi de programmation du numérique, dispositif qui a fonctionné dans le domaine de la défense ? En tout cas, les dispositifs publics doivent dépasser les alternances et les changements de ministre.

Quand je parle de naïveté, je pense aussi au fait que, dans les autres pays - aux États-Unis, en Chine, en Israël -, les start-up ou les licornes placent dans leurs conseils d'administration d'anciens hauts responsables de l'État, souvent issus des services de renseignement, alors que nous, nous mettons d'abord en avant les questions déontologiques ou de pantouflage... Ces restrictions sont légitimes, mais nous devons aussi être conscients de notre environnement et de la manière dont nos concurrents fonctionnent, c'est-à-dire en travaillant de manière étroite avec les services de renseignement de leurs Etats.

M. Christian Nibourel. - Le numérique n'est pas un secteur isolé ; au contraire, il est transversal. Sur le marché européen, la coexistence de vingt-huit législations différentes en termes de fiscalité ou de marché du travail est pénalisante.

Nous avons également tendance à trop raisonner en silo et à ne pas persévérer en matière d'investissements et de priorités. Nous devrions au contraire réfléchir de manière globale. Les innovations de rupture nécessitent un travail collectif entre le monde universitaire, le secteur économique, les start-up, les fonds, etc. C'est cet ensemble qui crée une dynamique. Les Britanniques vont dans ce sens, puisqu'ils sont en train de définir un espace commun de travail sur la cybersécurité. Pour tenir le rythme de l'innovation, nous avons par exemple besoin de doctorants.

Il est vrai que la France ne dispose que de deux fonds spécialisés en cybersécurité, mais la question est plus globale, ce n'est pas une mesure qui va tout changer, et le monde universitaire n'a pas vraiment fait sa révolution en la matière. Attention, ne prenons pas trois ans pour réfléchir à la question... Ce serait trop tard ! Nous avons besoin de tous ces changements aujourd'hui.

Je le redis, il faut sortir du phénomène de silo, décloisonner, avoir une vision pérenne et globale à même de faire naître les grandes entreprises dont nous avons besoin. Il est vrai aussi que, dans le passé, la commande publique a facilité certaines évolutions.

Audition de M. Loïc Rivière, délégué général de Tech in France

M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de M. Loïc Rivière, délégué général de Tech in France. Cette audition est diffusée en direct sur le site internet du Sénat ; elle fera également l'objet d'un compte rendu qui sera publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, M. Loïc Rivière prête serment.

M. Franck Montaugé, président. - Créé en 2005 sous le nom d'Association française des éditeurs de logiciels et solutions internet, Tech in France revendique aujourd'hui 400 adhérents dans le secteur du numérique, dont 80 % de PME, mais également des géants du numérique comme Google et Facebook. Vous nous rappellerez rapidement l'état de vos relations avec le Medef.

L'une des personnes auditionnées par notre commission a souligné la très grande responsabilité du monde de l'entreprise dans le fait que la France et l'Europe ne soient pas réduites à un simple terrain d'opposition entre la Chine et les États-Unis dans la compétition technologique qui les oppose. Il s'agissait en fait d'un appel à davantage de patriotisme économique afin que le monde de l'entreprise concoure à la puissance de la France et de l'Europe, en conquérant de nouveaux marchés. Que pensez-vous de cet appel ?

Comment appréhendez-vous la notion de souveraineté numérique et comment appréciez-vous la situation de notre pays?

Le rôle d'une commission d'enquête étant également de savoir si les politiques publiques engagées aujourd'hui vont dans la bonne direction, je vous invite à nous expliquer ce qui, selon vous, reste à faire pour que la France recouvre sa souveraineté dans le monde numérique.

M. Loïc Rivière, délégué général de Tech in France. -Je tiens tout d'abord à souligner que nous représentons aussi des champions nationaux comme Dassault Systèmes, Criteo ou Cegid. Tech in France est membre d'une fédération professionnelle, la fédération des industries électriques, électroniques et de communication (FIEEC), qui est elle-même adhérente du Medef. Nous participons donc régulièrement aux travaux du Medef.

Sur le fond, l'expression « souveraineté numérique » est large et il en existe plusieurs définitions. C'est pourquoi je voudrais circonscrire le sujet. Dans le domaine numérique, la souveraineté est la capacité de « se gouverner » seul. Pour un individu, il s'agit du contrôle des données personnelles. J'imagine que votre commission d'enquête s'intéresse aussi au fait que la souveraineté numérique peut croiser la notion de souveraineté nationale.

Aucun État n'est strictement souverain. La souveraineté est un objectif, et nous dépendons des autres pour la mettre en oeuvre. Il existe ainsi de nombreux sujets qui font l'objet d'une gouvernance partagée et qui trouvent des réponses par le multilatéralisme. La France s'inscrit d'ailleurs historiquement dans ce mouvement.

Le monde numérique est un monde de communication, donc d'interdépendance, ce qui entraîne d'ailleurs une certaine contradiction avec l'expression « souveraineté numérique ». Je le redis, le numérique, c'est, par définition, la communication, l'interdépendance - on parle d'ailleurs souvent d' effets de réseau. La digitalisation de nos sociétés et de nos économies crée de plus en plus d'interdépendances. Le Président de la République, Emmanuel Macron, déclarait lors de la 72e Assemblée générale des Nations Unies : « Ce qui nous protège, c'est notre souveraineté et l'exercice souverain de nos forces au service du progrès. C'est cela l'indépendance des nations dans l'interdépendance qui est la nôtre ». Nous sommes donc bien dans un contexte d'interdépendance.

Dans le cadre d'un État-nation, se gouverner soi-même et décider seul supposeraient d'être strictement et technologiquement indépendant dans tous les domaines : en matière numérique, cela pourrait signifier disposer de notre propre moteur de recherche, réseau social, système d'exploitation ou plateforme de e-commerce. Or l'intérêt de ces outils est précisément d'être adoptés par tous et de communiquer ensemble - c'est d'ailleurs pour cette raison que les gens les choisissent.

En quoi la souveraineté nationale peut-elle être menacée par le numérique ? Il me semble que votre commission pose très légitimement la question de la maîtrise des intérêts vitaux. Nous ne devons pas confondre ce sujet avec d'autres qui relèvent d'éventuels dysfonctionnements économiques ou de marché : par exemple, la dépendance des acteurs du streaming musical ou du e-commerce envers les plateformes mondiales ne met pas en cause la souveraineté numérique nationale. Il est important de circonscrire ainsi le sujet, car qui trop embrasse mal étreint ! Une acception trop large polluerait le débat et ne nous permettrait pas de nous concentrer sur les sujets les plus pertinents appelant des réponses de politique publique.

Par ailleurs, je voudrais dire que nous devons avoir les moyens de nos ambitions. Dans le domaine militaire, la défense des intérêts nationaux est pensée au-delà du strict cadre territorial et nécessite de disposer d'une capacité de projection et d'intervention. Ainsi, la France va se doter d'un commandement en charge de l'espace. En matière numérique, l'approche est nécessairement différente ; la dimension territoriale ne s'aborde pas de la même manière. Laisser penser que nous pourrions nous doter demain d'un Google français ou d'un système d'exploitation français ne serait pas réaliste par rapport à nos moyens et nous écarterait du sujet.

En revanche, il existe des questions critiques dans le domaine régalien qui relèvent de nos intérêts vitaux. Le premier aspect concerne la confrontation entre des technologies émergentes et le monopole régalien. Je pense par exemple à l'authentification et à l'identité numériques, à l'essor des cryptomonnaies, aux technologies de surveillance numérique ou d'observation par satellite, à la cybersécurité, au chiffrement, aux biens à double usage, etc. En soi, l'innovation est neutre, mais certaines technologies nouvelles pourraient constituer des menaces si le pouvoir régalien ne s'en emparait pas au bon moment et de manière satisfaisante.

La souveraineté numérique croise aussi les intérêts vitaux du pays lorsque des capacités industrielles peuvent faire l'objet de menaces stratégiques. Il est clair que la France et l'Europe sont loin d'être dans le peloton de tête de ce point de vue, ce qui est problématique en termes stratégiques. Les acteurs sont plutôt américains, ou asiatiques. C'est le cas pour les composants électroniques clés - la France ayant perdu beaucoup de ses actifs dans ce domaine -pour les réseaux - je vous renvoie aux débats actuels sur la 5G -, pour l'offre de cloud ou pour la cybersécurité, domaine dans lequel nous ne disposons pas de pure player de taille mondiale - nos entreprises sont innovantes et performantes, mais elles travaillent uniquement sur des secteurs de niche. De ce fait, au-delà du périmètre stratégique, les entreprises s'équiperont demain de solutions étrangères.

L'une des explications de cette situation est que nous avons délaissé la politique industrielle ; elle nous a pourtant permis de construire des champions, mais pas dans le secteur du numérique à l'exception de Dassault Systèmes ou d'Atos. Contrairement au Nasdaq, le CAC 40 abrite peu d'acteurs de moins de 25 ans. Le ministre de l'économie et des finances, Bruno Le Maire, a raison de mettre en avant le rôle de la politique européenne qui a parfois contrecarré l'émergence de champions nationaux ou européens du fait de l'application des règles de concurrence. Seule une politique industrielle pensée au niveau européen permettrait de répondre aux défis actuels.

Dernier point que je souhaite aborder à ce stade :. toutes les entreprises ont besoin d'un cadre de régulation stable qui ne porte pas atteinte à l'innovation. Il faut aussi que la France s'implique dans la préparation des traités qui concernent le numérique - je pense au Cloud Act ou au projet européen e-evidence - et dans les différents échelons de la gouvernance numérique mondiale. Il est vrai que les Français sont de plus en plus engagés sur ces sujets. Nous devons enfin nous doter d'une cyberdéfense européenne, qui doit être un axe prioritaire de développement dans lequel nous devons mettre en adéquation les capacités industrielles et nos ambitions de défense.

M. Gérard Longuet, rapporteur. - Dans une interview récente, vous avez évoqué un sujet dont vous n'avez pas parlé pour l'instant : le déficit de profils formés aux nouvelles technologies au-delà des esprits brillants sujets au brain drain. Que vouliez-vous dire ?

Par ailleurs, je suis libéral, mais j'ai été ministre de l'industrie et je regrette que les gouvernements successifs aient supprimé ce ministère en tant que tel. L'époque était certes différente, puisque certains secteurs comme les télécommunications, l'énergie ou les transports vivaient dans le cadre de monopoles. On aurait toutefois pu imaginer que ce ministère survive en tant que lieu de réflexion à la disposition du Gouvernement ; cela aurait peut-être permis de stabiliser les orientations choisies au fil des années... Est-ce que les positions des experts techniques pourraient être mieux intégrées dans le processus de décision de la sphère publique ? Nous avons déjà évoqué cette question au sein de l'Office parlementaire d'évaluation des choix scientifiques et technologiques, dont je suis président.

Enfin, les grands acteurs du cloud sont maintenant mondiaux et nos entreprises privilégient, malgré le Cloud act, leurs solutions. Pensez-vous que nous puissions, dans cette situation, créer un cloud souverain ?

Mme Martine Filleul. - Comme beaucoup des personnes que nous avons auditionnées, vous estimez que la France ne figure pas dans le peloton de tête en matière de sécurité et de souveraineté numériques. Toutefois, pour avoir visité les ateliers de l'imprimerie nationale et rencontré ses cadres, il m'a semblé que la France n'était pas en si mauvaise position sur les questions d'identité. Nous ferions même figure de référence pour un certain nombre de pays. Que pensez-vous de cette petite note d'optimisme ?

M. Franck Montaugé, président. - J'aurais voulu connaître votre position sur la portabilité et l'interopérabilité à la fois des données et des applications. De même, que pensez-vous de l'open source ?

J'aimerais également recueillir votre avis sur le statut des plateformes. Par certains aspects, elles sont extrêmement positives, notamment en termes de création de valeur et de mise en relation ; mais, elles soulèvent des problématiques très lourdes qui nous amènent à nous interroger sur la régulation des contenus. Pensez-vous qu'il soit nécessaire de leur confier le statut d'éditeur plutôt que d'hébergeur, avec toutes les conséquences que cela implique ?

Enfin, vous avez évoqué dans votre liste des points critiques les questions d'identité, de cryptomonnaie, , mais pas celle de la justice. Or je m'interroge aussi sur une forme d'ingérence des plateformes et de certains GAFA dans les questions de justice. Que pouvez-vous nous en dire ?

M. Loïc Rivière. - Le recrutement de profils formés aux nouvelles technologies est l'un des principaux problèmes auxquels sont confrontés les différents acteurs non seulement du secteur producteur de technologie, mais aussi de tous les secteurs en voie de digitalisation. De fait, la très forte pénurie de main-d'oeuvre continue de s'accroître.

Nous travaillons sur cette question dans le cadre du pacte productif que le Président de la République a lancé au mois d'avril dernier. Un groupe de travail, animé par le secrétaire d'État Cédric O, cherche des solutions concrètes à ces problèmes de recrutement dans le secteur de la cybersécurité, qu'il s'agisse de la défense nationale par exemple ou tout simplement des besoins des entreprises. Nos formations sont reconnues et les profils qualifiés sont « chassés » par des acteurs ayant investi en France et disposant d'une attractivité salariale importante. Il s'agit d'un problème à grande échelle et d'une faiblesse de notre écosystème. Nous y travaillons.

Monsieur le rapporteur, on peut effectivement regretter qu'il n'existe pas de structure de pilotage plus pérenne de notre stratégie industrielle. Toutefois, en matière d'innovation, en particulier dans le numérique, ce que l'on prévoit de mettre en place dans dix ans peut se révéler dépassé après seulement deux ans.

Aux États-Unis, par exemple, la Defense Advanced Research Projects Agency, ou DARPA, essentiellement liée à l'environnement militaire, joue un rôle de pilotage des investissements en apportant des soutiens très importants à certaines entreprises innovantes. Comme l'ont souligné beaucoup de rapports, il manque sans doute en France une telle structure de pilotage, qui permettrait d'envisager d'un point de vue stratégique les investissements que la France devrait réaliser au profit des entreprises et secteurs critiques. Si nous comptons beaucoup d'acteurs sur le marché, ils ne sont pas suffisamment puissants. Nous disposons toutefois d'un formidable outil : la BPI.

En ce qui concerne la question du cloud souverain, la dernière expérience menée a laissé un goût amer. Il est essentiel de bien différencier les données relevant du marché de celles, plus sensibles, entrant dans le champ de la souveraineté numérique. En dépit de l'échec des entreprises choisies à l'époque, la problématique reste structurante : il est dans l'intérêt de la France de disposer d'alternatives en matière de cloud.

La question est de savoir où placer le curseur entre un cloud souverain hébergeant uniquement les données sensibles de l'État et un cloud également capable de répondre aux besoins des grands utilisateurs nationaux.

Certains acteurs, comme OVH que vous avez auditionné, ont connu une croissance exceptionnelle. Selon les dires de certains de leurs utilisateurs, qu'il serait intéressant de vérifier, ils ne parviennent pas toujours à répondre à l'intégralité de la demande. Toujours est-il que ces acteurs ont besoin de grandir à l'échelle européenne pour peser face aux acteurs mondiaux. La problématique du cloud souverain est donc toujours valable mais je pense qu'il faut plutôt faire confiance au marché et soutenir les acteurs français quand ils en ont besoin.

La France dispose de très grands savoir-faire en matière de cybersécurité. Quand j'évoquais le peloton de tête dont nous serions absents, je faisais davantage allusion à notre puissance de marché qu'à notre savoir-faire technologique. Nos pépites sont régulièrement rachetées par des acteurs mondiaux ou par des acteurs nationaux de la défense et de la sécurité qui les intègrent dans leur offre. Malheureusement, ces derniers ne sont pas suffisamment gros pour couvrir l'intégralité de la gamme fonctionnelle de la cybersécurité ni concurrencer les grands offreurs génériques du marché.

La portabilité est un sujet à manier avec précaution. Elle est souvent perçue comme un moyen de « libérer » les énergies et d'ouvrir l'innovation à certaines start-up dans des secteurs où les données sont devenues le nouveau pétrole. Or les données sont souvent enrichies par des algorithmes, par des innovations. Elles peuvent donc embarquer de la propriété intellectuelle, de la valeur propre à l'entreprise. Les pouvoirs publics ne sont d'ailleurs intervenus que par touches successives sur des secteurs relevant soit d'une certaine conception de l'intérêt général, soit d'infrastructures.

Il faut se garder de généraliser et avoir le souci de mener des études d'impact intelligentes. Si l'on organisait la portabilité d'un certain nombre de données, comment pourrait-on s'assurer de ne pas favoriser des acteurs dominants du secteur accusant un retard en termes d'innovation, mais disposant d'un grand pouvoir de marché ? C'est toute la problématique de la régulation en général : il s'agit d'une arme fatale à manier avec précaution. En essayant de briser des situations dominantes ou de monopole, on peut déstabiliser un marché au profit d'autres acteurs que ceux que l'on souhaitait favoriser.

L'interopérabilité est la capacité des systèmes à communiquer entre eux. Les acteurs les plus innovants, pour se protéger de l'appétit des géants, ont tendance à développer des formats fermés. L'interopérabilité relève souvent soit d'un choix industriel de l'entreprise, soit de la régulation face à une rente de situation qui ne crée plus ni valeur ni innovation. Là encore, il faut procéder avec analyse et mesure. Il ne faut pas confondre interopérabilité et open source ou logiciel libre. Ce dernier relève d'un business model particulier, celui de la mutualisation de la recherche-développement en s'appuyant sur une communauté. Par la suite, la distribution sur le marché s'opérera avec des modes de licence open source. La valeur va en quelque sorte se déplacer de la propriété intellectuelle aux services associés.

Ce business model n'a pas fait florès en termes de réussite économique, mais il continue de se développer. On dit de Microsoft qu'elle est aujourd'hui la première entreprise d'open source dans le monde. En quelques années, nous sommes passés d'un conflit sur la conception de la propriété intellectuelle à l'intégration par le monde propriétaire pour arriver à des modèles mixtes.

Nous comptons quelques réussites nationales et mondiales dans le domaine de l'open source. Je pense notamment à Talend, entreprise aujourd'hui cotée au Nasdaq et dont l'un des fondateurs présidait Tech in France voilà encore peu de temps.

Vous avez également soulevé la question du statut des plateformes. Vous faisiez très probablement allusion à la réouverture de la directive e-commerce et à la remise en cause du statut d'hébergeur. Nous avons toujours plutôt défendu le statut d'hébergeur, afin de garantir la neutralité du net. Il nous semble en effet important de ne pas permettre aux fournisseurs d'accès et aux moteurs de recherche d'éditorialiser internet. Cette irresponsabilité organisée constitue la garantie d'un internet libre et ouvert.

Toutefois, on se rend compte que, sur un certain nombre de sujets, cette irresponsabilité n'est pas forcément tenable - je pense notamment à la proposition de loi de la députée Laetitia Avia sur la cyber-haine. On confie de plus en plus de responsabilités aux hébergeurs, et donc aux plateformes. De facto, cela remet en cause la « pureté » de ce statut. Pour autant, cela ne doit pas forcément déboucher sur un nouveau statut tant les qualités du statut actuel d'hébergeur sont précieuses pour assurer la neutralité d'internet.

Le législateur et les pouvoirs publics confient toujours davantage de responsabilités aux plateformes en matière de régulation des contenus. Dans certains domaines, ces pouvoirs peuvent apparaître exorbitants. Dans le monde ancien, ils auraient sans doute relevé du juge. Il est donc aussi compréhensible que la CNCDH (Commission nationale consultative des droits de l'homme), par exemple, s'inquiète de ce déplacement.

Nous concevons qu'une certaine forme de responsabilisation supplémentaire puisse être imposée, la justice ne pouvant répondre à certaines exigences, notamment en matière de haine.

Toutefois, nous avons critiqué l'alignement de cette proposition de loi sur le périmètre de la loi pour la confiance dans l'économie numérique, laquelle s'appuie sur certaines dispositions du code pénal, notamment la loi de 1881. On se retrouve ainsi avec des éléments relevant davantage de la définition d'une morale publique que de la haine. Or cette proposition de loi n'avait pleinement son sens que circonscrite à son objet initial, à savoir la lutte contre la haine en ligne. In fine, c'est toujours au juge que devra revenir le dernier mot.

M. Franck Montaugé, président. - Quelle est votre position en matière de transparence des algorithmes ?

M. Loïc Rivière. - Là encore, il faut faire preuve de prudence et d'analyse. À partir du moment où un algorithme est connu, il devient « dévoyable ». Or on attend justement d'un algorithme qu'il demeure pertinent. Ceux qui vendent des biens et services sur internet veulent être bien référencés par les moteurs de recherche et s'efforcent donc de connaître l'algorithme, le « secret », pour pouvoir optimiser leur visibilité. Il s'agit d'une « guerre » permanente.

La transparence de l'algorithme suppose ensuite de pouvoir l'interpréter. C'est un peu comme l'open source : il ne suffit pas de connaître un code source, encore faut-il pouvoir l'interpréter, le réécrire et, le cas échéant, le modifier. Il faut donc se méfier de la transparence à tout crin.

En revanche, il va de soi que les citoyens doivent avoir accès, comme le prévoit la loi, aux algorithmes qui mettent en oeuvre des politiques publiques. Je pense, par exemple, au calcul de l'impôt ou à l'orientation des élèves au collège ou dans les études supérieures.

De même, cette information doit être explicitée, car elle n'a de valeur que si elle est compréhensible par tous. L'usage a montré que les algorithmes que je viens d'évoquer n'étaient pas sans défaut. Il faut comprendre qu'un algorithme relève d'une rationalité humaine. Il ne faut pas tomber dans le fantasme d'un monde numérique parfait. Derrière ces algorithmes, il y a une stratégie politique et des objectifs à mettre en oeuvre. Il s'agit, par exemple, d'orienter les collégiens à Paris en assurant la mixité sociale. Un algorithme n'est, par définition, jamais neutre.

La réunion est close à 17 h 30.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de M. Benoît Tabaka, secrétaire général adjoint de Google France

M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition d'un représentant de l'entreprise Google : M. Benoît Tabaka, secrétaire général adjoint de Google France.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Monsieur Tabaka, je vous invite donc à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, M. Benoît Tabaka prête serment.

M. Franck Montaugé, président. - Je commencerai par une question d'ordre très général : l'entreprise Google veut-elle concurrencer les États en les affaiblissant progressivement comme le suggèrent certains analystes ? De nombreux commentateurs se demandent en effet quels sont l'objectif et l'agenda de Google et de sa maison-mère Alphabet ?

Deux questions plus précises relatives aux données : le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car ce sont à la fois les données personnelles de nombreux citoyens et les données stratégiques des entreprises qui peuvent ainsi être utilisées, sans que leurs propriétaires ne soient seulement informés. Or, de grands groupes vous confient leurs données en utilisant vos solutions logicielles, à l'image d'Airbus Defence and Space ou d'Atos. Pouvez-vous nous assurer que Google ne permet ni ne permettra aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment garantissez-vous la confidentialité des données-clients que vous hébergez et comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?

M. Benoît Tabaka, secrétaire général adjoint de Google France. - La souveraineté numérique est un sujet qui a émergé depuis ces cinq dernières années. Google est une entreprise créée il y a vingt-et-un ans par deux ingénieurs qui s'étaient fixé comme mission de garantir l'accès à l'information à tous. Ceci a conduit à la mise en service d'un moteur de recherche et d'un outil de messagerie pour rechercher, émettre l'information et publier des contenus, via notamment des plateformes de blog ou de vidéo, comme Youtube. Google est progressivement devenu l'un des principaux acteurs du web, qui a fait disparaître un certain nombre de barrières, en permettant notamment à de nombreuses PME d'accéder à une audience internationale et de décloisonner leurs réseaux de contacts. Du reste, toute personne, grâce au web, peut à la fois émettre et être le destinataire de l'information.

La souveraineté se définit autour de différents concepts. Le premier est économique : elle définit la capacité de développer des acteurs stratégiques sur son territoire. Dans notre société issue de la révolution numérique, la question de la place des acteurs stratégiques se pose. La France est ainsi en retard en matière de numérisation de son tissu industriel et économique : un commerçant français sera moins prompt que son homologue allemand à faire la démarche d'entrer dans un circuit de transformation numérique. La transformation numérique concerne également les acteurs industriels de plus grande ampleur, comme Airbus et Atos avec lesquels nous travaillons.

Notre objectif, chez Google, est d'accompagner tant les TPE-PME que les grands groupes industriels, grâce à des partenariats stratégiques, et non de nous substituer à eux. À titre d'exemple, nous collaborons avec Orange à la construction de son nouveau câble sous-marin entre la France et les États-Unis, ainsi qu'avec Alcatel pour celle du câble reliant l'Europe et l'Afrique. Nous travaillons également avec Air France sur les technologies d'intelligence artificielle afin d'améliorer sa flotte de fret, ainsi qu'avec Total, pour l'identification de puits de forage, et Carrefour, pour la transformation numérique de ses métiers.

En outre, Google, dont les centres d'intelligence artificielle se trouvent en France, travaille aux côtés des centres de recherche français, comme ceux de l'ENS (École normale supérieure) et de Polytechnique. Notre modèle de recherche est ouvert : avec plus 5 200 publications, nos résultats et un grand nombre de nos bases de données demeurent en libre accès.

En matière de sécurité, qui est l'une des autres composantes de la souveraineté, on a pu entendre, notamment durant vos auditions, que Google refuserait de se soumettre aux lois françaises et de coopérer avec la justice. Je vais être clair avec vous sur ce point : Google applique le droit français et coopère avec la justice française. Pour preuve, nous avons rejoint, au lendemain des attentats terroristes de 2015, le groupe de contact créé sous l'égide du Ministère de l'intérieur et destiné à favoriser l'échange d'informations et de bonnes pratiques entre les acteurs du numérique. Nous travaillons ainsi, en partenariat avec les Pouvoirs publics, tant au niveau national qu'européen, à la détection des contenus terroristes et haineux, ainsi qu'à la transmission, en cas d'urgence, de certaines données. Suite à la promulgation de la loi sur les fausses nouvelles, nous collaborons avec le Conseil supérieur de l'audiovisuel, devenu régulateur des activités numériques. En outre, l'année dernière, Google a répondu favorablement à plus de 11 000 demandes émanant des autorités françaises et nous concernant.

En ce qui concerne l'accès aux données, le Cloud Act, adopté par les États-Unis, visait à redéfinir l'ensemble des régimes spécifiques à l'accès aux données, suite à différentes décisions de jurisprudence. Il s'agit de mettre en place une relation bilatérale qui organise l'accès aux différentes données à la fois des autorités américaines et étrangères. Or, ces dispositions ne sont pas entrées en vigueur, en l'absence de conclusion des accords bilatéraux prévus, notamment entre l'Union européenne et les États-Unis. Le Cloud Act permet d'accéder à un certain nombre de données, à l'instar de ce que permet le droit français en autorisant l'accès aux informations sur nos serveurs. Ainsi, Google ne serait pas uniquement tributaire des seules demandes du gouvernement américain, mais aussi de l'ensemble des gouvernements signataires.

Par défaut, lorsque nous recevons une demande concernant l'un de nos clients, nous renvoyons cette demande à ce dernier. Google n'est qu'un hébergeur de données. Nos services permettent en outre aux entreprises clientes d'appliquer leur propre clef de chiffrement. Ainsi, quand bien même le Cloud Act entrerait en vigueur et obligerait Google à communiquer les données de ses clients, les informations chiffrées ne seraient pas transmises en clair aux autorités qui devraient alors les solliciter directement.

M. Patrick Chaize. - Vous êtes sous serment et ma première question se rapporte aux différentes condamnations dont votre entreprise a fait l'objet. En trois ans, l'entreprise que vous représentez a été condamnée à plus de huit milliards d'euros d'amende pour atteinte aux règles de la concurrence avec les applications AdSense, Android et Shopping. L'Autorité de la concurrence a prononcé des mesures d'urgence en février dernier dans le litige opposant l'entreprise que vous représentez à la société Amadeus sur le marché de la publicité en ligne. En France, l'Autorité de la concurrence n'hésite plus à envisager une régulation asymétrique spécifique pour les géants ayant atteint une taille critique. Certaines voix, notamment de parlementaires américains, réclament le démantèlement des Gafam. Quels arguments leur opposez-vous ? Pourquoi ne pas rendre public votre modèle économique et votre agenda pour répondre aux plus pressantes critiques qui vous sont adressées ?

J'en viens à ma seconde question : la galaxie Google, réunie sous la société mère Alphabet, a, comme les autres grandes entreprises du numérique, une politique d'acquisition très active. Aujourd'hui, certains spécialistes des questions de concurrence considèrent que ces acquisitions sont « prédatrices » en ce qu'elles ont pour objet de tuer la concurrence, et donc l'innovation. Elle aurait également pour conséquence de tuer l'ambition des start-ups qui, au lieu de créer une solution mondiale, souhaiteraient surtout se faire racheter. Les États doivent-ils admettre de telles pratiques et laisser leurs administrations signer des partenariats avec des entreprises régulièrement condamnées ?

Troisièmement, en France, l'Arcep souligne le rôle d'infrastructure essentielle que sont devenus les systèmes d'exploitation des terminaux - Android pour Google et iOS pour Apple. L'autorité propose de les réguler afin d'en garantir l'ouverture et d'éviter qu'une société comme Google ait un pouvoir de vie ou de mort sur une entreprise dont l'activité repose, au moins en partie, sur sa présence au sein du magasin d'application Google Play. Menez-vous un dialogue avec l'Arcep sur ces questions ?

Enfin, des tensions existent, notamment avec un grand équipementier, Huawei, qui pourrait se voir interdire l'utilisation de votre système d'exploitation. Ne craignez-vous pas que cette entreprise ne soit alors conduite à créer son propre système d'exploitation ?

M. Benoît Tabaka.- En ce qui concerne le droit de la concurrence, les décisions de la Commission européenne, qui ont concerné les applications AdSense, Android et Shopping, se sont inscrites dans un temps relativement long - sur près d'une décennie. Au terme de nombreuses discussions avec la Commission européenne, des sanctions ont été prononcées, et que nous avons acquitté les amendes afférentes. Notre appréciation du marché s'avère distincte de celle de la Commission européenne et motive les appels en cours que nous avons faits de ses décisions.

Tout d'abord, de quel marché parle-t-on ? Pour appréhender Google Shopping, la Commission européenne s'est exclusivement focalisée sur le marché des comparateurs de prix. Cependant, nous relevons de notre côté que plus de la majorité des requêtes débutent à partir d'Amazon qui est un site marchand, quitte à solliciter ultérieurement des comparateurs de prix. Nous restons donc en désaccord avec la méthode suivie par la Commission européenne qui a circonscrit son évaluation à des marchés très spécifiques, là où Google considère essentiel d'appréhender le marché plus globalement et de suivre une tout autre dynamique. Ainsi, pour reprendre le cas d'Android, sur lequel la Commission européenne a également rendu une décision, seuls les systèmes d'exploitation Android en dehors de la Chine ont été considérés. Dès lors, le marché mondial des Androids a été segmenté. Le système d'exploitation d'Apple n'a pas été pris en compte dans l'analyse concurrentielle, alors que les consommateurs migrent très facilement d'Android à Apple et vice versa ! La concurrence avec Apple a tout simplement été ignorée dans l'appréciation de la situation de Google !

Deuxième élément de désaccord que l'on retrouve dans les deux décisions relatives à Android et à Shopping : la problématique de l'impact sur le concurrent et le consommateur n'a pas été, selon nous, solidement établie. Ainsi, la distribution concomitante de notre moteur de recherche et de nos autres applications Google Play avec nos Androids n'empêche nullement les constructeurs de préinstaller par défaut d'autres moteurs de recherche, puisqu'il n'y a pas eu de clauses d'exclusivité nous concernant. Nous avions ainsi demandé à la Commission européenne d'aller au-delà de la prise en compte de nos seules pratiques commerciales. Dans sa décision Shopping, la Commission européenne a avant tout contesté la concomitance du lancement d'un moteur de recherche vertical et d'un nouvel algorithme affectant de nombreux comparateurs de prix.

Le droit de la concurrence est manifestement encore en construction, et je note que sur le dossier Android, d'autres autorités de la concurrence, au Canada, en Australie ou aux États-Unis, ont pu avoir d'autres analyses que celles de la Commission européenne. En tout état de cause, nous avons toujours été à l'écoute des régulateurs et nous ajustons bien sûr nos pratiques et nos contrats en fonction de leurs décisions.

Je ne m'étendrai pas sur le cas Amadeus qui fait actuellement l'objet d'une instruction par l'Autorité de la concurrence. La question posée porte sur la façon dont Google doit notifier la mise en oeuvre d'un certain nombre de ses règles, notamment dans le cadre de la publicité, à ses utilisateurs ? Cette question fait actuellement l'objet d'échanges avec l'Autorité.

M. Patrick Chaize. - Mes questions étaient plus précises : quel argument opposez-vous à ceux qui réclament votre démantèlement et pourquoi ne rendez-vous pas public votre modèle économique ?

M. Benoît Tabaka.- Notre modèle économique est public et repose pour partie, en ce qui concerne notre moteur de recherche, sur la publicité. D'autres modèles économiques coexistent, comme l'abonnement souscrit auprès de Youtube ou la licence sur nos activités de Cloud. L'ensemble de nos éléments financiers sont également publiés trimestriellement et annuellement, conformément à notre statut de société cotée.

La question des types de données que nous utilisons est distincte. Si Internet reste alimenté, pour une large part, par la publicité, le type de modèle publicitaire varie néanmoins selon les acteurs. Ainsi, chez Google, la publicité qui apparaît sur le moteur de recherche est personnalisée en fonction de la requête adressée par l'utilisateur ; elle ne tient pas compte - en tout cas ce ne sont pas les éléments les plus intéressants pour nous - de l'historique des recherches ou des achats de l'internaute. Les données de localisation sont aussi utilisées, qui vont permettre de personnaliser, par exemple, la langue de la publicité.

Au-delà de son activité de moteur de recherche, Google est également une régie publicitaire - ce sont les annonces affichées sur d'autres sites - où les modèles publicitaires résultent, quant à eux, de l'agrégation des données personnelles de l'internaute, voire de son historique de navigation et de cookies, afin d'offrir la publicité la plus personnalisée possible.

M. Patrick Chaize. - Ces modèles publicitaires sont-ils hermétiques l'un par rapport à l'autre ?

M. Benoît Tabaka. - Ce sont deux systèmes totalement différents qui relèvent de deux modes de gestion distincts. Tout système publicitaire est complexe : si la donnée y joue un rôle, son utilisation peut largement différer selon qu'on se trouve sur le moteur de recherche ou que l'on consulte des sites.

Concernant notre moteur de recherche, les internautes nous indiquent de façon active leurs intérêts, et nous sommes avec les annonceurs en situation transactionnelle : Google ne gagne de l'argent qu'à partir du moment où la personne a cliqué sur le lien qui lui était proposé dans une publicité. Il s'agit ici d'un modèle publicitaire que l'on pourrait qualifier d' « économie de l'intention »

Concernant les annonces sur les sites qui visent à monétiser une audience, il s'agit de capter l'attention de la personne qui se trouve sur le réseau et de la valoriser. Toute une chaîne d'acteurs concourt à ce modèle publicitaire, dont certains vont notamment mixer des bases de données de différents sites internet pour permettre de réaliser un profil publicitaire de l'internaute. Google est ainsi présent comme une régie publicitaire classique : pour 100 euros de revenus publicitaires investis sur un site, une commission de régie représente 30 euros, et 70 euros sont reversés au site internet.

Ce domaine est technique et Google essaie naturellement de faire preuve de pédagogie : par exemple en insérant des icônes spécifiques pour fournir plus d'informations aux internautes qui souhaitent comprendre pourquoi de telles publicités leur sont proposées. Nous avons ainsi demandé à plusieurs associations de travailler avec nous au décryptage complet de la chaîne publicitaire, pour répondre aux attentes des personnes.

M. Patrick Chaize. - Avez-vous confiance quant à l'issue des procédures en cours et des appels que vous avez engagés suite à vos condamnations ?

M. Benoît Tabaka.- Dans tous les cas, une discussion, au niveau européen, sur les critères à la fois de définition du marché numérique et de l'analyse des pratiques, est nécessaire.

Concernant notre politique d'acquisition, Google a acheté des entreprises comme Youtube et Android. C'est là un élément de notre stratégie : Google a continué à investir dans ce marché numérique ultra-compétitif en termes d'innovation. À tout moment, un acteur peut survenir et proposer une innovation disruptive par rapport aux produits de ses concurrents plus anciens. Lorsque Google est arrivé, le marché américain comptait déjà treize moteurs de recherche. C'est notre politique d'innovation qui nous a permis de proposer aux utilisateurs une technologie disruptive et de devenir le leader des moteurs de recherche d'abord aux États-Unis. C'est une démarche de longue haleine : en face de nous se trouvent des entrepreneurs dont certains peuvent suivre une stratégie d'entreprenariat et refuser de vendre leur entreprise à des grands groupes, comme Snapchat vis-à-vis de Facebook. Néanmoins, derrière des entrepreneurs peuvent aussi se trouver des fonds qui ont besoin, à moyen terme, de tirer les bénéfices de leurs investissements. Ceux-là auront une démarche visant à vendre rapidement leur entreprise afin de permettre aux investissements de ces fonds de poursuivre leur cycle de vie. Nous nous concentrons avant tout sur les acteurs qui participent de notre coeur de mission, à savoir la transmission de l'information.

M. Patrick Chaize. - Votre stratégie vise à acquérir une position dominante. Ne pensez-vous pas qu'on devrait arrêter une telle hémorragie ?

M. Benoît Tabaka. - L'appréciation de la position dominante repose souvent sur la prise en compte statique, à l'instant T, du marché en faisant abstraction de l'ensemble de sa dynamique et de ses acteurs. En outre, lorsque vous débutez une recherche sur internet, soit vous utilisez un moteur de recherche, soit vous vous rendez sur un site dédié, puisque votre recherche tend à être de plus en plus spécialisée.

En termes d'activités, acquérir des entreprises n'implique pas forcément de devenir dominant sur un marché. De nombreux acteurs autres que Youtube font aujourd'hui de la vidéo en ligne. Certains de nos produits, comme le réseau social Google Plus, n'ont pas été compétitifs, faute d'avoir été perçus comme innovants par les utilisateurs. Il ne s'agit nullement d'une hémorragie : aujourd'hui, peu de sociétés françaises ont été rachetées par des grandes entreprises américaines ! Nous n'avons, au final, racheté que trois start-ups en France, tandis que d'autres acteurs emblématiques français, comme Criteo, sont aujourd'hui cotés au Nasdaq.

M. Patrick Chaize. - Quelles sont vos relations avec l'Arcep ?

M. Benoît Tabaka.- A la suite de la publication de son rapport sur les terminaux ouverts, nous avons eu de nombreux échanges avec l'Arcep sur la régulation des systèmes d'exploitation.

Il n'existe pas, en tant que tel, un seul type d'Android puisque celui-ci est, par nature, un logiciel open source. Dès lors, l'ensemble des téléphones Android ne sont pas équipés de la version mère du logiciel. La version que Google met en ligne se retrouve dans nos téléphones ainsi que chez certains constructeurs qui se consacrent avant tout à l'innovation de la partie produit elle-même - hardware - plutôt que de la partie logiciel. L'ensemble des acteurs de l'Android modifient la version initiale de ce logiciel. Il existe aujourd'hui une multiplicité d'Androids présentant, entre eux, une réelle compatibilité au-delà de leurs différences initiales. Plusieurs constructeurs ont d'ailleurs élaboré leur propre système d'exploitation, à l'instar de Xiaomi avec MIUI ou Samsung avec Tizen destiné au marché indien.

M. Patrick Chaize. - Quelle est donc l'origine du problème avec Huawei ?

M. Benoît Tabaka. - Il s'agit avant tout d'un problème géopolitique entre les Gouvernements chinois et américain.

M. Patrick Chaize. - Androd n'est-il pas en définitive un système Open Source contrôlé ?

M. Benoît Tabaka.- Ce n'est pas vraiment le cas. Google met le logiciel en libre accès et chacun des constructeurs va en recevoir les mises à jour, notamment de sécurité, tous les mois. À partir du moment où un gouvernement interdit d'adresser des logiciels à certains acteurs, certes ils ne les recevront plus, mais ceux-ci pourront toujours développer leurs propres patchs de sécurité. L'environnement Android n'est pas contrôlé ; Google dispose de lignes automatiques dans lesquelles sont publiées des pages de sécurité.

M. Pierre Ouzoulias. - Mes questions seront celles d'un historien. Vous êtes aujourd'hui une entité supranationale non étatique, avec une puissance économique et d'influence supérieure à celle de bon nombre d'États, voire prochainement au nôtre. Vous avez pris ce pouvoir d'une façon inédite, c'est-à-dire sans chercher à maîtriser la sphère politique. Votre modèle de domination est donc original. Aujourd'hui, vous investissez énormément dans la formation, via notamment les Google ateliers numériques, où vous offrez, gratuitement, une formation naturellement très conforme à votre vision du monde et à votre modèle économique. Au sommet de votre puissance, considérez-vous toujours utiles les États-nations ? N'avez-vous pas l'impression de participer à leur obsolescence, quitte à produire des conséquences contraires à la diffusion, à terme, de votre modèle ? Si l'on remplace la relation du citoyen à l'État par celle du citoyen à Google, ne permet-on pas l'émergence des formes de prise de domination politique qui peuvent contraindre votre modèle économique ? En d'autres termes, Google a-t-il encore besoin de l'État ?

M. Franck Montaugé, président. - Je compléterai la question tout à fait pertinente de mon collègue en vous interrogeant à mon tour sur un fait que je vous remercie d'éclairer et qui renvoie à la nature de vos relations avec vos utilisateurs. En 2013, Vinton Cerf, qui était « chef évangéliste » de Google, a déclaré que la vie privée pourrait devenir une « anomalie ». Cette phrase me paraît inquiétante ! Au-delà de cette question générale qui touchait au politique et au rapport avec l'État, quelle est la philosophie qui préside aux actions que vous menez et aux formations que vous proposez ?

M. Benoît Tanaka. - Google a besoin des États, en tant qu'entreprise multinationale qui a vocation à appliquer les législations en vigueur dans chacun des pays où elle opère.

Dans les ateliers numériques, nous ne formons pas les gens à une vision du numérique propre à Google. Le principe de ces lieux est donner la capacité de s'informer à un large public, allant des entreprises aux personnes de tout âge et de tout niveau, sur des questions numériques. Il ne s'agit pas de vendre les produits de Google, mais de coopérer avec les acteurs locaux qui vont participer aux formations. Vous trouverez notamment dans ces ateliers des associations locales, des centres sociaux, des chambres de commerce et d'industrie qui vont utiliser ces ateliers comme des plateformes. À plusieurs reprises, les acteurs du logiciel libre ont été invités et ils ont naturellement pu proposer des alternatives aux produits de Google. Manifestement, l'objectif de ces lieux est d'ouvrir les débats et de sensibiliser les publics. À titre d'exemples, nous aidons les entreprises à mieux utiliser internet ; nous sensibilisons les restaurateurs à répondre aux différents avis qu'ils peuvent susciter sur la toile et dont dépend leur notoriété ; nous assistons les demandeurs d'emplois dans leur démarche de recherche, en partenariat avec des acteurs locaux. Ces ateliers participent ainsi à un mélange d'inclusion numérique au profit du grand public et d'accompagnement du tissu économique.

Google considère l'État comme nécessaire. Loin des zones grises, d'un pseudo « Farweb » ou de l'opposition alléguée entre les règles qui régissent le monde virtuel et le monde réel, Google a décliné sur ses plateformes, de manière très opérationnelle, le contenu de la législation. Nous veillons notamment à ce que les contenus pornographiques ne soient pas accessibles sur YouTube ou que des contenus qui véhiculent de la haine ou qui participent à la désinformation ne soient pas relayés sur nos plateformes. Nous travaillons avec les États et les régulateurs pour entrer dans ce mode d'échange. Toute modification structurelle de produits requiert nécessairement une discussion préalable. Nous aspirons donc à être l'un des acteurs de la régulation étatique, puisque nous sommes voués à y être soumis, sous peine d'être sanctionnés.

Pour autant, les règles actuelles ne sont parfois pas toutes suffisamment claires. Pour preuve, les discussions autour de la protection des données et de la collecte du consentement : si nous avons récemment été sanctionné par la CNIL, je note que la complexité du sujet a récemment motivé l'ouverture par la même CNIL d'une période de douze mois destinée à familiariser les entreprises avec l'interprétation des règles en la matière. Cela démontre bien la difficulté de leur application. Sur un texte aussi fondateur que le RGPD, il faudra attendre plusieurs décisions pour en connaître la juste application.

La phrase de Vinton Cerf, qui est l'un des pères fondateurs de l'internet et assume toujours les fonctions de « chef évangéliste » de Google, est sortie de son contexte et des éléments qui en motivaient la prononciation. Il parlait de sa vie personnelle dans un petit village en Allemagne où la vie privée n'existait pas en raison du contrôle social qui s'y faisait jour. À l'inverse, nous travaillons chez Google pour assurer la vie privée et la protection de l'intégrité physique des données de nos utilisateurs.

M. Franck Montaugé, président. - Auriez-vous des préconisations pour éclairer l'internaute sur l'utilisation de ses données et les conséquences de ses comportements sur internet et ce au-delà du RGPD ?

M. Benoît Tabaka.- En matière de vie privée et de la protection de leurs données personnelles, les gens ne connaissent ni leurs droits ni les moyens dont ils disposent pour les exercer. C'est là un phénomène nouveau, puisqu'il était rare, auparavant, d'évoquer les outils laissés à la disposition des personnes pour gérer l'utilisation de leurs données personnelles. Ainsi, le RGPD contient le droit à la portabilité des données, qui s'étend à toutes les entreprises. Pour traduire concrètement l'existence de ce droit, nous avons renforcé le contrôle donné aux utilisateurs de Google, en leur laissant la possibilité d'avoir accès à l'ensemble des informations disponibles sur leur compte, via un tableau de bord leur permettant d'accéder à leur historique de consultations, tant sur Google que Youtube, et de contrôler la personnalisation de la publicité sur des sites tiers. Au-delà de la transparence, l'outil de contrôle est une réalité. Ainsi, 21 millions d'utilisateurs uniques ont eu recours aux applications disponibles sur la page « Mon compte » en une année, et y ont téléchargé l'équivalent d'un exabyte de données. Google, qui demande à ses utilisateurs, quasiment tous les six mois, de vérifier l'ensemble des informations les concernant, a ainsi mis en ligne les instruments permettant cette vérification.

M. Franck Montaugé, président. - Ne pourrait-on pas préciser aux internautes les données concrètement utilisées dans des algorithmes, pour les profiler et leur envoyer des publicités personnalisées ? C'est le coeur de cette économie de l'attention que vous évoquiez précédemment. Je ne pense pas que ce que vous nous présentez répond à cette demande.

M. Benoît Tabaka.- Ce que je viens d'évoquer s'inscrit en partie dans cette démarche, en ce qui concerne le profil publicitaire. Sur le site YouTube, où vous pouvez bénéficier de recommandations de vidéos, des messages vous indiquent ce qui les a motivées. Nous travaillons actuellement avec le CSA sur la transparence, notamment dans le cadre de la loi sur la désinformation. On demande à Google de fournir sans cesse de nouveaux éléments, n'oublions pas qu'il n'est pourtant que l'un des acteurs de la chaîne.. Au-delà de l'accès aux données, il faut également imaginer les outils qui permettront aux personnes de reprendre le contrôle, de changer de moteurs d'accès - ainsi qu'aux entreprises de changer de Clouds - en assurant le transfert automatique de données d'une plateforme à une autre grâce un standard commun qui est actuellement à l'étude.

M. Patrick Chaize. - Dialoguez-vous actuellement avec l'Arcep ? Par ailleurs, vous considérez-vous propriétaires des données de vos utilisateurs ? Enfin, pourriez-vous accorder l'accès aux algorithmes que vous utilisez aux Autorités de régulation ?

M. Benoît Tabaka. - Nous échangeons très régulièrement avec les services de l'Arcep, en répondant très régulièrement à leurs demandes. Nous venons d'ailleurs de collaborer avec elle à la rédaction du rapport sur l'état de l'internet. Nous répondons systématiquement aux demandes émises par les régulateurs.

Nous ne sommes pas propriétaires des données de nos utilisateurs ; d'où le droit à la portabilité et nos outils qui visent à redonner le contrôle aux utilisateurs sur leurs propres données.

Enfin, les autorités sont en mesure d'accéder aux algorithmes, à l'instar de la Commission européenne lors de son enquête. Nos échanges avec le secrétariat en charge du numérique, notamment à la suite du rapport sur une nouvelle régulation des acteurs du numérique, en s'inspirant de la régulation systémique dans le domaine bancaire, en font foi.

Nos équipes font constamment en sorte que nos algorithmes ne soient pas utilisés à mauvais escient par des personnes extérieures. C'est là une contrainte. Aussi, ne suis-je pas en mesure de préciser l'aboutissement des discussions, qui viennent de débuter, avec les différents régulateurs sur ce point.

La réunion est close à 19 h 10.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Jeudi 18 juillet 2019

- Présidence de M. Franck Montaugé, président -

La réunion est ouverte à 9 h 50.

- Présidence de M. Franck Montaugé, président -

Audition de MM. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe et Mathieu Coulaud, directeur juridique de Microsoft France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition des représentants de Microsoft. Nous recevons Monsieur Marc Mossé, directeur juridique et des affaires publiques de Microsoft Europe, et Monsieur Mathieu Coulaud, directeur juridique de Microsoft France.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Marc Mossé et Mathieu Coulaud prêtent serment.

M. Franck Montaugé, président. - Nous connaissons tous les activités de Microsoft, du moteur de recherche au cloud en passant par les logiciels de bureautique, la messagerie électronique... C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser.

Je commencerai par deux questions relatives aux données. Le Cloud Act permet aux autorités américaines d'accéder aux données que vous stockez, quel que soit le lieu de stockage ce qui inquiète légitimement les pouvoirs publics français puisque tant les données personnelles que les données stratégiques des entreprises peuvent ainsi être pillées. Or, de grands groupes vous confient leurs données, en utilisant vos solutions de cloud, à l'image de la SNCF, ou nouent des partenariats commerciaux avec vous comme Thalès ou Qwant.

Pouvez-vous nous assurer que Microsoft ou ses filiales ne permettent pas - et ne permettront pas - aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, avec le RGPD ?

Microsoft a récemment changé de discours sur la protection de la vie privée en faisant de ce sujet un de ses axes stratégiques. Une autorité locale allemande vient pourtant de constater une infraction au RGPD la semaine dernière puisque l'utilisation du logiciel bureautique Microsoft Office 365 dans les écoles du Land de Hesse a été déclarée illégale au regard de la loi sur la protection des données. Les données personnelles des enfants seraient stockées dans le cloud de Microsoft de façon peu transparente et peu accessible aux autorités américaines. Devons-nous croire les paroles ou les actes ? Cette question est très importante, car Microsoft est également prestataire pour le ministère de l'Éducation nationale en France.

M. Gérard Longuet, rapporteur. - Ce sujet est majeur. Je me réjouis que soient présents ce jour un responsable national et un responsable Europe, ce qui permet d'avoir une vision globale de la question.

M. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe. - Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.

Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.

Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.

Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.

Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.

Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.

Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement  « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.

En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....

M. Mathieu Coulaud, directeur juridique de Microsoft France. - ... Et ayons bien en tête la hiérarchie des normes américaines. Le Quatrième Amendement de la Constitution des États-Unis a été écrit à la suite du traumatisme des colons américains - les Britanniques ayant le droit d'entrer dans les maisons sans préavis et sans aucun contrôle d'une autorité judiciaire. Le Code de procédure criminelle est donc placé sous l'égide du Quatrième Amendement, et il contient lui-même le Stored Communications Act, qui fixe le régime juridique d'une donnée stockée. C'est ce dernier texte que le Cloud Act est venu amender. Tout ceci correspond à peu près à notre code de procédure pénale ou à notre code pénal. Le Cloud Act intervient donc dans un cadre juridique très déterminé.

M. Marc Mossé. - Nous sommes effectivement dans le cadre d'une procédure sous le contrôle d'une autorité judiciaire indépendante.

Concrètement, si un mandat est demandé, il appartient au juge indépendant de décider ou non de le mettre en oeuvre. Le Procureur demandant le « warrant » on mandat devra démontrer qu'il existe de sérieuses présomptions d'une infraction, justifiant que les données visées se trouvent sur le compte ou l'espace de stockage de la personne concernée. C'est sur ces bases que le juge se déterminera pour délivrer un mandat, et sur la base de ce mandat que nous répondrons, ou non, à la demande.

Le département de la Justice américaine a publié, en avril 2019, un Livre blanc comportant une série de recommandations et principes directeurs permettant d'éclairer la manière de mettre en oeuvre ce texte. Une des recommandations vise à demander aux Procureurs fédéraux de s'adresser d'abord directement à l'entreprise dont ils souhaitent obtenir les données, l'intermédiaire technique n'étant sollicité que subsidiairement, si l'enquête l'exige.

M. Franck Montaugé, président. - Qu'en est-il de la communication des avis juridiques internes de nos entreprises ?

M. Marc Mossé. - C'est un excellent exemple, mais le Cloud Act n'est pas spécifiquement en cause sur ce point : c'est, de façon générale, le droit français qui est trop faible, indépendamment de l'évolution de nos pratiques numériques. En effet, les avis des juristes internes des entreprises en France ne bénéficient malheureusement pas du principe de confidentialité, alors que les juristes de la plupart des grands États en bénéficient - soit 18 ou 20 États de l'Union européenne il me semble. Indépendamment du Cloud Act, les documents que vous évoquez sont donc effectivement moins bien protégés en France.

Dans le projet de règlement européen « e-evidence » sur les preuves électroniques que j'évoquais, un article spécifique prévoit que les données protégées par une immunité ou un privilège fassent l'objet de garanties supplémentaires. Dans le droit européen, entre États membres de l'Union européenne, les entreprises françaises seront donc effectivement moins bien protégées que leurs concurrentes d'autres pays de l'Union européenne.

M. Gérard Longuet, rapporteur. - Cette question précise pourrait donc très bien être réglée par le Parlement français...

M. Marc Mossé. - Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.

J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.

Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.

Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...

Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.

La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.

M. Franck Montaugé, président. - Merci de ces éclaircissements, mais êtes-vous en mesure de fournir des éléments de preuve de cette manière de procéder ?

M. Marc Mossé. - Nos contrats contiennent de tels éléments, et en pratique nous nous y sommes déjà opposés, en portant l'affaire jusqu'à la Cour suprême !

M. Mathieu Coulaud. - Nos contrats comprennent effectivement une clause stipulant que « Microsoft ne fournit pas : a) un accès direct, indirect, général ou libre aux données clients ; b) les clés de chiffrement utilisées pour sécuriser les données clients ou la possibilité de forcer ce chiffrement ».

Nous reportons donc la responsabilité du dialogue entre l'autorité d'enquête et notre client sur leur relation bipartite. Nous ne souhaitons pas être au milieu de ce dialogue.

Le chiffrement constitue aussi une possibilité : chaque entreprise doit se protéger des cyberattaques, ce qui peut passer par le chiffrement, avec des clés créées pour accéder les données. À un certain niveau de chiffrement, le client est seul maître du déchiffrement et même Microsoft ne peut alors accéder aux données du client.

Il faut bien distinguer les données du client de l'infrastructure. Le Cloud computing offert par Microsoft correspond au stockage informatique, via une infrastructure - ou ferme de serveurs -de données qui appartiennent au client. C'est le client qui définit le degré de chiffrement de ses données...

M. Gérard Longuet, rapporteur. - ...C'est lui qui le conçoit ?

M. Mathieu Coulaud. - Tout à fait, en fonction du service qu'il achète, il a la possibilité de prévoir le chiffrement de ses données, dont il détient lui-même les clés, via son responsable de la sécurité informatique. Dans ce cas, nous ne sommes pas en mesure de fournir une donnée déchiffrée - et nous nous engageons contractuellement à ne pas la fournir aux autorités.

M. Franck Montaugé, président. - Concernant ma question portant sur ce qui s'est passé en Allemagne ? Les faits sont-ils avérés ?

M. Marc Mossé. - C'est l'autorité en charge de la protection des données du Land de Hesse qui est à l'origine de ces questions, dont je ne connais pas les détails. Nous avons pour principe d'entrer en dialogue avec le régulateur qui nous interroge. Nous avons mis en oeuvre le RGPD, pas simplement en Europe, mais aussi dans le monde entier puisque l'Europe a ainsi fixé un standard international. Nous allons clarifier ces questions et résoudre la difficulté si elle existe.

Au-delà des textes mis en oeuvre, la protection des données personnelles est un sujet compliqué et assez nouveau : même si des normes existaient avant le RGPD, pendant longtemps, personne n'y portait une attention si conséquente. Nous nous sommes engagés très tôt sur la protection de la vie privée, nous étions ainsi les premiers à mettre en oeuvre les clauses contractuelles types de la Commission européenne dans les contrats de cloud qui nous semblaient tout à fait importants. Il est heureux que cette question de protection de la vie privée fasse désormais partie des questionnements quotidiens et de la culture économique.

Différents modèles économiques existent dans le numérique : le nôtre n'est pas fondé sur la publicité. Nous sommes plutôt dans des logiques de « B2B » et de « B2B2C », c'est-à-dire de partenariats et d'écosystèmes. Ces questions se trouvent au coeur de notre modèle et supposent que, par des preuves concrètes, nous puissions inspirer confiance à nos clients.

M. Gérard Longuet, rapporteur. - Vous considérez que votre modèle économique repose sur la vente de prestations et non du patrimoine ou des données de vos clients.

M. Marc Mossé. - Les données de nos clients restent leurs données. Nous n'avons pas vocation à nous les approprier et à en faire le commerce.

Certes nous évoluons dans une économie de données. De nombreuses entreprises traditionnelles vont devenir des entreprises digitales - dans le monde de l'automobile, de la santé ou même de l'agriculture. Un usage des données existe pour apporter des bénéfices - notre outil Skype dispose ainsi d'une fonctionnalité Skype translator de traduction simultanée, à travers l'apprentissage par la machine de données des langues utilisées. Il ne s'agit pas d'écouter les conversations, mais d'utiliser la donnée pour que la machine apprenne et sache traduire. C'est de l'exploitation de la donnée, non pas à des fins de commercialisation de vos données, mais pour améliorer nos produits, créer des fonctionnalités et les sécuriser.

Nous sommes effectivement dans un monde d'usage de la donnée, puisque l'intelligence artificielle suppose de la donnée. C'est une question de souveraineté numérique : pour que l'Europe et la France puissent avancer et accroître leur compétitivité dans cette révolution industrielle portée par le numérique, il faut que les entreprises accèdent à la donnée et utilisent la donnée. Les voitures connectées se développent sur la base de la donnée. Il existe toutefois une différence entre la collecte et l'utilisation de la donnée à des fins pertinentes pour l'utilisateur ou l'industriel qui développe des solutions et l'usage abusif des données.

M. Gérard Longuet, rapporteur. - Est-ce que le critère de distinction n'est pas de savoir qui paie ? Le service que vous évoquez de traduction simultanée est bien payé par l'utilisateur, et quand il l'utilise.

M. Mathieu Coulaud. - Absolument. Notre modèle repose sur un accès pour l'utilisateur à l'infrastructure cloud, avec de l'hébergement pur, puis, selon le contrat souscrit, à des briques logicielles. Le client utilise alors ce qu'il souhaite dans le cloud : c'est ce qu'on appelle le « Software as a Service » - les logiciels Word et Excel de la suite Microsoft Office peuvent ainsi être offert au client dans ce cloud, et utilisés depuis l'ordinateur de notre client. Toutes nos briques logicielles, y compris de « machine learning », fonctionnent de la même manière.

Une distinction doit être faite également entre notre rôle de fourniture d'infrastructures et celui de l'intégrateur. Nous intervenons en amont, en vendant l'infrastructure et éventuellement les briques de logiciel, protégées par le droit d'auteur, tandis que l'intégrateur fait communiquer nos outils avec les outils du client final. Nous nous vivons plutôt comme un fournisseur de propriété intellectuelle.

M. Gérard Longuet, rapporteur. - Quel est le statut de l'intégrateur ?

M. Mathieu Coulaud. - Il a un statut commercial et c'est souvent un partenaire de Microsoft. Il contracte avec le client final pour brancher notre système sur celui du client. Nous avons un écosystème de 10 500 partenaires qui sont les premiers à vendre nos produits et services. Il peut même s'agir d'une filiale, comme Microsoft Services.

M. Franck Montaugé, président. - En 2015, votre entreprise annonçait avoir débloqué une somme conséquente de 70 millions d'euros au service de la French Tech. Quel a été exactement le montant investi ? Dans quelles startups avez-vous investi ? Avez-vous pris des participations, majoritaires ou pas, dans ces entreprises ?

M. Marc Mossé. - Nous avons effectivement annoncé en 2015 cette aide à l'écosystème français. Je ne connais pas le chiffre précis. Nous avons un modèle de support aux startups qui ne passe pas par des prises de participation. Nous les aidons à se développer, à grandir et à accéder à des réseaux de clients nationaux ou internationaux ou à nos partenaires. Avant même cette annonce de 2015, nous avions déjà des programmes autour des startups qui ont permis à certaines de devenir des géants mondiaux, comme Criteo ou Talentsoft.

M. Gérard Longuet, rapporteur. - Comment vivez-vous votre relation avec Criteo ?

M. Marc Mossé. - Le programme IDEES avait été créé pour aider les startups à démarrer et Criteo comme Talentsoft ont intégré ce programme. Ces startups n'y restaient que trois ans au maximum et vivaient ensuite leur vie. C'était une forme d'accélérateur.

Ces mécanismes ne reposent pas sur des prises de participation.

Pour répondre à votre question sur les investissements, nous avons conclu un partenariat avec Station F et avons focalisé nos efforts d'aide aux startups sur la question de l'intelligence artificielle. Les startups que nous aidons dans le cadre de Station F travaillent toutes dans le domaine de l'intelligence artificielle, principal vecteur de développement de l'économie numérique.

À l'origine de ces programmes se trouve notre refus du discours selon lequel la France aurait perdu la bataille du logiciel et ne pourrait se développer dans ce domaine, coincée entre la Chine et les États-Unis. Nous considérons au contraire que la France est une terre du logiciel : les succès de la Silicon Valley reposent souvent sur un ingénieur français et Microsoft compte de nombreux ingénieurs français. Il existe en effet une école informatique française et une école mathématique française très puissantes. L'INRIA a une réputation mondiale de ce point de vue et nous avons un partenariat avec elle depuis 2006. Nous nous étions battus contre cette idée que nous aurions perdu cette bataille et nous voulions démontrer qu'il existait un écosystème et les talents en France. Je pense que ces programmes ont pu permettre l'éclosion de certains succès.

La France et l'Europe n'ont pas perdu la bataille de l'intelligence artificielle. L'Europe porte des valeurs qui peuvent clairement cadrer un certain nombre d'évolutions sur le respect des droits et libertés, comme avec le RGPD. Une bonne partie de la révolution industrielle repose non pas simplement sur l'économie numérique mais sur le développement de nos grandes entreprises et PME qui peuvent, grâce au numérique, devenir des acteurs de cette économie.

Nous avons développé des actions pour l'intelligence artificielle en France, avec une vingtaine d'écoles à horizon 2021, et avec des partenaires comme Orange ou Capgemini. Dans le cadre du service civique, nous prévoyons de sensibiliser un million de jeunes au numérique. De nombreuses actions peuvent être menées pour ne pas perdre cette bataille du numérique.

M. Gérard Longuet, rapporteur. - Quel niveau de formation visez-vous dans ces écoles ?

M. Marc Mossé. - Les écoles sont sans prérequis. La première est celle d'Issy-les-Moulineaux, avec 24 étudiants. La scolarité comprend 7 mois de scolarité et 12 mois en alternance. Tous les jeunes ont trouvé un emploi, sauf un... qui a créé sa startup. Nous souhaitons implanter des écoles sur les territoires et avons déjà des écoles à Nantes, Castelnau-le-Lez, Biarritz, Lyon... L'objectif est de former des jeunes avec des partenaires, modèle qui peut être dupliqué dans d'autres pays d'Europe.

La nouvelle Présidente de la Commission européenne parlait d'un triplement du programme Erasmus + et des pistes méritent effectivement d'être explorées, notamment pour l'apprentissage, mais aussi pour les salariés déjà en poste dont les métiers vont se transformer. La souveraineté passe aussi par l'importance accordée à la question de la formation qui doit être prioritaire. La transformation digitale constitue une chance pour nos entreprises.

M. Franck Montaugé, président. - Vous détenez un moteur de recherche qui fonctionne, lui, très classiquement dans ce secteur, sur le modèle de l'économie de l'attention, avec des publicités ciblées et l'exploitation des données personnelles. Pensez-vous qu'avec une confiance accrue à l'égard des internautes, il serait possible de se passer de la publicité ciblée pour concevoir une logique de moteur de recherche différente ?

M. Marc Mossé. - Nous avons conclu un partenariat avec Qwant, moteur de recherche français dont l'approche est celle que vous évoquez. Nous lui fournissons des capacités technologiques - puisque nous lui permettons d'être sur notre Plateforme Azure pour renforcer la capacité de calcul.

Plusieurs modèles existent, qui répondent aux attentes diverses des citoyens. L'intérêt du positionnement de Qwant est de montrer qu'il existe des alternatives. Imaginer d'autres façons de pratiquer la recherche sur Internet constitue une piste intéressante. C'est un écosystème en évolution permanente, la compétition est très forte et il convient de répondre aux aspirations des citoyens.

M. Gérard Longuet, rapporteur. - L'univers numérique a-t-il réfléchi à la possibilité que les utilisateurs paient pour un moteur de recherche ? La gratuité est attractive pour le consommateur, mais comprend effectivement des contreparties. Les citoyens, eux, ont peut-être envie de payer pour accéder à un service avec une économie différente et un classement peut-être plus neutre, ou en tous cas moins tributaire des logiques à l'oeuvre chez les autres moteurs de recherches. Un tel modèle vaut pour certaines encyclopédies en ligne. Ce modèle a-t-il du sens ?

M. Marc Mossé. - Votre question ouvre de nombreux champs. Le numérique reflète nos sociétés. Il existe des modèles « freemium » avec un accès d'abord gratuit puis un paiement pour un service d'une autre nature, ou offrant des fonctionnalités complémentaires ou un contenu plus riche. Ce modèle s'impose d'ailleurs progressivement dans la presse avec une approche différenciée.

Au cours des dernières années, la montée en puissance de la dimension citoyenne me paraît aussi très forte : pendant longtemps, les avantages immédiats de la gratuité ont été observés. Pour différentes raisons, liées notamment à la protection des données personnelles ou au pluralisme, les aspirations citoyennes ont ensuite pris de l'importance.

La cybersécurité n'est plus un sujet de spécialistes, d'entreprises ou d'États. Avec la place de la presse ou la lutte contre les fake news, ces questions ont pris une autre dimension. Dans le cadre du Forum de Paris de la paix - qui réfléchit à de nouveaux modes de gouvernance - ceci a abouti à la signature par 66 États, 347 entreprises et 130 ONG et think tank d'un accord pour travailler ensemble sur ces sujets, avec une approche multipartite. La souveraineté des États demeure, mais la manière de mettre en oeuvre les attributs de la souveraineté évolue, ainsi que la manière de garantir les droits dans un monde numérique. Le multilatéralisme - en crise à certains égards, peut être complété et renforcé par cette approche.

D'une certaine manière, la souveraineté numérique, c'est la « souveraineté augmentée » grâce au numérique, puisque son coeur - la garantie des droits - peut être renforcé par le numérique et la participation des citoyens.

M. Gérard Longuet, rapporteur. - La citoyenneté repose quand même sur l'impôt qui donne le droit de participer à la collectivité et de la faire fonctionner...

Pourquoi Microsoft n'a-t-il pas, il me semble, réussi dans le système d'exploitation des smartphones alors que ce type de terminal est de plus en plus décisif aujourd'hui ?

Notre commission a découvert que vous étiez un très gros investisseur dans les câbles sous-marins : quel est votre objectif en la matière ?

M. Marc Mossé. - Sur la question relative au système d'exploitation des mobiles, d'autres acteurs ont pris des parts de marché, et la compétition est très vive. Le choix que nous avons effectué, avec des applications fonctionnant sur tous les systèmes d'exploitation, est un mode très interopérable et compatible avec les développements open source. Nous sommes un des principaux contributeurs de Linux et avons acquis GitHub, principale plateforme de développement pour les développeurs open source. La plateforme Azure fonctionne avec de nombreux langages open source.. Face à cette innovation permanente, nous avons su trouver d'autres modèles et une place différente dans un univers conçu autour du cloud et de l'accès à différentes applications, sur les différentes plateformes. L'un des enjeux consiste à donner accès à la puissance de calcul qui permet le développement des applications propres aux entreprises. Le cloud n'est pas seulement du stockage, mais c'est aussi du « Software as a Service » et une « plateforme as a Service », permettant de développer des applications à moindre coûts.

Concernant les câbles sous-marins, la question des infrastructures est aujourd'hui évidemment essentielle. Nous disposons de datacenters partout dans le monde - avec notamment trois datacenters en France - et la question de la circulation et de l'accès à ces données est devenue essentielle.

M. Gérard Longuet, rapporteur. - Vous n'en aviez pas ressenti le besoin jusque-là ?

M. Marc Mossé. - Il s'agit de répondre à notre plan de charge avec la perspective d'offrir le meilleur service. Nous fonctionnons beaucoup avec des partenariats en fonction des caractéristiques des câbles nécessaires. Pour plus de précisions techniques, je vous transmettrai la réponse par écrit.

M. Gérard Longuet, rapporteur. - Les opérateurs télécom ont le sentiment, peut-être caricatural, de construire des autoroutes sur lesquelles vous circulez plus ou moins gratuitement.... Or, vous vous mettez maintenant à construire vous-mêmes ! C'est honorable mais aurez-vous les mêmes contraintes ?

M. Marc Mossé. - Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de M. Anton'Maria Battesti, responsable des affaires publiques de Facebook

M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de M. Anton'Maria Battesti, responsable des affaires publiques de Facebook France. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Monsieur Battesti, je vous invite donc à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, M Anton'Maria Battesti prête serment.

M. Franck Montaugé, président. - Nous connaissons tous les activités de Facebook, réseau social rassemblant près de deux milliards et demis de profils, propriétaire de Whatsapp et d'Instagram, qui tend à assumer de plus en plus de fonctions régaliennes, telles que la prévention en cas de crise avec la fonction Safety Check ou la fourniture d'identité numérique avec Facebook Connect.

C'est pourquoi je vous invite à répondre avant tout aux questions que nous avons à vous poser. Je commencerai par une question d'ordre très général : l'entreprise Facebook veut-elle supplanter les États ?

Je préciserai cette question par les deux exemples les plus récents. Facebook veut s'arroger le pouvoir de battre monnaie en créant le Libra. Quels sont vos arguments pour convaincre les États que le projet ne pose aucun problème au regard de la vie privée, du blanchiment d'argent, de la protection des consommateurs et de la stabilité financière ?

Alors que le Gouvernement français entend légiférer sur la régulation des contenus haineux, Facebook a annoncé sa volonté de mettre en place une « cour suprême indépendante », chargée d'arbitrer les litiges relatifs à la diffusion de contenus pouvant être considérés comme violents ou haineux. Pouvez-vous nous préciser l'articulation de cette solution avec les lois qui pourraient être votées au niveau national ?

Enfin, Mark Zuckerberg a récemment affirmé qu'« il est temps d'actualiser les règles qui régissent Internet afin de définir clairement les responsabilités des personnes, des entreprises et des gouvernements ». Concrètement, quelles solutions l'entreprise Facebook préconise-t-elle ?

M. Anton'Maria Battesti, responsable des affaires publiques de Facebook France. - Avant de répondre à vos questions, permettez-moi de vous présenter rapidement l'entreprise Facebook. En France, environ 36 millions d'utilisateurs utilisent Facebook au moins une fois par mois ; Facebook dispose de 200 salariés en France. Enfin, nous avons réalisé dans ce pays un investissement stratégique via l'ouverture, il y a quelques années, d'un laboratoire d'intelligence artificielle. Il s'agit du seul laboratoire que l'entreprise a ouvert en dehors des États-Unis. Celui-ci est d'ailleurs bien intégré dans l'écosystème français de la recherche, et travaille notamment avec station F. En outre, nous investissons dans la formation ainsi que dans diverses causes sociétales, via la fondation compétence numérique ou à notre fondation de civisme en ligne à laquelle nous avons consacré un million d'euros.

En aucun cas, Facebook n'essaye de supplanter les États. Facebook est un réseau social sur lequel les personnes viennent échanger avec leur famille, défendre une cause qui leur tient à coeur, notamment en s'associant au sein de groupes. Notre réseau est multifacette et a vocation à présenter de nouveaux produits : le market place, le développement de la messagerie. Notre entreprise fournit un service. Certes elle s'est fortement développée dernièrement - nous avons acquis récemment Whatsapp et Instagram -, mais cela reste une entreprise, internationale.

Pour autant, une entreprise n'a-t-elle pas vocation à avoir une responsabilité sociétale ? Vous avez présenté l'outil « Safety check » comme un élément régalien. Je n'irai pas jusque-là. En tout cas, il rend service à la société. Il a été activé pour la première fois en France lors des attentats du Bataclan en 2015. Il existe aujourd'hui un consensus pour dire que nous avons bien fait, car il a permis à beaucoup de personnes se signaler en sécurité dans une situation de crise. D'ailleurs, cet outil est tellement intéressant que l'État est venu nous voir il y a un an, lorsque le ministère de l'Intérieur a arrêté sa propre solution d'alerte - le système d'alerte et d'information des populations (SAIP). Nous avons désormais un partenariat, afin de développer une synergie pragmatique et intelligente entre un service privé et les services de l'État, pour rendre un service à la population. Nous l'avons fait sans hésitation, et je tiens à dire que cela ne coûte pas un euro au contribuable. Il me paraît important de le souligner, car, selon les informations que reçues du ministère de l'Intérieur, lorsque la solution de l'envoi d'un SMS était envisagée, les opérateurs souhaitaient faire payer ce type de solution. Mais, nous avons pris nos responsabilités et nous le faisons de la manière la plus directe possible.

Vous évoquez l'identité numérique. Il ne s'agit pas dans le cas présent de mettre en place une identité officielle comme peut le faire France connect, mais de proposer un service Dans les faits, il est possible d'utiliser ses identifiants Facebook pour se connecter à d'autres sites, sans avoir à recréer un profil. Nous avons considérablement augmenté les contrôles afin de permettre aux utilisateurs de ne pas partager les données qu'ils ne souhaitent pas partager avec des tiers. Des audits sont également conduits à posteriori. En outre, si vous ne vous êtes pas connectés à un site utilisant vos identifiants Facebook pendant un certain temps - 100 jours il me semble - ce site ne peut plus user de vos données.

En 30 ans, internet a énormément changé. Aujourd'hui, on peut en quelques secondes envoyer à quiconque dans le monde des données, des fichiers, des photos. Ce constat a conduit à nos réflexions sur le Libra. Comment se fait-il qu'avec toute cette technologie, il y ait autant de difficultés pour transférer de l'argent d'un point A vers un point B à l'heure de l'économie et des services mondialisés ? Aujourd'hui, 1,7 milliard de personnes dans le monde sont exclues du système bancaire et sont dépendantes de transferts d'argent de leurs familles d'un pays vers un autre. Elles ont également besoin d'un accès au capital et d'un service monétaire. En utilisant la technologie blockchain, ainsi que d'autres technologies, nous avons annoncé la mise en place de cet outil en partenariat avec 27 autres membres très divers - UBER, Visa, Iliad - dont le nombre est appelé à augmenter. Je tiens immédiatement à préciser qu'il ne s'agit pas de la monnaie de Facebook mais de cette organisation regroupant plusieurs entreprises.

L'association Libra est une association indépendante au sein de laquelle Facebook dispose d'une voix parmi les autres. Elle est basée en Suisse et sera supervisée depuis ce pays. M. Marcus en a expliqué les raisons. Le Libra sera assis sur une « réserve libra », composée de plusieurs devises : le dollar, l'euro, le yen et la livre sterling, des monnaies étatiques. Je tiens à le préciser : sans monnaie étatique, il ne peut pas y avoir de Libra. Cet outil ne représente en rien une substitution de l'État, il ne fonctionnera qu'au sein du réseau Libra, mais il apportera de vraies facilités à des millions de personnes dans le monde. Vous m'interrogez sur la sécurité de cette nouvelle monnaie. Aujourd'hui, l'argent noir représente un réel problème. La cryptomonnaie n'est pas quelque chose de nouveau. Le bitcoin existe depuis plusieurs années. Il est utilisé sur le darkweb, à des fins diverses et variées, pour des bonnes ou de mauvaises raisons. Le Libra est une opportunité de disposer d'un service porté par de grandes entreprises connues et qui utilise la blockchain, une technologie traçable et transparente, contrairement à des paiements en cash ou via d'autres types de services numériques intraçables.

Il n'y aura pas de fusion des bases de données entre Facebook et Libra. Je tiens par ailleurs à souligner que nous lançons cet outil en toute transparence. Nous allons rencontrer les régulateurs, les gouverneurs des banques centrales, les entreprises, les gouvernements. Le G7 s'est saisi de cette question. Il en hors de question d'instaurer cette monnaie sauvagement, ou avant d'avoir obtenu les autorisations nécessaires. En effet, nous entrons dans un secteur où la culture de la régulation est très forte, et nous n'avons aucune raison de ne pas suivre cette régulation. Ce que nous proposons est l'émergence d'un service de cryptomonnaie stable, globale, portée par des entreprises connues, et qui peut apporter un vrai bénéfice.

Vous avez évoqué, Monsieur le Président, la tribune de Mark Zuckerberg. Si nous devions refaire les règles de l'internet aujourd'hui, les pouvoirs publics auraient sans doute une approche différente. La gestion des contenus doit se faire en fonction de deux éléments : la loi et les conditions générales d'utilisation du service. Les lois sont supérieures aux conditions générales d'utilisation du service, car elles sont l'expression de la volonté générale. Nous avons participé à la mission lancée par le Président de la République et conduite par M. Loutrel. Nous avons largement ouvert Facebook, pour montrer ce que nous faisons en matière de modération et pour réfléchir collectivement à ce qui peut être amélioré. Le rapport de M. Loutrel et de son équipe rendu au mois de mai donne beaucoup de pistes en la matière. Par ailleurs, la proposition de loi de Mme la députée Laëtitia Avia visant à lutter contre la haine sur internet a été votée en première lecture à l'Assemblée nationale. Elle renforce la responsabilité des plateformes.

Le comité de supervision, proposé par Mark Zuckerberg, ne remet pas en cause ce principe. Ce dernier a utilisé l'expression de « cour suprême », pour illustrer l'outil qu'il veut mettre en place. Il vise à répondre à un problème régulièrement soulevé par les pouvoirs publics, parle milieu associatif et par les experts. Aujourd'hui, en cas de désaccord sur la suppression d'un contenu en vertu des conditions d'utilisation du service, la personne concernée peut faire appel de cette décision au sein de l'entreprise. Pour un certain nombre de cas - les plus compliqués -, c'est Mark Zuckerberg, seul, qui décide si le contenu respecte ou non les conditions générales et s'il doit être en conséquent supprimé. Nous proposons de transférer cette décision prise par un seul homme basé aux États-Unis à un groupe d'une quarantaine d'experts internationaux indépendants. Pour nous, cela représente objectivement un progrès. Nous avons organisé plusieurs dizaines de réunions dans de nombreux pays et nous avons notamment présenté cette solution à des experts et associations françaises. Nous avons des retours constructifs, certains très francs, nous permettant de réfléchir à un comité en capacité de fonctionner correctement. Il s'agit d'un outil propre à notre service, utilisé pour régler ses questions internes. Cette « cour suprême » ne viendra donc pas en conflit avec la Cour de cassation, le Conseil d'État, la Cour européenne des droits de l'homme ou la Cour de justice européenne.

M. Stéphane Piednoir. -Le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car c'est tant les données personnelles que les données stratégiques des entreprises qui peuvent ainsi être pillées. Or, Facebook détient des données très précises sur 36 millions d'utilisateurs réguliers français. Pouvez-vous nous assurer que Facebook ne permet ni ne permettra aux autorités américaines de prendre connaissance des données de nos concitoyens ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?

M. Anton'Maria Battesti. - Le Cloud Act est une réponse à un problème juridique. Le Mutual legal assistance treaty, qui permet la coopération judiciaire internationale, a été rédigé et signé à une époque où le numérique n'existait pas. Aussi, le traitement des demandes de données entre les deux rives de l'Atlantique pouvait prendre des mois. Le Cloud Act vise à remédier à ces difficultés. Je tiens toutefois à préciser qu'il s'appliquera uniquement sur demandes judiciaires. Il ne s'agit nullement d'une porte dérobée permettant à tout à chacun d'avoir accès aux données. Le quatrième amendement de la Constitution américaine continue à s'appliquer, tout comme l'ensemble des garanties apportées par l'État de droit américain. Par ailleurs, l'Union européenne se dote d'un instrument comparable, avec le règlement e-evidence. Le Cloud Act prévoit également la signature d'accords spéciaux entre les États-Unis et les autorités d'un pays afin de faciliter les échanges bilatéraux de données. Le Royaume-Uni a signé un tel accord et des discussions sont en cours avec d'autres pays européens. Notre entreprise multinationale souhaite ne pas avoir à affronter de conflit de droit. Nous ne pouvons qu'encourager de tels processus internationaux, permettant de déployer une nouvelle architecture juridique pour régler ces problèmes. Ce n'est pas à nous de les régler. Nous sommes en effet constamment sollicités pour plus de collaboration, pour transmettre les données nécessaires aux enquêtes. Nous voulons appliquer ces dispositifs avec le plus grand sérieux sur la base de règles édictées par les États. De même, nous mettons un point d'honneur à respecter le RGPD, pour plusieurs raisons : d'une part, les sanctions sont très dissuasives, d'autre part, et au-delà de la sanction légale et politique, l'application du RGPD est essentielle pour conserver la confiance de l'utilisateur.

Mme Catherine Morin-Desailly. - Je vais être très directe : peut-on encore faire confiance à Facebook, sachant que Mark Zuckerberg n'a pas dit la vérité devant le Congrès américain ? Un récent article du New York Times a démontré que Facebook était au courant de l'infiltration des Russes sur les réseaux dès 2014. Pourquoi est-ce que le comité exécutif, alerté, n'a pas pris toutes les mesures utiles pour faire remonter les informations vers les États concernés ? Quelles mesures ont été mises en place par Facebook afin d'empêcher une cyber-préemption du réseau social, qui doit rester partagé et neutre ?

En outre, pourquoi Mark Zuckerberg n'accepte-t-il jamais de se rendre aux convocations parlementaires ? Il n'a ainsi pas donné suite à l'invitation à participer à une audition à Londres lancée par 11 parlements. Or, vous pouvez mesurer l'inquiétude des parlementaires face à l'utilisation des données par Facebook dans l'affaire Cambridge Analytica.

Avec quelles entreprises d'agrégation travaillez-vous ? Une récente décision allemande interdit la collecte et l'agrégation des données pour atteindre un objectif particulier. Comment comptez-vous appliquer cette mesure, et retrouver ainsi la confiance de l'utilisateur ?

Enfin, aux États-Unis, des voix se font entendre - parlementaires, ingénieurs, Chris Hughes, le cofondateur de Facebook - plaidant pour une segmentation de l'entreprise. Nous savons qu'Instagram et Whatsapp sont corrélés à Facebook. Que répondez-vous à ces idées ? Ne serait-ce pas également une façon de retrouver la confiance de l'utilisateur ?

M. Anton'Maria Battesti. - Nous n'avons aucun intérêt à agir d'une façon qui nous ferait perdre la confiance des utilisateurs. De même qu'une compagnie aérienne n'est rien sans passager, Facebook n'est rien sans ses utilisateurs. La question n'est pas de savoir si nous avons fait des erreurs. Nous le savons ; des erreurs ont été faites. Mais des compagnies aériennes connaissent des tragédies aériennes et s'en remettent. Toutes les entreprises sont confrontées à des crises graves, entamant la confiance, et elles doivent y répondre.

Je ne commenterai pas l'article du New York Times ni vos commentaires sur le fait de savoir si Mark Zuckerberg aurait ou non menti.

En 2016, l'élection américaine a montré à quel point les outils que nous avions conçus pouvaient être détournés en période électorale. Qu'avons-nous fait depuis ? Nous avons mis en place des équipes qui travaillent à temps plein contre ces menaces. Nous détectons régulièrement des comportements de manipulation - en période électorale ou hors période électorale - et faisons tomber les pages concernées. Nous avons également rencontré les autorités françaises et mis en place un dispositif spécial pour les élections. Aux États-Unis, le recours aux publicités se fait dans un contexte différent. Nous nous sommes rendus compte lors de l'élection de 2016 que les publicités sur un réseau social pouvaient être utilisées pour cibler des personnes afin d'orienter leurs convictions politiques. Nous avons mis en place des mesures, permettant d'archiver ces publicités, de connaître l'identité des émetteurs ainsi que les montants dépensés. Nous visons un  « phénomène vampire » : lorsque vous braquez la lumière sur quelque chose, vous espérez que le phénomène s'arrête. La loi sur la manipulation de l'information a repris ces dispositions pour la France et les a renforcées. Nous avons également pris nos responsabilités et mis en place les mêmes dispositions à l'échelle européenne, en l'absence d'ailleurs d'une réglementation européenne harmonisée en la matière. En tant qu'entreprise privée, nous avons donc dû prendre des mesures relevant sans doute de la sphère publique. Nous ne pouvons qu'inviter les pouvoirs publics européens à régler ces questions.

Face aux « fake news », nous avons également signé des partenariats avec des Fact Checkers - notamment Le Monde et l'AFP. Est-ce que cela empêchera ces phénomènes de se reproduire ? Personne ne peut le dire, mais nous faisons tout pour que cela n'arrive pas.

Vous regrettez le fait que Mark Zuckerberg ne viennent pas aux convocations parlementaires. Laissez-moi vous rappeler qu'il est venu s'exprimer devant le Congrès américain et le Parlement européen la même année.

Mme Catherine Morin-Desailly. - Le groupe des 11 parlements regroupait également des pays qui n'étaient ni les États-Unis, ni membres de l'Union européenne.

M. Anton'Maria Battesti. - Mark Zuckerberg n'a fait aucune difficulté pour venir s'exprimer devant le Parlement européen, qui représente plus de 500 millions d'individus. Il a répondu aux questions posées par tous les groupes politiques et cette rencontre s'est faite dans un climat collaboratif. Je ne suis pas en capacité de vous dire comment il prend la décision de s'exprimer devant tel ou tel parlement. En revanche, pour l'Union européenne, il l'a fait devant le Parlement européen, et je suis sûr que personne dans cette salle ne remet en cause la légitimité de cette institution.

Vous m'interrogez sur une décision juridique allemande. Je ne dispose pas à cet instant des informations nécessaires pour répondre à cette question technique, car je suis en charge des affaires publiques de Facebook en France. En revanche, je reviendrai vers vous à la suite de cet entretien avec les éléments nécessaires.

Vous évoquez également l'opportunité de scinder Facebook en plusieurs entités. La réponse que je vais vous faire est proche de celle de Nick Clegg. Le droit de la concurrence a pour but d'éviter des abus notamment sur les prix, et permettre aux consommateurs d'avoir accès à des produits divers. Facebook ne doit pas être considéré comme un bloc monolithique. Nous ne sommes pas numéro un pour la messagerie, la vidéo ou encore en place de marché (market place). Lorsqu'on parle de concurrence, il faut regarder le périmètre des activités concernées.

En outre, le droit de la concurrence n'est pas conçu pour sanctionner le succès. Il y a deux milliards et demis d'utilisateurs de Facebook, un milliard d'Instagram et un milliard de Whatsapp. Même si les différents services étaient séparés, ils continueraient à former chacun d'entre eux, des gros blocs. Les problèmes seraient les mêmes. Le droit de la concurrence n'est pas la réponse à tous les problèmes de sûreté.

Mme Catherine Morin-Desailly. - Une séparation des différents services pourrait créer une forme d'émulation et recréer des conditions de confiance. Votre réponse est toujours la même : en l'absence de réglementation, vous rejetez la faute sur le politique, pour les usages, vous renvoyez aux utilisateurs. C'est toujours sous la contrainte que vous prenez des mesures d'autorégulation pour tenter de retrouver la confiance des utilisateurs. Il faut agir de manière structurelle. Mon homologue britannique traite votre organisation de « gangster ». Je suis étonnée que vous ne travailliez pas avec votre homologue allemand, et que vous ne soyez pas au courant de cette régulation outre-rhin. Je suis frappée par cette absence de collaboration et d'approche stratégique au sein d'une grande entreprise internationale comme la vôtre. En outre, je vous ai adressé un courrier le 13 mars dernier, auquel je n'ai jamais eu de réponse.

M. Anton'Maria Battesti. - Je ne commenterai pas le terme de gangster que vous avez utilisé et vous en laisse la responsabilité. Je travaille en étroite collaboration avec mes homologues des autres pays européens. Cependant, je suis sous serment, et je ne veux pas apporter des propos inexacts ou incomplets. J'assume ne pas être au courant de tous les litiges que connaît Facebook en dehors du territoire français. Toutefois, je me suis engagé à vous apporter une réponse à la suite de cette audition.

Je suis désolé que vous n'ayez pas reçu de réponse à votre courrier du 13 mars dernier. Je vais me rapprocher de mes services.

M. Gérard Longuet, rapporteur. -. Je préside l'office parlementaire des choix techniques et scientifiques, où nous venons d'examiner le rapport de notre collègue député Didier Baichère sur la reconnaissance faciale, qui est un des aspects de la souveraineté numérique.

Vous êtes l'un des principaux investisseurs dans les câbles sous-marins. Dans quel esprit Facebook intervient-il dans ce domaine ? Jusqu'à présent, comme tous les opérateurs du numérique, vous utilisiez les réseaux existants. Quel est l'objectif de cette très forte implication : est-ce dans le but de disposer d'un maillage plus fin ? S'agit-il d'un manque de confiance envers les opérateurs, d'une insuffisance des services fournis ?

M. Anton'Maria Battesti. - Je répondrai également avec prudence. La compréhension que j'ai de cet investissement technologique est qu'il doit permettre - comme pour les investissements dans les centres de données - à notre service de fonctionner plus rapidement et au plus près de l'utilisateur. Nous avons signé un partenariat avec un opérateur - Orange il me semble - afin de déployer ces câbles. Toutefois, je ne connais pas les détails de ces programmes industriels.

M. Gérard Longuet, rapporteur. - Pourrez-vous nous transmettre une note d'orientation ? Ce réseau sera-t-il ouvert aux autres opérateurs ?

M. Anton'Maria Battesti. - Je reviendrai vers vous sur ces points. Il me semble que ce déploiement se fait de manière mutualisée avec d'autres opérateurs en raison des coûts importants.

M. Gérard Longuet, rapporteur. - Facebook a fait retirer de ses pages L'origine du monde de Courbet. Le président de la République va se rendre bientôt à Ornans. Notre collègue député Hervé Novelli, président des amis de Courbet, a été particulièrement ému par cette censure, alors que Facebook est beaucoup plus laxiste pour d'autres sujets de contrebande.

M. Anton'Maria Battesti. - Laissez-moi tout d'abord vous indiquer que Facebook ne fait preuve d'aucun laxisme vis-à-vis de la contrebande.

Pour le Courbet, j'ai rencontré le plaignant. Cette affaire a été très médiatisée.

M. Gérard Longuet, rapporteur. - Au-delà de cette affaire, se pose la question de la censure et du centre de gravité des valeurs culturelles portées par Facebook.

M. Anton'Maria Battesti. -Je tiens à le réaffirmer devant vous. Ce tableau est autorisé, et de manière générale, la peinture de nu est autorisée. Ce tableau est assez réaliste et il y a eu une erreur de modération sur ce tableau.

M. Gérard Longuet, rapporteur. - Que représentent vos équipes de modération ?

M. Anton'Maria Battesti. - On accuse souvent Facebook de promouvoir des valeurs puritaines américaines. Ce qui n'est pas autorisé est la nudité sur les photos, afin de lutter contre la pornographie, mais aussi pour protéger les adolescents victimes de revenge porn. Or, à partir du moment où toute photo de nudité est interdite, nous disposons d'une arme forte pour lutter contre ces pratiques. Certes, il y a la question de la photo d'art, et nous reconnaissons que cette difficulté n'est pas résolue.

Nous avons 30 000 modérateurs dans le monde. Nous avons investi des milliards d'euros dans ce domaine. Pour vous donner un ordre d'idée, les montants investis dans la modération sont similaires à la capitalisation de Facebook au moment de son entrée en bourse. Par ailleurs, lorsque vous être propriétaire de plusieurs réseaux sociaux, vous pouvez mutualiser cette question. Les modérateurs couvrent l'ensemble du réseau, 24 heures sur 24, dans une centaine de langues.

Ce sont 85 % des utilisateurs de Facebook qui ne sont pas américains. Ce serait donc une erreur de copier-coller le modèle de valeurs américain au reste du monde. La politique de contenus de Facebook met en balance la liberté et la responsabilité, la liberté et la sécurité.

M. Gérard Longuet, rapporteur. - Vos modérateurs sont-ils répartis partout dans le monde ?

M. Anton'Maria Battesti. - En effet. Le quotidien Le Monde a d'ailleurs récemment publié un article sur l'équipe située à Barcelone. Une autre équipe se trouve à Dublin. Je suis également impliqué dans des décisions de licéité de contenus. Enfin, nous avons des experts dédiés à certains contenus, notamment des personnes qui ne surveillent que les contenus à caractère terroriste.

M. Gérard Longuet, rapporteur. - Qu'en est-il de l'interopérabilité entre réseaux sociaux ?

M. Anton'Maria Battesti. - Le RGPD donne le droit à l'utilisateur de pouvoir télécharger l'intégralité de ses données de manière simple et standardisée. C'est la première étape, la portabilité. Mais, une fois cette procédure faite, peut-il facilement mettre ses données ailleurs ? Une initiative industrielle, construite notamment avec Microsoft et Twitter, le Data Transfert project, est en cours. Elle vise à mettre en place les mécanismes techniques nécessaires pour transférer facilement les photos et données d'un site, d'un opérateur vers un autre. C'est également un moyen de disposer d'une concurrence plus forte entre réseaux sociaux. Toutefois, cette interopérabilité pose de nombreux problèmes, par exemple vis-à-vis de la vie privée. Ainsi, mes données Facebook peuvent impliquer d'autres personnes. Si ces dernières sont d'accord pour qu'un tel lien apparaisse sur Facebook, le sont-elles encore pour une utilisation en dehors de notre réseau ?

M. Pierre Ouzoulias. - Vous avez récemment ouvert un laboratoire d'intelligence artificielle à Paris. Vous avez recruté de nombreux chercheurs venant de l'INRIA (institut national de recherche dédié aux sciences du numérique) ou du CNRS (Centre national de la recherche scientifique). Quelle rémunération moyenne annuelle leur versez-vous ?

M. Anton'Maria Battesti. - Je ne suis pas informé du montant des rémunérations versées. En revanche, il est certain qu'il faut être extrêmement attractif dans des domaines aussi compétitifs.

M. Pierre Ouzoulias. - Votre société a mis à profit un internet libre. La faiblesse des règles d'organisation a permis votre expansion. Ce n'est pas un reproche mais un constat. Aujourd'hui, on risque de perdre cette liberté, et les règles d'autorégulation pourraient régir un internet qui ne serait plus libre et vous placeraient en situation de régulateur absolu de tout l'internet. Quelles mesures prenez-vous pour préserver cette liberté dont nous avons besoin ?

M. Anton'Maria Battesti. - Internet a connu une phase d'intense expansion. À l'époque, j'utilisais Netscape sur Windows 98 pour aller sur Yahoo. Cette période est révolue, et de nouveaux produits apparaissent constamment. D'ailleurs, si vous demandez aux jeunes aujourd'hui quel réseau ils utilisent de Facebook en Tik tok, ce dernier a leur préférence. On constate une diversification des usages, notamment chez les jeunes. Il semble que nous arrivons aujourd'hui dans une phase plus institutionnelle, plus régulée de l'internet. Est-ce que cela ne va pas conduire à installer les acteurs déjà présents ?. C'est toute la problématique des barrières à l'entrée d'un secteur.

Il existe ici une contradiction entre les demandes, d'une part, de conserver un internet libre, et d'autre part, de faire preuve de plus de responsabilité éthique et légale. Dites-nous l'équilibre que vous souhaitez, les responsabilités que vous voulez nous transférer, et nous le ferons sous la responsabilité d'autorités comme le CSA.

En outre, lorsque vous nous demandez de décider de ce qui est légal ou non en 24 heures, c'est un petit transfert de souveraineté. On nous demande de faire quelque chose qui est plutôt du ressort de l'État. Mais dans le même temps, on nous accuse d'avoir trop de pouvoir. La seule façon de sortir de cette contradiction serait un cadre européen. Sinon, nous serons toujours dans l'excès, d'un côté ou de l'autre. De même, face aux barrières à l'entrée, on peut imaginer des règles plus souples pour les start-ups. Attention toutefois à la problématique du franchissement des seuils !

M. Franck Montaugé, président. - Je reviens au projet Libra. Pourquoi devrions-nous vous faire confiance pour la protection nos données financières eu égard aux échecs que vous avez déjà rencontrés dans ce domaine ? M. Marcus a annoncé qu'il n'y aurait pas, « mais pour le moment seulement », de transfert de données entre le Libra et Facebook, sauf consentement de l'usager. Peut-on avoir des garanties sur ce point ?

Êtes-vous favorable à une supervision publique des plateformes, par les États ou des organisations internationales comme l'Union européenne ?

M. Anton'Maria Battesti. - Nous ne sommes pas naïfs. On sait que la pente est raide en matière de confiance, et qu'une fois perdue, il est très difficile de la regagner. De manière générale, la confiance dans les institutions financières est assez faible. Facebook est conscient de l'image générale de ce secteur. David Marcus a présidé Paypal, il a une vraie légitimité en la matière et il a conscience des difficultés.

Il faut changer la méthode. Si vous lancez un produit, puis que vous en discutez après avec les autorités, cela pose problème. Cela a pourtant été la méthode la plus fréquemment utilisée par la Silicon Valley. Je ne remets pas en cause cette période, qui a été caractérisé par un foisonnement d'innovations. Dans le cas présent, nous proposons un renversement de la méthode de travail : cet outil ne sera pas lancé tant que nous n'aurons pas l'accord pour le faire. En matière financière, les barrières à l'entrée sont importantes, et à juste titre, car il y a un risque systémique. On ne pourra pas nous croire sur parole. Aussi, le lancement du Libra se fera sous les auspices de ceux qui ont la légitimité pour nous en donner l'autorisation et pour contrôler ce que nous ferons. C'est seulement dans ces conditions que la confiance pourra s'installer.

Vous m'interrogez sur les données. Mon banquier sait tout de moi. Il sait où je suis allé, à quelle heure, ce que j'ai acheté. Sur les applications bancaires, il est possible de classer ces dépenses par catégorie. Le RGPD nous indique comment développer de nouveaux services. Si nous avons le consentement des usagers, nous pouvons le faire. Le RGPD ne dit à aucun moment que l'on ne peut plus rien faire ! Ce texte s'inscrit dans une logique de responsabilisation et de sanction. On ne peut rien faire sans l'aval du régulateur. Nous n'avons pas le choix, nous devons demander l'autorisation avant d'agir. D'ailleurs, je ne peux qu'inciter les pouvoirs publics à muscler les régulateurs, à faire en sorte qu'ils soient vraiment en concurrence avec nos entreprises pour attirer les nouveaux talents et recruter les meilleurs. En outre, les serviteurs de l'État peuvent se nourrir d'une expérience du privé.

Nous sommes favorables à une supervision des plateformes. Il faut une régulation complète sur des domaines qui touchent à la vie démocratique telles que les publicités politiques, mais aussi le contrôle des contenus, le transfert de données etc. Faites-le ! Nous nous inscrivons dans une logique de proposition et de dialogue.

Mme Catherine Morin-Desailly. - Dans nos réflexions sur la loi contre la manipulation de l'information, nous nous sommes interrogés sur la rentabilité de la diffusion des fausses nouvelles. Le clic est rémunérateur. Les plateformes bénéficient d'un régime de non-responsabilité et de non-redevabilité. Que pensez-vous de la proposition qui est faite de rouvrir la directive e-commerce, qui n'est plus adaptée ? Cela permettrait de réfléchir à un nouveau statut pour les plateformes, entre hébergeurs et éditeurs, afin de restaurer la confiance et la redevabilité.

M. Anton'Maria Battesti. -La loi pour la lutte contre la manipulation de l'information est nécessaire pour combler les manques identifiés par les pouvoirs publics. Le CSA aura un rôle de supervision de nos obligations de moyens de lutte contre la fausse information. Ce travail a déjà commencé. Ce modèle a vocation à s'étendre à d'autres pays et d'autres sujets.

Mme Catherine Morin-Desailly. - Le Sénat a rejeté cette loi car les solutions proposées ne nous convenaient pas.

M. Anton'Maria Battesti. - Je pense que le Sénat a manqué une opportunité d'améliorer ce texte. Votre institution a toujours été protectrice des libertés publiques. J'ai ainsi toute confiance dans le Sénat pour apporter sa contribution. La directive e-commerce a déjà été remodelée par d'autres textes : la directive copyright, la directive service média audiovisuel. Il faut une approche plus holistique, reposer la question du statut. Je trouve la démarche de la mission Loutrel très intéressante sur ces sujets.

M. Franck Montaugé, président. - Je vous remercie Monsieur pour les éléments de clarification que vous nous avez apportés.

La réunion est close à 10h45.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de MM. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe et Mathieu Coulaud, directeur juridique de Microsoft France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition des représentants de Microsoft. Nous recevons Monsieur Marc Mossé, directeur juridique et des affaires publiques de Microsoft Europe, et Monsieur Mathieu Coulaud, directeur juridique de Microsoft France.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Marc Mossé et Mathieu Coulaud prêtent serment.

M. Franck Montaugé, président. - Nous connaissons tous les activités de Microsoft, du moteur de recherche au cloud en passant par les logiciels de bureautique, la messagerie électronique... C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser.

Je commencerai par deux questions relatives aux données. Le Cloud Act permet aux autorités américaines d'accéder aux données que vous stockez, quel que soit le lieu de stockage ce qui inquiète légitimement les pouvoirs publics français puisque tant les données personnelles que les données stratégiques des entreprises peuvent ainsi être pillées. Or, de grands groupes vous confient leurs données, en utilisant vos solutions de cloud, à l'image de la SNCF, ou nouent des partenariats commerciaux avec vous comme Thalès ou Qwant.

Pouvez-vous nous assurer que Microsoft ou ses filiales ne permettent pas - et ne permettront pas - aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, avec le RGPD ?

Microsoft a récemment changé de discours sur la protection de la vie privée en faisant de ce sujet un de ses axes stratégiques. Une autorité locale allemande vient pourtant de constater une infraction au RGPD la semaine dernière puisque l'utilisation du logiciel bureautique Microsoft Office 365 dans les écoles du Land de Hesse a été déclarée illégale au regard de la loi sur la protection des données. Les données personnelles des enfants seraient stockées dans le cloud de Microsoft de façon peu transparente et peu accessible aux autorités américaines. Devons-nous croire les paroles ou les actes ? Cette question est très importante, car Microsoft est également prestataire pour le ministère de l'Éducation nationale en France.

M. Gérard Longuet, rapporteur. - Ce sujet est majeur. Je me réjouis que soient présents ce jour un responsable national et un responsable Europe, ce qui permet d'avoir une vision globale de la question.

M. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe. - Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.

Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.

Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.

Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.

Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.

Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.

Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement  « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.

En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....

M. Mathieu Coulaud, directeur juridique de Microsoft France. - ... Et ayons bien en tête la hiérarchie des normes américaines. Le Quatrième Amendement de la Constitution des États-Unis a été écrit à la suite du traumatisme des colons américains - les Britanniques ayant le droit d'entrer dans les maisons sans préavis et sans aucun contrôle d'une autorité judiciaire. Le Code de procédure criminelle est donc placé sous l'égide du Quatrième Amendement, et il contient lui-même le Stored Communications Act, qui fixe le régime juridique d'une donnée stockée. C'est ce dernier texte que le Cloud Act est venu amender. Tout ceci correspond à peu près à notre code de procédure pénale ou à notre code pénal. Le Cloud Act intervient donc dans un cadre juridique très déterminé.

M. Marc Mossé. - Nous sommes effectivement dans le cadre d'une procédure sous le contrôle d'une autorité judiciaire indépendante.

Concrètement, si un mandat est demandé, il appartient au juge indépendant de décider ou non de le mettre en oeuvre. Le Procureur demandant le « warrant » on mandat devra démontrer qu'il existe de sérieuses présomptions d'une infraction, justifiant que les données visées se trouvent sur le compte ou l'espace de stockage de la personne concernée. C'est sur ces bases que le juge se déterminera pour délivrer un mandat, et sur la base de ce mandat que nous répondrons, ou non, à la demande.

Le département de la Justice américaine a publié, en avril 2019, un Livre blanc comportant une série de recommandations et principes directeurs permettant d'éclairer la manière de mettre en oeuvre ce texte. Une des recommandations vise à demander aux Procureurs fédéraux de s'adresser d'abord directement à l'entreprise dont ils souhaitent obtenir les données, l'intermédiaire technique n'étant sollicité que subsidiairement, si l'enquête l'exige.

M. Franck Montaugé, président. - Qu'en est-il de la communication des avis juridiques internes de nos entreprises ?

M. Marc Mossé. - C'est un excellent exemple, mais le Cloud Act n'est pas spécifiquement en cause sur ce point : c'est, de façon générale, le droit français qui est trop faible, indépendamment de l'évolution de nos pratiques numériques. En effet, les avis des juristes internes des entreprises en France ne bénéficient malheureusement pas du principe de confidentialité, alors que les juristes de la plupart des grands États en bénéficient - soit 18 ou 20 États de l'Union européenne il me semble. Indépendamment du Cloud Act, les documents que vous évoquez sont donc effectivement moins bien protégés en France.

Dans le projet de règlement européen « e-evidence » sur les preuves électroniques que j'évoquais, un article spécifique prévoit que les données protégées par une immunité ou un privilège fassent l'objet de garanties supplémentaires. Dans le droit européen, entre États membres de l'Union européenne, les entreprises françaises seront donc effectivement moins bien protégées que leurs concurrentes d'autres pays de l'Union européenne.

M. Gérard Longuet, rapporteur. - Cette question précise pourrait donc très bien être réglée par le Parlement français...

M. Marc Mossé. - Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.

J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.

Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.

Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...

Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.

La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.

M. Franck Montaugé, président. - Merci de ces éclaircissements, mais êtes-vous en mesure de fournir des éléments de preuve de cette manière de procéder ?

M. Marc Mossé. - Nos contrats contiennent de tels éléments, et en pratique nous nous y sommes déjà opposés, en portant l'affaire jusqu'à la Cour suprême !

M. Mathieu Coulaud. - Nos contrats comprennent effectivement une clause stipulant que « Microsoft ne fournit pas : a) un accès direct, indirect, général ou libre aux données clients ; b) les clés de chiffrement utilisées pour sécuriser les données clients ou la possibilité de forcer ce chiffrement ».

Nous reportons donc la responsabilité du dialogue entre l'autorité d'enquête et notre client sur leur relation bipartite. Nous ne souhaitons pas être au milieu de ce dialogue.

Le chiffrement constitue aussi une possibilité : chaque entreprise doit se protéger des cyberattaques, ce qui peut passer par le chiffrement, avec des clés créées pour accéder les données. À un certain niveau de chiffrement, le client est seul maître du déchiffrement et même Microsoft ne peut alors accéder aux données du client.

Il faut bien distinguer les données du client de l'infrastructure. Le Cloud computing offert par Microsoft correspond au stockage informatique, via une infrastructure - ou ferme de serveurs -de données qui appartiennent au client. C'est le client qui définit le degré de chiffrement de ses données...

M. Gérard Longuet, rapporteur. - ...C'est lui qui le conçoit ?

M. Mathieu Coulaud. - Tout à fait, en fonction du service qu'il achète, il a la possibilité de prévoir le chiffrement de ses données, dont il détient lui-même les clés, via son responsable de la sécurité informatique. Dans ce cas, nous ne sommes pas en mesure de fournir une donnée déchiffrée - et nous nous engageons contractuellement à ne pas la fournir aux autorités.

M. Franck Montaugé, président. - Concernant ma question portant sur ce qui s'est passé en Allemagne ? Les faits sont-ils avérés ?

M. Marc Mossé. - C'est l'autorité en charge de la protection des données du Land de Hesse qui est à l'origine de ces questions, dont je ne connais pas les détails. Nous avons pour principe d'entrer en dialogue avec le régulateur qui nous interroge. Nous avons mis en oeuvre le RGPD, pas simplement en Europe, mais aussi dans le monde entier puisque l'Europe a ainsi fixé un standard international. Nous allons clarifier ces questions et résoudre la difficulté si elle existe.

Au-delà des textes mis en oeuvre, la protection des données personnelles est un sujet compliqué et assez nouveau : même si des normes existaient avant le RGPD, pendant longtemps, personne n'y portait une attention si conséquente. Nous nous sommes engagés très tôt sur la protection de la vie privée, nous étions ainsi les premiers à mettre en oeuvre les clauses contractuelles types de la Commission européenne dans les contrats de cloud qui nous semblaient tout à fait importants. Il est heureux que cette question de protection de la vie privée fasse désormais partie des questionnements quotidiens et de la culture économique.

Différents modèles économiques existent dans le numérique : le nôtre n'est pas fondé sur la publicité. Nous sommes plutôt dans des logiques de « B2B » et de « B2B2C », c'est-à-dire de partenariats et d'écosystèmes. Ces questions se trouvent au coeur de notre modèle et supposent que, par des preuves concrètes, nous puissions inspirer confiance à nos clients.

M. Gérard Longuet, rapporteur. - Vous considérez que votre modèle économique repose sur la vente de prestations et non du patrimoine ou des données de vos clients.

M. Marc Mossé. - Les données de nos clients restent leurs données. Nous n'avons pas vocation à nous les approprier et à en faire le commerce.

Certes nous évoluons dans une économie de données. De nombreuses entreprises traditionnelles vont devenir des entreprises digitales - dans le monde de l'automobile, de la santé ou même de l'agriculture. Un usage des données existe pour apporter des bénéfices - notre outil Skype dispose ainsi d'une fonctionnalité Skype translator de traduction simultanée, à travers l'apprentissage par la machine de données des langues utilisées. Il ne s'agit pas d'écouter les conversations, mais d'utiliser la donnée pour que la machine apprenne et sache traduire. C'est de l'exploitation de la donnée, non pas à des fins de commercialisation de vos données, mais pour améliorer nos produits, créer des fonctionnalités et les sécuriser.

Nous sommes effectivement dans un monde d'usage de la donnée, puisque l'intelligence artificielle suppose de la donnée. C'est une question de souveraineté numérique : pour que l'Europe et la France puissent avancer et accroître leur compétitivité dans cette révolution industrielle portée par le numérique, il faut que les entreprises accèdent à la donnée et utilisent la donnée. Les voitures connectées se développent sur la base de la donnée. Il existe toutefois une différence entre la collecte et l'utilisation de la donnée à des fins pertinentes pour l'utilisateur ou l'industriel qui développe des solutions et l'usage abusif des données.

M. Gérard Longuet, rapporteur. - Est-ce que le critère de distinction n'est pas de savoir qui paie ? Le service que vous évoquez de traduction simultanée est bien payé par l'utilisateur, et quand il l'utilise.

M. Mathieu Coulaud. - Absolument. Notre modèle repose sur un accès pour l'utilisateur à l'infrastructure cloud, avec de l'hébergement pur, puis, selon le contrat souscrit, à des briques logicielles. Le client utilise alors ce qu'il souhaite dans le cloud : c'est ce qu'on appelle le « Software as a Service » - les logiciels Word et Excel de la suite Microsoft Office peuvent ainsi être offert au client dans ce cloud, et utilisés depuis l'ordinateur de notre client. Toutes nos briques logicielles, y compris de « machine learning », fonctionnent de la même manière.

Une distinction doit être faite également entre notre rôle de fourniture d'infrastructures et celui de l'intégrateur. Nous intervenons en amont, en vendant l'infrastructure et éventuellement les briques de logiciel, protégées par le droit d'auteur, tandis que l'intégrateur fait communiquer nos outils avec les outils du client final. Nous nous vivons plutôt comme un fournisseur de propriété intellectuelle.

M. Gérard Longuet, rapporteur. - Quel est le statut de l'intégrateur ?

M. Mathieu Coulaud. - Il a un statut commercial et c'est souvent un partenaire de Microsoft. Il contracte avec le client final pour brancher notre système sur celui du client. Nous avons un écosystème de 10 500 partenaires qui sont les premiers à vendre nos produits et services. Il peut même s'agir d'une filiale, comme Microsoft Services.

M. Franck Montaugé, président. - En 2015, votre entreprise annonçait avoir débloqué une somme conséquente de 70 millions d'euros au service de la French Tech. Quel a été exactement le montant investi ? Dans quelles startups avez-vous investi ? Avez-vous pris des participations, majoritaires ou pas, dans ces entreprises ?

M. Marc Mossé. - Nous avons effectivement annoncé en 2015 cette aide à l'écosystème français. Je ne connais pas le chiffre précis. Nous avons un modèle de support aux startups qui ne passe pas par des prises de participation. Nous les aidons à se développer, à grandir et à accéder à des réseaux de clients nationaux ou internationaux ou à nos partenaires. Avant même cette annonce de 2015, nous avions déjà des programmes autour des startups qui ont permis à certaines de devenir des géants mondiaux, comme Criteo ou Talentsoft.

M. Gérard Longuet, rapporteur. - Comment vivez-vous votre relation avec Criteo ?

M. Marc Mossé. - Le programme IDEES avait été créé pour aider les startups à démarrer et Criteo comme Talentsoft ont intégré ce programme. Ces startups n'y restaient que trois ans au maximum et vivaient ensuite leur vie. C'était une forme d'accélérateur.

Ces mécanismes ne reposent pas sur des prises de participation.

Pour répondre à votre question sur les investissements, nous avons conclu un partenariat avec Station F et avons focalisé nos efforts d'aide aux startups sur la question de l'intelligence artificielle. Les startups que nous aidons dans le cadre de Station F travaillent toutes dans le domaine de l'intelligence artificielle, principal vecteur de développement de l'économie numérique.

À l'origine de ces programmes se trouve notre refus du discours selon lequel la France aurait perdu la bataille du logiciel et ne pourrait se développer dans ce domaine, coincée entre la Chine et les États-Unis. Nous considérons au contraire que la France est une terre du logiciel : les succès de la Silicon Valley reposent souvent sur un ingénieur français et Microsoft compte de nombreux ingénieurs français. Il existe en effet une école informatique française et une école mathématique française très puissantes. L'INRIA a une réputation mondiale de ce point de vue et nous avons un partenariat avec elle depuis 2006. Nous nous étions battus contre cette idée que nous aurions perdu cette bataille et nous voulions démontrer qu'il existait un écosystème et les talents en France. Je pense que ces programmes ont pu permettre l'éclosion de certains succès.

La France et l'Europe n'ont pas perdu la bataille de l'intelligence artificielle. L'Europe porte des valeurs qui peuvent clairement cadrer un certain nombre d'évolutions sur le respect des droits et libertés, comme avec le RGPD. Une bonne partie de la révolution industrielle repose non pas simplement sur l'économie numérique mais sur le développement de nos grandes entreprises et PME qui peuvent, grâce au numérique, devenir des acteurs de cette économie.

Nous avons développé des actions pour l'intelligence artificielle en France, avec une vingtaine d'écoles à horizon 2021, et avec des partenaires comme Orange ou Capgemini. Dans le cadre du service civique, nous prévoyons de sensibiliser un million de jeunes au numérique. De nombreuses actions peuvent être menées pour ne pas perdre cette bataille du numérique.

M. Gérard Longuet, rapporteur. - Quel niveau de formation visez-vous dans ces écoles ?

M. Marc Mossé. - Les écoles sont sans prérequis. La première est celle d'Issy-les-Moulineaux, avec 24 étudiants. La scolarité comprend 7 mois de scolarité et 12 mois en alternance. Tous les jeunes ont trouvé un emploi, sauf un... qui a créé sa startup. Nous souhaitons implanter des écoles sur les territoires et avons déjà des écoles à Nantes, Castelnau-le-Lez, Biarritz, Lyon... L'objectif est de former des jeunes avec des partenaires, modèle qui peut être dupliqué dans d'autres pays d'Europe.

La nouvelle Présidente de la Commission européenne parlait d'un triplement du programme Erasmus + et des pistes méritent effectivement d'être explorées, notamment pour l'apprentissage, mais aussi pour les salariés déjà en poste dont les métiers vont se transformer. La souveraineté passe aussi par l'importance accordée à la question de la formation qui doit être prioritaire. La transformation digitale constitue une chance pour nos entreprises.

M. Franck Montaugé, président. - Vous détenez un moteur de recherche qui fonctionne, lui, très classiquement dans ce secteur, sur le modèle de l'économie de l'attention, avec des publicités ciblées et l'exploitation des données personnelles. Pensez-vous qu'avec une confiance accrue à l'égard des internautes, il serait possible de se passer de la publicité ciblée pour concevoir une logique de moteur de recherche différente ?

M. Marc Mossé. - Nous avons conclu un partenariat avec Qwant, moteur de recherche français dont l'approche est celle que vous évoquez. Nous lui fournissons des capacités technologiques - puisque nous lui permettons d'être sur notre Plateforme Azure pour renforcer la capacité de calcul.

Plusieurs modèles existent, qui répondent aux attentes diverses des citoyens. L'intérêt du positionnement de Qwant est de montrer qu'il existe des alternatives. Imaginer d'autres façons de pratiquer la recherche sur Internet constitue une piste intéressante. C'est un écosystème en évolution permanente, la compétition est très forte et il convient de répondre aux aspirations des citoyens.

M. Gérard Longuet, rapporteur. - L'univers numérique a-t-il réfléchi à la possibilité que les utilisateurs paient pour un moteur de recherche ? La gratuité est attractive pour le consommateur, mais comprend effectivement des contreparties. Les citoyens, eux, ont peut-être envie de payer pour accéder à un service avec une économie différente et un classement peut-être plus neutre, ou en tous cas moins tributaire des logiques à l'oeuvre chez les autres moteurs de recherches. Un tel modèle vaut pour certaines encyclopédies en ligne. Ce modèle a-t-il du sens ?

M. Marc Mossé. - Votre question ouvre de nombreux champs. Le numérique reflète nos sociétés. Il existe des modèles « freemium » avec un accès d'abord gratuit puis un paiement pour un service d'une autre nature, ou offrant des fonctionnalités complémentaires ou un contenu plus riche. Ce modèle s'impose d'ailleurs progressivement dans la presse avec une approche différenciée.

Au cours des dernières années, la montée en puissance de la dimension citoyenne me paraît aussi très forte : pendant longtemps, les avantages immédiats de la gratuité ont été observés. Pour différentes raisons, liées notamment à la protection des données personnelles ou au pluralisme, les aspirations citoyennes ont ensuite pris de l'importance.

La cybersécurité n'est plus un sujet de spécialistes, d'entreprises ou d'États. Avec la place de la presse ou la lutte contre les fake news, ces questions ont pris une autre dimension. Dans le cadre du Forum de Paris de la paix - qui réfléchit à de nouveaux modes de gouvernance - ceci a abouti à la signature par 66 États, 347 entreprises et 130 ONG et think tank d'un accord pour travailler ensemble sur ces sujets, avec une approche multipartite. La souveraineté des États demeure, mais la manière de mettre en oeuvre les attributs de la souveraineté évolue, ainsi que la manière de garantir les droits dans un monde numérique. Le multilatéralisme - en crise à certains égards, peut être complété et renforcé par cette approche.

D'une certaine manière, la souveraineté numérique, c'est la « souveraineté augmentée » grâce au numérique, puisque son coeur - la garantie des droits - peut être renforcé par le numérique et la participation des citoyens.

M. Gérard Longuet, rapporteur. - La citoyenneté repose quand même sur l'impôt qui donne le droit de participer à la collectivité et de la faire fonctionner...

Pourquoi Microsoft n'a-t-il pas, il me semble, réussi dans le système d'exploitation des smartphones alors que ce type de terminal est de plus en plus décisif aujourd'hui ?

Notre commission a découvert que vous étiez un très gros investisseur dans les câbles sous-marins : quel est votre objectif en la matière ?

M. Marc Mossé. - Sur la question relative au système d'exploitation des mobiles, d'autres acteurs ont pris des parts de marché, et la compétition est très vive. Le choix que nous avons effectué, avec des applications fonctionnant sur tous les systèmes d'exploitation, est un mode très interopérable et compatible avec les développements open source. Nous sommes un des principaux contributeurs de Linux et avons acquis GitHub, principale plateforme de développement pour les développeurs open source. La plateforme Azure fonctionne avec de nombreux langages open source.. Face à cette innovation permanente, nous avons su trouver d'autres modèles et une place différente dans un univers conçu autour du cloud et de l'accès à différentes applications, sur les différentes plateformes. L'un des enjeux consiste à donner accès à la puissance de calcul qui permet le développement des applications propres aux entreprises. Le cloud n'est pas seulement du stockage, mais c'est aussi du « Software as a Service » et une « plateforme as a Service », permettant de développer des applications à moindre coûts.

Concernant les câbles sous-marins, la question des infrastructures est aujourd'hui évidemment essentielle. Nous disposons de datacenters partout dans le monde - avec notamment trois datacenters en France - et la question de la circulation et de l'accès à ces données est devenue essentielle.

M. Gérard Longuet, rapporteur. - Vous n'en aviez pas ressenti le besoin jusque-là ?

M. Marc Mossé. - Il s'agit de répondre à notre plan de charge avec la perspective d'offrir le meilleur service. Nous fonctionnons beaucoup avec des partenariats en fonction des caractéristiques des câbles nécessaires. Pour plus de précisions techniques, je vous transmettrai la réponse par écrit.

M. Gérard Longuet, rapporteur. - Les opérateurs télécom ont le sentiment, peut-être caricatural, de construire des autoroutes sur lesquelles vous circulez plus ou moins gratuitement.... Or, vous vous mettez maintenant à construire vous-mêmes ! C'est honorable mais aurez-vous les mêmes contraintes ?

M. Marc Mossé. - Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 15

Audition de MM. Laurent Degré, directeur général, Guillaume de St Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cybersécurité et Bruno Bernard, directeur des affaires publiques, de Cisco France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Cisco France : Laurent Degré, directeur général, Guillaume de Saint Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cyber-sécurité, Bruno Bernard, directeur des affaires publiques, et Pascale Serot, responsable sécurité et défense. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à prêter serment, chacun à votre tour, de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Degré, Guillaume de Saint Marc, Jean-Charles Griviaud et Bruno Bernard, et Mme Pascale Serot prêtent serment.

Cisco, même si elle n'est pas désignée dans l'acronyme Gafam, fait partie des grandes entreprises américaines du numérique, en tant que fournisseur d'équipements réseaux pour internet. Nous souhaitons vous interroger sur des sujets sensibles, sur lesquels, peut-être, vous pourrez nous rassurer.

Comme l'avait noté notre collègue Catherine Morin-Desailly dans son rapport intitulé L'Europe au secours de l'Internet, l'affaire Snowden a révélé que la National Security Agency (NSA) aurait pu utiliser des équipements Cisco pour espionner les alliés des États-Unis. Pouvez-vous nous assurer que vos équipements, très présents dans les coeurs de réseaux de nos opérateurs télécoms, sont désormais exempts de tout risque ?

La portée extraterritoriale de lois comme le Patriot Act ou, plus récemment, le Cloud Act représente un sujet d'inquiétude. Êtes-vous en mesure de garantir que les données sensibles qui passent par des serveurs de Cisco en Europe ne peuvent pas être saisies par les autorités américaines ? Cisco France a-t-il déjà donné suite à de telles demandes en dehors des procédures de coopération judiciaire ? Comment conciliez-vous les obligations contradictoires découlant des normes américaines et de la législation européenne du Règlement général sur la protection des données (RGPD) ? Pouvez-vous nous rassurer sur le fait que le gouvernement américain ne peut vous contraindre à faire primer l'intérêt des États-Unis sur celui de la France ou de l'Europe ?

M. Laurent Degré, directeur général de Cisco France. - C'est pour nous un honneur d'être invités en tant que citoyens et représentants d'une entreprise américaine qui contribue à la transformation numérique des entreprises françaises. Nous sommes venus avec des représentants de la cyber-sécurité, de l'innovation et des relations avec le Gouvernement, pour apporter un maximum d'expertise à nos réponses, dans un souci de transparence. Le débat sur la souveraineté numérique apparaît, en effet, aussi important que complexe ; il interroge les notions de territoire et d'application des lois dans un monde numérique fondé sur l'échange de données, en quelques millisecondes, par-delà les frontières. Le numérique représente une source d'innovation, qu'il convient de préserver lorsqu'il s'agit de réfléchir en termes de régulation, de cloisonnement et de sécurité.

Cisco est une société américaine fondée en 1984, dont l'activité initiale consistait à relier les applications connectées des campus universitaires au démarrage de l'Internet. Ont ainsi été créées les fameuses autoroutes de l'information. L'entreprise compte environ 70 000 salariés, dont 26 000 ingénieurs, dans 164 pays et possède 19 000 brevets. Cisco France emploie 650 collaborateurs et travaille avec 1 200 partenaires, auxquels l'entreprise fournit des solutions numériques. Nous disposons également d'un laboratoire de recherche et développement, placé sous la direction de Guillaume de Saint Marc, et d'un trust office chargé de la transparence, du respect des standards et des relations avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'agissant de la mise en conformité et de l'autorisation des produits que nous déployons. Nos clients sont des entreprises de toutes tailles, des administrations et des opérateurs télécom - c'est d'ailleurs grâce à ces derniers clients que nous avons développé nos relations avec l'Anssi. La France possède des champions du numérique, des super-calculateurs et de la cyber-sécurité, des acteurs de confiance qui sont nos partenaires. Nous pouvons en être fiers ! De même, l'Anssi représente un modèle pour l'Europe et pour le monde, grâce à la qualité des ingénieurs et de la certification que beaucoup de pays nous envient. La collaboration avec l'Anssi a contribué à faire progresser nos équipes. Enfin, Cisco investit massivement en France pour développer le réseau des start-up, où les talents sont multiples.

Le RGPD représente un élément important de la souveraineté numérique européenne, comme la directive « E-evidence », qui améliorera la transparence. Nous avons mis en place depuis quelques mois une procédure de réponse aux demandes de l'administration américaine qui pourraient intervenir dans le cadre du Cloud Act. À ce jour, cela ne s'est jamais produit. Dans un tel cas, nous regarderons d'abord où se trouvent les données incriminées. Cisco ne fait pas commerce de la donnée, mais la transporte et la sécurise, tandis que nos partenaires installent des solutions applicatives dans le cloud. Dans la majorité des cas, les données se trouvent donc chez le client : nous n'y avons alors pas accès et l'administration américaine devra nouer relation avec ledit client. Lorsque Cisco hébergera les données concernées, la demande sera traitée au cas par cas après une analyse du type de données et de la pertinence et de la légitimité de la requête. Nos juristes et nos avocats entreront alors dans un dialogue avec l'administration américaine et, le cas échéant, une notification sera envoyée au client.

M. Franck Montaugé, président. - La notification ne sera pas envoyée d'emblée au client ?

M. Laurent Degré. - Si, dès lors que nous n'avons pas d'interdiction de communiquer l'information au client.

M. Gérard Longuet, rapporteur. - Vous êtes à la fois équipementier et hébergeur ?

M. Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France. - Nous fournissons différents types de solutions principalement comme équipementier, ainsi que certains services pouvant se trouver dans le cloud pour lesquels les données nous seront accessibles. Cela dépend de la demande du client.

M. Laurent Degré. - Vous avez évoqué l'affaire Snowden. Sachez d'abord que nous ne développons que des produits standards, nous ne développons jamais une plateforme ou un logiciel spécifique pour un client donné.

M. Jean-Charles Griviaud. - Cisco opère dans 160 pays et développe effectivement les mêmes produits quels que soient la localisation géographique et le client destinataire du service

La confiance est devenue un enjeu majeur pour nos clients, sensibilisés par la médiatisation des faits divers et le travail remarquable réalisé par l'Anssi, avec des conséquences sur le niveau d'exigence attendu des fournisseurs. Nous souhaitons donc être identifié, par nos clients, comme un acteur de confiance. À cet effet, notre stratégie s'appuie sur des doctrines de sécurité qui visent à rendre visibles nos procédures industrielles, de la conception à la réalisation des produits, et à disposer de technologies de protection de ces mêmes produits, notamment des éléments physiques d'identité numérique permettant de vérifier l'authenticité d'un équipement matériel comme d'un logiciel. Nos produits sont construits sur des standards ; Cisco est d'ailleurs un important contributeur de l'open source. En cas de vulnérabilité constatée, nous assurons un traitement transparent selon une procédure centralisée auprès d'une équipe unique. Elle qualifie les mesures de correction nécessaires et communique l'information à l'industrie. Les entreprises et les agences ont, par ailleurs, accès à nos bases de vulnérabilité mises régulièrement à jour.

M. Gérard Longuet, rapporteur. - Qu'est-ce qu'une vulnérabilité ?

M. Jean-Charles Griviaud. - Quand une défaillance peut entraîner un acte de malveillance, il s'agit d'une vulnérabilité.

M. Gérard Longuet, rapporteur. - Ces vulnérabilités sont découvertes au fil du temps ?

M. Jean-Charles Griviaud. - Les vulnérabilités nous sont communiquées par différents canaux - par des tests de régression en interne, par des tests réalisés par nos partenaires sur nos équipements ou par nos clients - et sont ensuite traitées et notifiées de façon centralisée par le computer emergency response team (CERT). Notre trust office peut donner, si nécessaire, des explications plus précises, notamment à l'Anssi.

Le troisième pilier de notre stratégie de transparence concerne la vérification par des audits extérieurs et par des programmes internes d'analyse en profondeur des équipements. Cela permet à une agence ou à un client de contrôler si un équipement est architecturé correctement ou si un service correspond à ses attentes. Nous soumettons aussi nos produits aux autorités de certification, soit l'Anssi en France - nous travaillons également avec l'Agence dans le cadre du régime d'autorisation prévu par l'article R. 226-3 du code pénal. Les certifications internationales permettent d'éviter de dupliquer les efforts et de simplifier la gestion. Certains produits, comme nos routeurs ou nos switchs, ne sont pas soumis aux certifications, mais sont utilisés par des opérateurs d'importance vitale dans leurs infrastructures ; nous sommes donc disponibles pour renseigner les clients, ainsi que l'Anssi, sur les modalités de leur fabrication.

M. Franck Montaugé, président. - Vous faites allusion à la norme internationale ISO 27000 ?

M. Jean-Charles Griviaud. - Notamment, car il existe différents types de certification : par entreprise, comme la norme ISO, ou par produits. Notre mission consiste à répondre aux besoins de certification de nos clients.

M. Stéphane Piednoir. - Pourriez-vous nous fournir un éclairage complémentaire sur les structures qui centralisent les vulnérabilités ? Quel est leur niveau de protection ?

En 2015, Cisco a passé un accord avec le gouvernement français, portant notamment sur un investissement de 200 millions de dollars dans des start-up françaises. Quel montant a été réellement investi par votre entreprise ? Avez-vous pris des participations minoritaires ou majoritaires dans ces sociétés ? En janvier, votre groupe a promis un nouvel investissement à hauteur de 61 millions d'euros. Qu'en est-il ?

M. Jean-Charles Griviaud. - Notre point de contact direct, lorsqu'un défaut apparaît, est le centre opérationnel de l'Anssi qui gère les relations avec le CERT. Celui-ci représente, au niveau d'un pays, un guichet unique pour le recensement des vulnérabilités et l'émission de recommandations. C'est un organisme de confiance. Il existe également un CERT européen. Nous souhaitons communiquer sur les vulnérabilités car, en matière de sécurité, le partage des informations fonctionne mieux que l'obscurité.

M. Laurent Degré. - La communication sur ces vulnérabilités s'organise sans aucun favoritisme pour une entreprise ou une administration donnée.

S'agissant des investissements, nous avons lancé un programme pluriannuel pour soutenir les nombreux talents français et stimuler l'innovation dans le secteur numérique. Nous avons ainsi investi au travers de fonds - comme Partech ou Idinvest - qui ont sélectionné les start-up en fonction de critères. Via la Cisco Networking Academy, nous avons également formé, depuis 2015, plus de 180 000 personnes aux métiers du numérique - sans se limiter uniquement aux produits Cisco - dans le cadre des programmes universitaires, des écoles d'ingénieurs, des centres de formation des apprentis (CFA) et des collèges. Il est très important de sensibiliser nos jeunes aux notions de cyber-sécurité et de souveraineté, et aux avantages et inconvénients du numérique. Par ailleurs, nous avons directement investi dans quelques start-up, comme Actility qui intervient dans le secteur des objets connectés. Enfin, nous avons créé une chaire avec l'école Polytechnique dans les domaines de la formation et du développement.

M. Guillaume de Saint Marc, directeur de l'innovation de Cisco France. - Le Lab Cisco a été inauguré en octobre 2015 par Emmanuel Macron, alors ministre de l'économie. Depuis, les investissements ont été maintenus et intensifiés. Avec la Cisco Networking Academy, nous visons un effet quantitatif de formation des personnes à des technologies standards. Le Lab vise davantage un effet qualitatif ; depuis le début de l'année 2019, trois jeunes doctorant en sont sortis, dotés du diplôme de Polytechnique et de l'école d'application Télécom ParisTech. Ces ingénieurs font partie de l'élite mondiale en matière de réseau et nous sommes heureux que l'un d'entre eux ait intégré notre société.

En ce qui concerne les investissements dans les start-up, nous avions reçu, en 2015, le message clair que leur développement constituait un enjeu national. Nous avons investi via des fonds - ceux déjà cités mais aussi le Paris-Saclay Seed Fund, directement, comme dans la société Actility précitée. Nous avons également l'intention d'acquérir la société Sentryo. Pour autant, notre objectif est davantage de collaborer de manière complémentaire avec les start-up que de les racheter : nous pouvons leur proposer l'accès à des opportunités commerciales, tandis qu'elles nous permettent d'augmenter notre portefeuille de produits avec des solutions pointues.

M. Franck Montaugé, président. - Je crois savoir que vous essayez d'innover en appuyant votre développement de la 5G sur le réseau 4G existant avec, notamment, des objectifs de déploiement en zone rurale. Pourriez-vous nous en dire davantage ?

M. Guillaume de Saint Marc. - Le projet auquel vous faites référence a été développé sur le territoire anglais. Il s'agit d'un pilote visant à modéliser le déploiement de la 5G. De fait, la 5G représente probablement la première technologie mobile cellulaire qui ne sera pas principalement financée et justifiée économiquement par le grand public, mais par la numérisation des entreprises. L'enjeu consiste donc à mettre la 5G à leur service. C'est le sens de l'appel à projets lancé par le gouvernement britannique, que nous avons gagné avec un consortium. En travaillant sur les seuls secteurs du tourisme, de l'agriculture, de l'énergie et des transports, il s'agissait de trouver un modèle économique pour le déploiement de la 5G dans les territoires ruraux. Des expérimentations techniques ont eu lieu et nous attendons les modélisations économiques confiées à des universités. Le projet semble effectivement prometteur, raison pour laquelle nous l'avons présenté au salon Vivatech.

M. Laurent Degré. - S'il était besoin d'évaluer davantage ce type de plateforme, nous le ferions volontiers.

M. Gérard Longuet, rapporteur. - Quel est le pourcentage de votre chiffre d'affaires réalisé dans les différentes régions du monde ? Quels sont, pour vous, les pays leaders ?

M. Laurent Degré. - Schématiquement, 60 % de notre chiffre d'affaires provient de l'Amérique du Nord, où est installée la majorité des équipes d'ingénieurs et de développement ; vient ensuite la zone constituée par l'Europe, le Proche et le Moyen-Orient et la Russie, puis la zone Asie et Pacifique. En Europe, les pays moteurs pour le chiffre d'affaires sont l'Allemagne et la Grande-Bretagne, suivies de la France. Notre pays se situe toutefois en tête en matière d'innovation et de recherche : le Lab français représente près d'un quart des ressources en la matière.

La réunion est close à 15 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de M. Weiliang Shi, directeur général de Huawei France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Huawei France : MM. Weiliang Shi, directeur général, Benjamin Hecker, directeur juridique et de la protection des données, et Gwenaël Rouillec, directeur de la cybersécurité.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc, à tour de rôle, à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure.». Conformément à la procédure applicable aux commissions, M. Weiliang Shi prête serment.

M. Franck Montaugé, président. - Monsieur Shi, vous êtes directeur général de la filiale française de Huawei, l'un des géants chinois du numérique avec Baidu, Alibaba, Tencent et Xiaomi. Présente dans les équipements réseaux, mais aussi dans les smartphones ou dans le Cloud, l'entreprise connaît une croissance impressionnante et emploie aujourd'hui nombre de nos concitoyens. Elle est actuellement au coeur de la guerre technologique que se font les États-Unis et la Chine. Notre commission ne pouvait donc faire l'impasse sur votre audition.

Nous devons vous interroger sur des sujets, sur lesquels, peut-être, vous pourrez nous rassurer, alors que nous devrions adopter ce mois-ci définitivement la proposition de loi sur la sécurité des réseaux « 5G » - ce texte, je le rappelle, ne vise aucune entreprise en particulier mais fixe plutôt un cadre général pour garantir la confiance dans la technologie.

La question des liens de votre entreprise avec le Gouvernement chinois ne cesse de défrayer la chronique. Deux points ont particulièrement émergé dans le débat public : qui détient l'entreprise et quel est l'impact de la loi chinoise de 2017 sur le renseignement.

Sur le premier point - qui détient l'entreprise -, dans un article publié en avril dernier, deux chercheurs américains ont montré que la holding de votre entreprise est détenue à 1% par son fondateur Ren Zhengfei et à 99% par une entité appelée « comité syndical », dont on sait peu de choses. Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État - ils parlent au conditionnel. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, lesquels détiennent seulement ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices. Pouvez-vous nous éclairer sur ce point important : qui détient le pouvoir de décision in fine dans l'entreprise Huawei ?

Le second point porte sur la loi chinoise sur le renseignement de 2017, qui génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Êtes-vous en mesure de garantir que les données qui passent par vos équipements et vos serveurs ne seront pas utilisées par le Gouvernement chinois ? Si vous - en tant que personne physique ou en tant que personne morale - recevez une requête d'assistance du Gouvernement chinois, comment pouvez-vous la refuser ? Ces obligations sont-elles compatibles avec les normes européennes telles que le règlement général sur la protection des données (RGPD) ?

M. Weiliang Shi. - Nous vous remercions vivement de nous recevoir dans le cadre des travaux de la commission d'enquête sur la souveraineté numérique. C'est avec plaisir que nous avons accueilli votre invitation à participer à cette audition qui sera, je l'espère, l'occasion de faire tomber quelques barrières.

Je débuterai mon propos par une rapide présentation des activités de notre groupe. Comme vous le savez, Huawei est le leader mondial des équipements télécoms et le deuxième fabricant de smartphones. Basé à Shenzhen, le groupe, créé en 1987, compte aujourd'hui près de 190 000 employés dans plus de 170 pays. Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif.

S'agissant de la filiale française, Huawei Technologies France est une société par actions simplifiée unipersonnelle inscrite au registre de commerce de Nanterre. En France depuis 2003, Huawei emploie près de 1000 personnes réparties entre différents sites implantés à Boulogne Billancourt, Paris, Nice, Lyon et Grenoble. Les activités sont principalement commerciales, mais nous disposons aussi de centres de recherche et développement spécialisés en design, en traitement de l'image, en mathématiques, en standardisation et en capteurs.

L'ADN de Huawei est la recherche et l'innovation. La première valeur de l'entreprise est le client. Spécialisée dans les nouvelles technologies, notre activité ne peut exister ni se pérenniser sans cybersécurité. C'est pourquoi nous appliquons à tous nos produits et procédures les standards internationaux les plus élevés en matière de sécurité, et imposons à tous nos collaborateurs à travers le monde le respect de règles de sécurité et de conformité extrêmement strictes, dont le RGPD est l'un de nos standards au niveau mondial.

Huawei investit 15 % de son chiffre d'affaires annuel dans la recherche et le développement : en 2018, cela représentait près de 13 milliards d'euros.

La stratégie commerciale de Huawei n'est pas fondée sur des acquisitions d'entreprises. Au contraire, elle est basée sur le développement d'écosystèmes à travers le monde, le transfert de notre savoir-faire et la volonté de nous implanter durablement.

Si nous sommes plus compétitifs, c'est parce que nous permettons à nos clients de faire des économies d'échelle en utilisant des produits très innovants adaptés à leurs besoins. Huawei est un acteur de la souveraineté numérique des pays dans lesquels nos matériels sont installés. Nous développons, en effet, des produits adaptés aux demandes des clients, appliquant les standards de sécurité les plus élevés, respectant les normes de chaque pays dans lesquels ils sont installés. Nous incitons aussi nos clients, publics comme privés, à assurer un niveau de sécurité élevé des matériels et réseaux qu'ils opèrent. J'attire, par ailleurs, votre attention sur le fait que Huawei est l'entreprise dont les matériels ont été le plus testés à travers le monde, tant en matière de certification, que par des tests menés par nos clients.

Contrairement à ce qui a pu être dit ou sous-entendu, Huawei a toujours joué la carte de la transparence et compte bien tenir cette ligne de conduite. Il nous appartient de rassurer les pouvoirs publics sur la qualité et la sécurité de nos matériels, comme de nos services. C'est pourquoi nous avons ouverts plusieurs centres de test, le dernier à Bruxelles, afin de permettre aux agences étatiques et à nos clients de pouvoir vérifier et tester nos codes sources.

En outre, Huawei contribue de manière inclusive et transparente avec tous les acteurs du secteur à l'amélioration des standards internationaux. Huawei collabore en effet activement aux travaux du 3GPP (3rd Generation Partnership Project), et échange régulièrement avec les services de l'Agence nationale des fréquences, de l'Autorité de régulation des communications électroniques et des postes ou encore de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la direction générale des entreprises.

Notre volonté est de favoriser l'éclosion d'un écosystème de start-ups françaises qui seront, selon nous, les acteurs de la souveraineté numérique de la France de demain. Contrairement à nombres d'acteurs des nouvelles technologies, notre activité n'est pas fondée sur la cession des données à des fins commerciales. Au contraire, Huawei propose des briques technologiques innovantes qui permettent aux acteurs du numérique de pouvoir les intégrer dans les solutions qu'ils développent eux-mêmes.

Vous l'aurez compris, Huawei est un acteur majeur des nouvelles technologies tant au niveau mondial qu'en France. C'est la raison pour laquelle nous signerons dans les tous prochains jours l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Accompagné de Gwénaël Rouillec, directeur de la cybersécurité, et Benjamin Hecker, directeur juridique et protection des données de Huawei France, je serais heureux de répondre à vos questions. Je vous remercie de votre attention.

M. Benjamin Hecker.- Nous vous remercions de votre question sur la loi de 2017 pour l'analyse de laquelle nous avons missionné plusieurs cabinets d'avocats. Cette loi est liée aux impératifs de sécurité nationale définis par le Gouvernement chinois ; elle a donc vocation à s'appliquer strictement en Chine. À l'inverse du Cloud Act qui présente des effets extraterritoriaux, cette loi s'applique indistinctement à tout individu ou à toute organisation uniquement implantée en Chine, quelle que soit sa nationalité. Il lui est ainsi demandé de collaborer à des enquêtes dont l'objet porte sur des impératifs de sécurité nationale. La demande d'informations sur nos clients français par le Gouvernement, que vous évoquez dans votre question, n'existe donc pas. Elle n'est nullement prévue dans le texte de la loi de 2017, comme nous le confirment d'ailleurs les analyses de ces cabinets d'avocats. Nous nous félicitons également de la récente confirmation, par le premier ministre chinois lui-même, de l'absence d'effet extraterritorial des dispositions de la loi de 2017. Celui-ci a en outre précisé que les individus situés en dehors de la Chine ne devaient pas collaborer à des enquêtes se déroulant en Chine.

M. Weiliang Shi. - Nous n'avons jamais reçu, ni du groupe lui-même ou du gouvernement chinois, de demande de transfert de données. D'ailleurs, nous ne pourrions l'accepter, puisque nous n'appliquons que la loi française.

M. Gérard Longuet, rapporteur. - Je souhaiterais mieux comprendre l'entreprise Huawei qui est un remarquable succès mondial. Quelles sont les parts respectives du chiffre d'affaires de votre groupe réalisées en Chine et à l'international ?

M. Weiliang Shi.- En 2018, le chiffre d'affaires global a atteint 108 milliards de dollars, dont la moitié est issue de nos activités extérieures à la Chine.

M. Gérard Longuet, rapporteur.- Quelle part représente l'Europe dans ce chiffre d'affaires ?

M. Weiliang Shi.- Dans l'organisation de notre groupe, l'Europe est scindée en deux directions régionales distinctes : la première couvre l'Europe de l'Ouest, tandis que la seconde couvre le reste des pays européens, hors Russie ; celle-ci étant considérée comme une région à part entière, à l'instar de la région Pacifique et de la région Afrique.

M. Gérard Longuet, rapporteur.- Vous considérez-vous comme une entreprise d'équipements ou de services qui vend aussi des équipements ? Quelle est la part de services, soit de conception, soit d'hébergement, dans votre chiffre d'affaires ?

M. Weiliang Shi. - Notre modèle économique vise à vendre nos infrastructures matérielles, avec un transfert de savoir-faire. Nos services - d'installation, de formation - s'articulent autour de cette activité.

M. Gérard Longuet, rapporteur. - La première question relative à l'actualité est le fait que vous vendez des téléphones en dehors de la Chine dotés du système d'exploitation Android. Pensez-vous qu'il soit possible d'obtenir, en Europe, voire au-dehors de la Chine, des systèmes d'exploitation qui se libéreraient d'Android ?

M. Weiliang Shi. - Il n'existe, pour l'heure, que deux systèmes d'exploitation : l'iOS et Android. Pour Huawei, s'il n'est pas difficile de créer un troisième système, il est en revanche plus malaisé d'obtenir l'écosystème des applications, qui est la brique clef. La création d'un nouveau système ne permettrait pas nécessairement de se connecter aux applications existantes sur les autres systèmes. Dès lors, un téléphone doté d'un nouveau système et privé des autres applications ne serait acheté par personne !

M. Gérard Longuet, rapporteur.- Pensez-vous possible de survivre au refus d'un équipement iOS ou Android en Europe ?

M. Weiliang Shi.- Tel n'est pas notre souhait. Notre stratégie est avant tout de nous intégrer à des écosystèmes existants. S'il nous était interdit d'utiliser les systèmes d'exploitation existants, alors il nous faudrait en créer un nouveau, tout en veillant à raccorder les applications issues des écosystèmes préexistants.

M. Patrick Chaize. - Nous avons auditionné Google qui affirme que l'accès à son système d'exploitation est libre, même si ses mises à jour, notamment de sécurité, ne le sont pas. Si jamais un durcissement de la situation venait à se produire, resteriez-vous dans cet écosystème ou seriez-vous en mesure d'en créer un autre ?

M. Weiliang Shi.- L'écosystème représente la clef des systèmes d'exploitation. J'affirme également que le système Android est en open source et Huawei est l'un de ses principaux contributeurs. Le problème réside dans l'utilisation des applications, suite à la décision américaine. Or, personne n'achètera un téléphone privé d'applications !

M. Gérard Longuet, rapporteur. - Dans un autre secteur tout à fait différent, nous observons que les grands opérateurs du numérique investissent dans les câbles sous-marins de communications électroniques. À l'inverse, votre entreprise a récemment décidé de céder une partie de son activité à Hengtong, un autre acteur chinois du secteur. Pourquoi avoir procédé à une telle cession ?

M. Weiliang Shi. - Notre stratégie s'est focalisée sur ses trois piliers fondateurs : les connectivités, en particulier les technologies mobiles - de la 2G à la 5G, en passant par la fibre optique et les réseaux télécoms -, le stockage des données et les terminaux. Nous nous sommes donc recentrés.

M. Gérard Longuet, rapporteur. - Vous n'estimez donc pas la propriété des réseaux comme décisifs ?

M. Weiliang Shi.- Tout dépend de la nature des réseaux. Alors que les réseaux télécoms fournissent notre coeur d'activité, le câble sous-marin ne figure plus dans notre stratégie.

M. Gérard Longuet, rapporteur. - Dans votre présentation, vous avez indiqué que Huawei appartenait pour partie à ses 96 000 salariés, soit près de la moitié de ses personnels. Comment fonctionne une telle démocratie économique au sein de votre entreprise ?

M. Franck Montaugé, président. - Qui possède, au final, votre entreprise ?

M. Weiliang Shi. - L'entreprise est détenue à la fois par ses employés et son fondateur, lequel n'en possède qu'1,14 %. Elle est donc à 100 % privée. Le gouvernement chinois ne dispose ainsi d'aucun pouvoir ni d'aucune action dans Huawei.

M. Gérard Longuet, rapporteur.- Le gouvernement chinois, ou les banques chinoises, sont-ils créanciers de l'entreprise ? S'il est vrai que la participation des salariés contribue fortement à la cohésion de la société, elle n'est pas en mesure de soutenir le développement, fortement capitalistique, de vos activités. Comment faîtes-vous pour vous développer en termes de capitaux ?

M. Benjamin Hecker. - Les 96 000 salariés sont regroupés dans une coopérative gérée par un comité élu de 115 représentants qui eux-mêmes s'organisent avec un bureau qui gère l'entité. Aujourd'hui, ce comité est l'organe le plus élevé de la société. Il assure la désignation des membres du conseil d'administration et du conseil de surveillance de Huawei.

M. Gérard Longuet, rapporteur.- Sur le financement de ce secteur aux technologies extrêmement évolutives, l'appel aux capitaux extérieurs est une nécessité. Vos salariés, quand bien même ils seraient nombreux et bien payés, ne peuvent soutenir de tels investissements.

M. Benjamin Hecker. - En effet, la société s'autofinance, en réinvestissant ses revenus dans son développement. Néanmoins, 70 à 80 % des banques qui nous soutiennent sont d'origine non chinoise, parmi lesquelles se trouvent des banques françaises.

M. Franck Montaugé, président.- Compte tenu de l'organisation politique souveraine qui est la vôtre, le Parti communiste chinois est présent dans chaque entreprise et influence le choix de ses dirigeants qui peuvent par ailleurs être élus. Huawei fait-elle exception par rapport à cette règle ?

M. Weiliang Shi. - La loi chinoise oblige les entreprises à avoir un comité du Parti en son sein. Huawei ne fait pas exception. Celui-ci joue un rôle analogue à celui d'un comité d'entreprise en France et ne prend pas part à la décision stratégique.

M. Gérard Longuet, rapporteur.- Je reviens sur le rôle de l'État chinois. Le département d'État aux États-Unis est un acteur du secteur des hautes technologies, en agissant sous forme d'achats préférentiels ou de subventions. Comme j'ai pu le constater comme ministre de l'industrie ou de la défense, les entreprises françaises savent également se tourner vers l'État pour obtenir des soutiens et des financements. Ma question est importante : Huawei s'efforce-t-elle, comme les autres entreprises américaines ou françaises, de bénéficier des subventions, de ligne de crédits ou d'achats prioritaires de son propre gouvernement ? Ce ne serait pas choquant, puisque les autres pays le font.

M. Weiliang Shi. - Nos produits sont destinés uniquement à l'usage civil et sont ainsi développés selon des standards civils. Ils ne sont donc pas voués à équiper la défense chinoise. Nous participons ainsi à la définition des normes du 3GPP et du GSM Association (GSMA) uniquement pour le secteur civil.

M. Gérard Longuet, rapporteur. - Les pouvoirs publics chinois sont-ils vos clients ?

M. Weiliang Shi. - Ils peuvent l'être, en achetant les serveurs et les capacités de stockage pour leur utilisation, avec les standards civils. Nous ne concevons pas d'équipements spécifiquement destinés aux pouvoirs publics. En outre, nous ne bénéficions d'aucune subvention du gouvernement chinois ou de la banque chinoise.

M. Pierre Ouzoulias. - Sur un plan géostratégique, nous avons l'impression que deux grands blocs se constituent et ce, pour des motifs essentiellement capitalistiques : l'un autour des Gafam, soutenus par le gouvernement américain - qui n'hésite à brandir des menaces de représailles économiques à l'occasion notamment de l'annonce, par Paris, du projet de taxer ces Gafam - et un autre qui rassemble les autres acteurs du numérique. L'Europe semble ainsi être le champ de bataille de ces deux blocs, comme nous ne pouvons que le constater, en raison de la modicité de nos investissements dans la technologie numérique qui nous prive des premiers rôles dans ce secteur. D'ailleurs, nous le regrettons tous collectivement et c'est sans doute l'une des raisons de la constitution de cette commission ! Dans ce conflit qui touche l'Europe, estimez-vous que le RGPD, l'open source et l'interopérabilité, fournissent des moyens de défense contre les Gafam et l'opportunité de proposer aux consommateurs européens un modèle numérique concurrentiel offrant une sécurité accrue par rapport à ce que proposent les Gafam ?

M. Weiliang Shi. - Personne n'aime la guerre économique et ou numérique pour investir. Nous investissons, notamment en France où, depuis 2003, nous avons créé trois bureaux de recherche, dans le coeur de nos activités, ainsi qu'un Open Lab qui permet de travailler avec nos clients et partenaires en faveur de l'innovation. Nous allons ainsi poursuivre nos investissements, comme l'a annoncé notre président Ken Hu, à hauteur de 35 millions de dollars dans cet Open Lab.

M. Benjamin Hecker. - Il est sans doute opportun de changer de modèle et d'assurer une plus grande protection des données. De ce fait, Huawei a décidé d'appliquer les règles du RGDP et d'en faire un standard au niveau mondial. Nous appliquons donc les programmes de conformité indistinctement dans nos différentes filiales. Nous pensons que le RGPD, à l'instar de la loi de 1978, est un formidable levier pour protéger les consommateurs et leurs données, dans leur transit à travers des réseaux ou des applications. La protection des données dépasse la simple obligation légale pour participer à la responsabilité sociale de l'entreprise, au même titre que les problématiques éthiques. Huawei est principalement un fournisseur d'équipements. Il importe donc que leur niveau de sécurité assure la protection des données de nos clients. En ce sens, nous avons mis en place des procédures très strictes de développement, autour notamment de la notion de « privacy by design » qui vous est familière. Cette dernière, qui est l'un des éléments du RGPD, permet, dès la réflexion à l'origine de la conception d'un équipement, de prendre en compte la problématique de la protection des données et de l'intégrer à ce stade. C'est pour nous une chance, en tant qu'entreprise chinoise implantée dans différents pays et notamment en Europe.

M. Gérard Longuet, rapporteur.- Je suis votre raisonnement. Quel type de certifications mettez-vous en oeuvre pour épauler cette démarche ?

Gwenaël Rouillec, directeur de la cybersécurité. - Tous nos produits, en grande partie, sont certifiés « critères communs. » Si nous appliquons déjà toutes les normes européennes, nous avons, avec l'Anssi, engagé des démarches en vue d'obtenir des certifications de sécurité de premier niveau (CSPN) pour les produits 5G qui vont arriver demain. Sur l'open source, qui est utilisée par Huawei dans la conception de ses produits, dans un souci de transparence et de conformité, la finalité demeure nos clients, au-delà des fournisseurs que nous choisissons.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 17 heures.