Mercredi 3 avril 2024
- Présidence de Mme Dominique Estrosi Sassone, présidente -
La réunion est ouverte à 9 h 30.
Évolution de la réglementation du numérique prévue par la loi visant à sécuriser et à réguler l'espace numérique - Communication
Mme Dominique Estrosi Sassone, présidente. - Notre collègue Patrick Chaize, qui était rapporteur du projet de loi visant à sécuriser et à réguler l'espace numérique, va nous présenter les principales dispositions du texte adopté à l'issue de la commission mixte paritaire.
M. Patrick Chaize. - Je vous remercie de me donner l'opportunité de prendre la parole sur les enjeux liés à la régulation de notre économie numérique.
Le numérique n'est pas un secteur économique en soi, ce n'est pas une politique sectorielle, mais une transition à l'oeuvre devenue indispensable à la transformation de nos entreprises, à la modernisation de notre économie, ayant des conséquences majeures en matière d'innovation, de protection des données et de concurrence.
Je suis conscient que ce n'est pas forcément le sujet de prédilection de notre commission, mais je tenais à vous dire que nous avons récemment franchi des étapes très importantes, et que d'autres étapes majeures nous attendent d'ici la fin de la session parlementaire. Nous avions l'habitude d'avancer pas à pas, mais je crois que nous avons récemment fait des « sauts de haie ».
L'arsenal législatif dont nous nous sommes dotés est robuste, et nous commençons seulement à prendre la mesure de l'étendue des instruments, à la fois offensifs et défensifs, que l'Union européenne a mis en place, en particulier au titre du règlement sur les services numériques, le « DSA », et du règlement sur les marchés numériques, le « DMA ».
En début d'année, la Commission européenne a, par exemple, ouvert deux procédures formelles d'infraction au titre du DSA : la première contre X (ex-Twitter) pour manquements présumés aux obligations de lutte contre les contenus illicites et de désinformation, aux obligations de transparence et pour interface utilisateur trompeuse ; la seconde contre TikTok pour manquements présumés à la protection des mineurs, à la transparence de la publicité, à l'accès des chercheurs aux données, ainsi qu'à la gestion des risques liés à la conception addictive et aux contenus préjudiciables.
Il y a quelques jours seulement, la Commission européenne a ouvert plusieurs procédures formelles d'infraction au titre du DMA : la première contre le navigateur Google Search, soupçonné de favoriser ses propres comparateurs de prix ; la deuxième contre l'App Store d'Apple et contre Google Play de Google, soupçonnés d'entraver la possibilité de télécharger des applications sur des boutiques logicielles alternatives ; la troisième contre l'alternative « paiement ou publicité » de Meta, notamment proposée sur Facebook et sur Instagram ; la quatrième contre la place de marché en ligne d'Amazon soupçonnée de favoriser ses propres produits.
Au travers de ces quelques exemples, je suis désormais convaincu que nous sommes sur la bonne voie pour rééquilibrer le rapport de force en notre faveur, malgré les nombreuses contestations en justice des acteurs américains et chinois visés par ces procédures. En début d'année, des parlementaires américains ont même publié une lettre ouverte s'inquiétant de l'extra-territorialité du DMA : une inquiétude que nous, parlementaires français et européens, avons depuis plusieurs décennies vis-à-vis de l'extra-territorialité du droit américain !
Je crois que notre état d'esprit a changé, que nous sommes davantage vigilants, moins naïfs et plus lucides, malgré le « déni de souveraineté numérique » de la part du Gouvernement.
Dans le cadre de l'examen du projet de loi visant à sécuriser et à réguler l'espace numérique, le « PJL Sren », qui vise justement à adapter notre droit national au DSA et au DMA, le Sénat a obtenu des avancées majeures en matière de protection de nos données sensibles et de nos données de santé à caractère personnel face aux législations extraterritoriales. L'atterrissage est certes moins ambitieux que ce nous souhaitions, mais nous avons pu compter sur le soutien de nombreux groupes politiques, au Sénat comme à l'Assemblée nationale, pour avancer sur ce sujet contre l'avis du Gouvernement et de sa majorité.
Il est désormais inscrit dans la loi que les administrations de l'État, ses opérateurs et ses groupements d'intérêt public, y compris la plateforme des données de santé, le « Health Data Hub », dont la gestion des données avait été confiée à Microsoft sans appel d'offres, sont désormais soumises au référentiel SecNumCloud, qui fixe des critères très stricts en matière de souveraineté, y compris en termes de détention du capital. Le Gouvernement n'en voulait surtout pas, nous avons pu et su l'imposer. C'est une étape supplémentaire vers une plus grande souveraineté numérique.
J'ai eu l'occasion de le dire en séance hier après-midi : l'adoption de ce projet de loi est un « échec gouvernemental », mais un réel « succès parlementaire », le texte final ressemblant davantage à une proposition de loi qu'à un projet de loi, car nous nous sommes pleinement saisis des enjeux.
Nous avons également voté plusieurs dispositions visant à permettre une concurrence plus juste sur le marché de l'informatique en nuage (cloud). Cela peut vous paraître abstrait, mais, aujourd'hui, presque toutes les entreprises et tous les individus utilisent, souvent sans le savoir, un service d'informatique en nuage.
C'est un secteur très stratégique, et nous avons souhaité donner davantage l'opportunité à nos entreprises françaises et européennes de se développer. Nous avons réduit les avantages que les GAFAM donnent de façon intéressée à nos entreprises pour les rendre dépendantes technologiquement - plafonnement des « crédits cloud » à un an - et nous avons limité la capacité des GAFAM à faire payer injustement nos entreprises - en confiant à l'Arcep un rôle de règlement des litiges sur la facturation des données, dans la continuité de ce qui est prévu par le nouveau règlement européen sur les données, le « Data Act ».
Ce règlement est applicable dès cette année, 2024 étant une année charnière pour la régulation de l'économie numérique en Europe, avec l'entrée en application d'autres règlements européens, comme celui sur les marchés de crypto-actifs ou celui sur l'intelligence artificielle.
Ce sont des textes importants qui visent à mieux réguler notre économie numérique, mais aussi à la soutenir, à développer des champions nationaux et européens pour demeurer pertinent technologiquement et à la frontière de l'innovation.
Les tensions entre innovation et régulation sont récurrentes et traversent tous les textes que nous avons à examiner, surtout lorsque nous sommes amenés à légiférer sur des sujets nouveaux.
Lors de l'examen du PJL Sren, ce fut le cas à propos des jeux à objets numériques monétisables, les « Jonum », dont personne n'avait entendu parler il y a encore quelques mois.
Ces jeux ont été autorisés à titre expérimental pour une durée de trois ans et je crois que nous avons justement su trouver un équilibre entre régulation et innovation. En termes de régulation, nous avons interdit par principe toute récompense en crypto-actifs, afin d'éviter toute confusion avec les jeux d'argent et de hasard, mais nous avons autorisé, par dérogation à ce principe et à des conditions strictes, l'obtention de telles récompenses à titre accessoire. Nous avons aussi imposé au Gouvernement un débat qu'il souhaitait éviter à tout prix, en refusant sa demande d'habilitation à légiférer par ordonnance et en l'obligeant à effectuer des consultations auprès des associations d'élus locaux et des filières économiques concernées.
En termes de soutien à l'innovation, nous avons fait évoluer le cadre de régulation afin qu'il corresponde davantage aux modèles d'affaires des start-up françaises évoluant dans ce domaine. Nous nous laissons une chance de développer cette nouvelle filière, ou de l'interdire dans trois ans.
Sur ce sujet, je ne vous cache pas que les négociations ont été difficiles, extrêmement tendues jusqu'à la dernière minute, et ce sera le cas à chaque fois que nous serons amenés à légiférer sur des sujets nouveaux. Aujourd'hui, c'est sur les Jonum. Hier, c'était sur les influenceurs commerciaux et sur l'instauration d'une majorité numérique à quinze ans pour l'inscription sur les réseaux sociaux.
À chaque fois, nous devons surmonter de nombreux obstacles pour essayer de concrétiser nos ambitions politiques. À chaque fois, il faut placer le curseur au bon endroit et nous assurer du respect du droit de l'Union européenne et des procédures de notification préalables.
Ce n'est pas simple, car cela nous force à être patients, à accepter de décaler le calendrier d'examen parlementaire de plusieurs mois, mais c'est indispensable pour voter des lois qui seront efficaces et opérationnelles et pour être crédibles aux yeux de nos interlocuteurs.
Dans notre économie mondialisée, au sein de l'ordre juridique intégré que constitue l'Union européenne, nous sommes parfois contraints de réviser nos ambitions. La Cour de justice de l'Union européenne l'a rappelé avec force dans un arrêt retentissant du 9 novembre 2023, durcissant considérablement le principe du pays d'origine de la directive e-commerce. Autrement dit, les dispositions que nous votons à l'égard des acteurs du numérique ne s'appliquent plus qu'à ceux établis en France et à ceux établis en dehors de l'Union européenne. Pour ceux établis dans les autres États membres, ils devront être individuellement identifiés et désignés, sans doute par décrets, mais nous ne pouvons pas les soumettre automatiquement à nos lois nationales.
Je suis conscient que cela peut vous paraître abstrait, mais je vous assure que les conséquences sont majeures pour notre travail parlementaire. Cet arrêt contraint le Gouvernement à réviser la loi du 9 juin 2023 relative à l'influence commerciale et aux dérives des influenceurs sur les réseaux sociaux. Il contraint également le Gouvernement à réviser, même s'il rechigne à le faire, la loi du 7 juillet 2023 visant à instaurer une majorité numérique. À moyen terme, il n'est pas à exclure que les lois du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à Internet et du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques doivent également être modifiées.
Pour légiférer en matière de régulation de l'économie numérique, le chemin est donc semé d'embûches, mais nous commençons à développer une expertise réelle en la matière, le Sénat étant souvent à l'avant-garde de ces sujets de régulation.
Nous avons beaucoup parlé du PJL Sren, mais je me permets d'attirer votre attention sur les des défis supplémentaires qui nous attendent dans les prochains mois. Je pense notamment au projet de loi sur la cybersécurité en cours de préparation sous l'égide de l'Agence nationale de la sécurité des systèmes d'information (Anssi). L'enjeu est majeur et j'espère que nous saurons nous en saisir pleinement, les délégations aux entreprises et aux collectivités territoriales du Sénat ayant récemment publié des rapports sur le sujet.
Nous avons encore très peu de détails quant au calendrier d'examen et au contenu de ce projet de loi, mais nous savons qu'il a pour objectif de transposer trois directives européennes constituant le « paquet Cybersécurité » :
- la directive dite « directive NIS 2 », qui doit être transposée d'ici le 17 octobre 2024. Les enjeux se concentreraient sur la délimitation du périmètre d'application de la directive, sachant que la directive NIS 1 ne s'applique qu'aux opérateurs d'importance vitale alors que la directive NIS 2 élargit les règles de cybersécurité à 18 secteurs économiques différents, soit à plusieurs milliers d'entreprises, ainsi qu'aux administrations publiques, dont les collectivités territoriales, ce qui soulève des enjeux d'accompagnement et de financement ;
- une autre directive sur la résilience opérationnelle numérique du secteur financier, dite « directive DORA », qui doit être transposée d'ici le 17 janvier 2025 ;
- une autre directive sur la résilience des entités critiques, dite « directive REC », qui doit être transposée d'ici le 17 octobre 2024. Là aussi, les enjeux se concentreraient sur la délimitation du périmètre d'application de la directive avec un élargissement à 10 secteurs économiques différents, sachant que la précédente directive REC de 2008, qui a donc été abrogée, ne s'appliquait qu'aux secteurs des transports et de l'énergie.
J'espère, mes chers collègues, que nous saurons être mobilisés sur ce futur projet de loi, car il s'agit sans doute du prochain grand texte numérique sur lequel nous aurons à travailler. Le chemin sera long, il faudra sans doute composer avec la Commission européenne et les procédures de notification préalables, mais c'est un rendez-vous important pour nos collectivités et nos entreprises qu'il ne faudrait pas manquer.
Mme Dominique Estrosi Sassone, présidente. - Merci pour cette présentation. Ces sujets continueront de nous mobiliser fortement ces prochains mois.
Mme Anne-Catherine Loisier. - Je m'interroge sur l'avenir : ce projet de loi sera-t-il suivi d'une loi sur l'intelligence artificielle ?
M. Patrick Chaize. - Une telle loi n'est pas prévue pour l'instant. Un texte sur le sujet serait d'ailleurs prématuré, au regard des évolutions rapides dans ce domaine : il y a trois mois, on pensait que l'intelligence artificielle rattraperait l'intelligence humaine en 2100. Désormais, les chercheurs parlent de 2030. Au regard de cette accélération, il serait donc compliqué de mettre en place une législation stable.
M. Fabien Gay. - En ce qui concerne notre espace numérique, nous sommes trop naïfs ou en-deçà de la réalité. Nous sommes aujourd'hui confrontés à une nouvelle guerre technologique, que nous avons en réalité déjà perdue, car nous accusons un énorme retard par rapport aux GAFAM ou à la Chine. L'intelligence artificielle est en train de produire du contenu en pillant notamment les éditeurs de presse. Ces contenus inondent ensuite les réseaux sociaux et sont parfois beaucoup plus lus que les articles de presse eux-mêmes.
Nous avons également du retard en matière de cloud. Tant que nous n'aurons pas d'acteurs européens puissants, nous ne pourrons pas rattraper ce retard. La majorité de nos données, notamment de santé, sont déjà hébergées hors d'Europe.
Enfin, nous assistons également à une privatisation de l'espace, par les Américains notamment. Nous devons prendre des décisions politiques rapides et mettre en oeuvre des mesures extrêmement fortes. Je me félicite de l'avancée que représente ce projet de loi « Espace numérique », mais il s'agit d'un petit pas dans un monde de géants.
M. Patrick Chaize. - Je suis globalement d'accord avec ce qui vient d'être dit. La prise de conscience de notre handicap est certes tardive, mais réelle. Ma crainte est que notre Gouvernement manque d'une véritable vision : comment expliquer que ce qui était un ministère chargé du numérique soit devenu, depuis le dernier remaniement, un simple secrétariat d'État ?
Je suis encore plus inquiet de la privatisation évoquée de l'espace par les Américains et pour être plus précis, par quelques Américains, les patrons des GAFAM en l'occurrence. Ils construisent des empires qui constituent des États virtuels indépendants, allant même jusqu'à posséder des cryptomonnaies. Cela doit retenir toute notre attention et nous inciter à mettre en oeuvre une feuille de route qui pourrait nous protéger. Il est certes déjà tard, mais il n'est pas encore trop tard pour le faire.
Mme Evelyne Corbière Naminzo. - Qu'en est-il de la protection des citoyens dans l'environnement numérique et notamment de la jeunesse ? Dans un domaine qui évolue constamment, la sensibilisation des élèves et des parents d'élèves, en matière d'exposition aux écrans et aux contenus entre autres, est essentielle. Est-il prévu de lancer des travaux pour rendre opérationnelle et réalisable la protection du citoyen, qui doit aujourd'hui se former seul sur ces questions ?
M. Patrick Chaize. - La question de l'accompagnement à l'utilisation d'internet et du numérique est effectivement essentielle. Nous mettons en oeuvre une phase éducative pour nos enfants. Mais qu'en est-il pour le reste de la population ? Quelques outils sont déjà en place, comme les filtres anti-arnaques. La formation constitue un véritable enjeu politique.
M. Franck Montaugé. - Sur le volet de la souveraineté, quel regard portez-vous sur la gouvernance des innovations en matière de numérique et d'exploitation des données, notamment de santé ? L'impression est qu'au plus haut niveau national, on ne donne pas l'importance qui devrait être la sienne à ce sujet. La présidence américaine entretient par exemple des liens étroits avec le monde scientifique, les échanges sont réguliers avec les développeurs. La problématique de la gouvernance nationale est par ailleurs indissociable de l'échelon européen, où il est nécessaire de développer des PIIEC en lien avec le numérique. Nous avons besoin d'un changement de paradigme et d'une meilleure articulation entre les niveaux national et européen. Quelle est notre vision sur cette question ? Cela passera à mon sens par le sujet de la gouvernance politique et de l'accès aux capitaux.
M. Patrick Chaize. - Au vu du dernier débat sur le PJL Sren, il n'y a aucune ambition en matière de souveraineté de la part du Gouvernement. Il a fallu batailler de façon féroce jusqu'en CMP sur les articles 10 bis A et 10 bis B qui avaient pour objet la protection des données sensibles et des données de santé à caractère personnel, désormais davantage placées sous l'égide de SecNumCloud. Le gouvernement ne voulait pas de ces dispositions et avait confié les données de santé du Health Data Hub à Microsoft sans appel d'offres.
Au niveau européen, il est toujours plus compliqué d'avoir une vision partagée sur le sujet. Du fait de notre lenteur et d'une arrivée tardive dans l'histoire, nous risquons d'être tellement dépassés qu'il n'y aura plus rien à sauver sur le navire... Il ne faudrait pas qu'à chaque fois qu'on se saisit d'un sujet numérique, nous perdions cinq ans en raison de l'échelon européen. Il serait souhaitable d'avoir une vraie vision politique française sur le numérique en général et sous toutes ses facettes - éducation, inclusion, cybersécurité, souveraineté - afin d'espérer garder un peu d'autonomie demain.
M. Michel Bonnus. - Je m'interroge sur les risques inhérents à la cybersécurité et à la survenue de cyberattaques : nos collectivités et nos hôpitaux sont-ils alertés et prêts à faire face à ces menaces ?
M. Patrick Chaize. - Globalement, même si certains campus régionaux sont bien dotés en la matière, il convient de passer à une dimension supérieure pour prévenir ces risques. Il est important d'accompagner les petites collectivités, qui disposent pour certaines encore d'une adresse courriel ancienne et peu sécurisée, constituant une proie facile pour un hacker. Il y a une demande de cyber rançon toutes les treize secondes dans le monde, ce qui prouve la fragilité du système.
M. Yannick Jadot. - Sur la question européenne, on a l'impression que l'enjeu pour la France est simplement de transposer une réglementation européenne qui nous protège. Or certains pays en Europe sont très en avance et inspirent les directives et règlements portés par le commissaire Thierry Breton ; la France est en retard et subit. En matière de stress test des sociétés et des algorithmes, ce qui compte n'est pas tant de décrypter l'algorithme que de parvenir à le tester. Sur le retard de la France ou sa naïveté, il n'existe pas un pays en Europe où le siège de Huawei est situé à quelques centaines de mètres seulement du ministère de la Défense. Nous ne prenons pas l'ampleur de la menace et n'avons pas su faire le travail d'imperméabilité nécessaire.
M. Patrick Chaize. - Je partage ce constat, il y a en effet une forme de naïveté, volontaire ou non, ainsi qu'un manque de vision. Le numérique est relégué par le Gouvernement comme un sujet accessoire, alors qu'il devrait être central et transversal. J'avais milité pour que le secrétariat d'État soit rattaché au Premier ministre : le numérique est partout et constitue un outil pour l'ensemble des acteurs. Or chaque ministère dispose de son propre service numérique, sans lien entre eux. Cette absence de réflexion sur la sécurité et la souveraineté demande une prise de conscience.
Sur l'Europe, cela prend du temps et nous ne pouvons pas nous permettre d'attendre, il nous faut être moteur en Europe pour solidifier et renforcer en commun des postures. Sur le DSA et le DMA, la France a été en pointe, le ministre Cédric O avait défendu ces deux volets et nous en tirons à présent les bénéfices.
M. Christian Redon-Sarrazy. - L'absence d'acteur majeur européen dans le domaine de l'intelligence artificielle (IA) est inquiétante quand on la met en lien avec notre système de protection des données. Les IA génératives se nourrissent de données d'autres continents que les nôtres, comme une opération publique d'achat (OPA) qui serait faite sur le continent européen par les Chinois et les Américains. C'est un dilemme entre protection de nos données et alimentation par des sources étrangères. Des carences et des lacunes existent dans la façon dont le Gouvernement aborde ce sujet.
M. Patrick Chaize. - L'alimentation de l'IA par des données anglo-saxonnes est une problématique sérieuse, entraînant un risque d'influence générale sur la gestion des données. Le point de vigilance se situe également à l'échelle mondiale dans la régulation de l'IA : il existe des limites à ne pas franchir afin d'éviter que l'IA ne soit à l'avenir supérieure à l'intelligence humaine. Cela ouvre le vaste débat de l'influence de l'IA sur la société de demain.
M. Serge Mérillou. - Les normes des pays démocratiques ne constituent-elles pas des boulets aux pieds s'agissant d'un marché sans foi ni loi, avec des pays qui s'affranchissent de toutes les règles ?
M. Patrick Chaize. - Il est temps de se poser les bonnes questions et de mettre ce sujet en haut de la pile. Ce sont des problématiques techniques, futuristes et parfois difficiles à partager avec le grand public. Une prise de conscience collective est pourtant nécessaire.
Audition de Mme Anne Bouverot et M. Philippe Aghion, co-présidents de la commission de l'intelligence artificielle (IA) (sera publié ultérieurement)
Le compte rendu relatif à ce point de l'ordre du jour sera publié ultérieurement.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 11 h 50.