Allez au contenu, Allez à la navigation

Compte rendu analytique officiel du 22 octobre 2020

Certification de cybersécurité des plateformes numériques

M. le président. - L'ordre du jour appelle l'examen de la proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public, présentée par M. Laurent Lafon.

Discussion générale

M. Laurent Lafon, auteur de la proposition de loi . - (Applaudissements sur les travées du groupe UC et sur le banc de la commission) En 2007, lors du Grenelle de l'environnement, Jean-Louis Borloo a pris une mesure majeure : la généralisation du diagnostic de performance énergétique (DPE). Dès que nous achetons ou louons un logement, il nous permet de comprendre sans être un spécialiste, quelle sera notre consommation énergétique, de manière immédiate et lisible et de connaître nos émissions de gaz à effet de serre.

C'est une belle illustration du rôle du politique. La science économique nous le dit avec George Akerlof, prix Nobel d'économie en 2001 pour ses travaux sur l'asymétrie d'information. Le monde économique a besoin d'une régulation politique par l'État.

Aux consommateurs, nous avons aussi donné une information simple sur la nutrition avec les travaux de Serge Hercberg qui a permis de généraliser le Nutri-Score.

Des millions de Français expriment une vive inquiétude sur la cybersécurité. Les pouvoirs publics s'en préoccupent, en particulier au Sénat, à l'image de la création d'un Commissariat au numérique votée par notre assemblée en 2016, sur le modèle du Chief Technical Officer de la Maison Blanche. Pour nos concitoyens, la peur du piratage bancaire ou du vol de données personnelles s'est installée. Une étude de la Commission nationale de l'informatique et des libertés (CNIL) en témoigne.

Donner de l'information, voilà ce que propose cette proposition de loi, via un cyberscore reposant sur des critères objectifs fixés par l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Nous pousserons ainsi les opérateurs à changer leurs pratiques. Car cela marche : le Nutri-Score a ainsi fait évoluer les industriels de l'agro-alimentaire ; l'application Yuka, qui donne des informations sur la composition des produits, de même.

La réglementation n'est pas parvenue à faire évoluer aussi vite les plateformes que n'y parviendraient les consommateurs une fois avertis. Le diagnostic de cybersécurité devra prendre la forme d'un système coloriel présenté à chaque connexion - et non être relégué dans des conditions générales illisibles. J'ai déposé un sous-amendement en ce sens.

Je veux saluer les travaux de notre rapporteure qui a enrichi le texte. Ainsi, elle souhaite que le cyberscore soit étendu au cloud et à la visioconférence : c'est essentiel, d'autant que cette problématique a été révélée pendant le confinement.

J'ai une crainte sur votre amendement, monsieur le ministre : avec un contrôle a posteriori, les plateformes risquent de s'auto-certifier. Le Gouvernement devra doter de réels moyens humains, budgétaires et technologiques la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour contrôler la véracité des cyberscores affichés par les plateformes.

Le certificat européen, mis en place d'ici 2023, sera plus restreint. En créant un certificat national, cela ne fera que renforcer le Cybersecurity Act en le rendant obligatoire.

Le développement d'une filière des données personnelles numériques en Europe est une politique qu'il convient de mener : cette certification pourrait être un levier utile pour défendre notre souveraineté en faisant émerger une filière européenne.

Anne-Catherine Loisier rappelait en commission les mots du président-directeur général d'OVH : « Choisir un opérateur américain ou chinois est lourd de conséquences pour la viabilité à long terme de la filière numérique en Europe ».

Je vous invite à adopter cette proposition de loi. (Applaudissements sur les travées des groupes UC et Les Républicains et sur le banc de la commission)

Mme Anne-Catherine Loisier, rapporteur de la commission des affaires économiques . - (Applaudissements sur les travées du groupe UC) Le sujet qui nous occupe est encore peu pris en compte par les acheteurs publics comme pour les particuliers.

Le commissaire européen Thierry Breton nous disait qu'après avoir perdu la bataille d'internet, il fallait gagner celle des données.

Le Gouvernement envisage d'ailleurs de dématérialiser 100 % des 250 démarches les plus utilisées par nos concitoyens d'ici mai 2022. Or la crise de la covid a accru les fractures numériques mais a également vu exploser les achats en ligne et les vidéoconférences - malheureusement sans toujours que l'on prenne les précautions qui s'imposent. À la suite de scandales comme celui de Cambridge Analytica, les Français commencent à en avoir conscience : pour 90 % d'entre eux, les données personnelles sont précieuses. Mais les pratiques ne suivent pas, ce qui expose les consommateurs à de grands risques : enregistrement vidéo, reconnaissance vocale, deep fake, attribution des propos oubliés... Les collectivités territoriales et le secteur de la santé subissent également des attaques.

Il convient aussi que les pouvoirs publics fassent attention aux entreprises avec lesquelles elles traitent pour assurer la cybersécurité de certains de leurs services : en atteste la polémique relative au contrat passé entre l'État et Microsoft pour prendre en charge la plateforme de données de santé de millions de Français.

Monsieur le ministre, comment le Gouvernement compte-t-il réagir à la jurisprudence de la Cour de justice de l'Union européenne (CJUE) qui a censuré le Privacy Shield ?

L'article premier créé un cyberscore, complémentaire de la certification en cours de conception au niveau européen. Il ne sera pas un frein aux jeunes pousses du numérique, car il ne portera que sur les services les plus utilisés. Le pouvoir réglementaire devra en fixer les critères. On peut penser au nombre de procédures de la CNIL, le nombre de failles de sécurité dans l'année, ou encore des données plus techniques.

L'article 2 porte sur les achats publics qui devront mieux prendre en compte les paramètres de cybersécurité. La commission des affaires économiques a émis des réserves : le code de la commande publique doit porter sur tous les marchés publics et non sur les seuls achats concernés par la cybersécurité. Peut-être les solutions devront-elles plutôt prendre la forme d'un vademecum spécifique.

Avec l'accord de Laurent Lafon, nous proposerons d'enrichir ce texte par quelques amendements. Merci, monsieur le ministre, pour avoir su travailler avec nous. Nous comptons sur vous pour inscrire rapidement ce texte à l'ordre du jour de l'Assemblée nationale et sommes à votre disposition pour y travailler. (Applaudissements sur les travées des groupes UC et Les Républicains)

M. Cédric O, secrétaire d'État auprès du ministre de l'économie, des finances et de la relance et de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques . - Je suis heureux d'être au Sénat pour examiner cette proposition de loi qui témoigne de l'importance croissante de la cybersécurité et celui de la protection des données personnelles. La crise sanitaire a démontré toute l'importance du numérique avec le télétravail et l'éducation à distance.

Notre vie numérique comporte aussi des risques - moindres que dans la vie réelle, plus difficiles à comprendre, moins bien connus car plus récents.

Les choses évoluent, cependant. Les scandales de fuites de données font la une de l'actualité, comme les piratages d'entreprises. Je salue à ce propos le travail de l'Anssi qui lutte au quotidien contre ces menaces.

La lutte contre ces risques appelle une réponse systémique qui doit être portée au niveau européen, afin de faire respecter notre souveraineté numérique. L'Europe doit être à niveau comme pour le Règlement général sur la protection des données (RGPD), et la France doit y participer.

La lutte passe aussi par des changements comportementaux.

La certification peut y aider ; on le sait, elle modifie les comportements des industriels, comme dans l'alimentation. Les choses ont progressé par étapes : l'indication des ingrédients a été une première étape mais afficher l'information n'est pas forcément lisible ou transparent : non hiérarchisée, ou fournie en trop grande quantité une information n'est pas forcément utile. C'est le rôle de Nutri-Score que de la simplifier et de la rendre plus lisible.

Aujourd'hui, les conditions générales d'utilisation (CGU) comportent une grande partie des informations, mais présentées dans des termes techniques, elles restent réservées aux spécialistes.

Pour toutes ces raisons, cette proposition de loi va dans la direction souhaitée par le Gouvernement.

Nous proposons quelques aménagements dans un esprit constructif : le diagnostic ne peut reposer en pratique que sur les opérateurs, tant les changements d'algorithmes sont fréquents ; le dispositif doit être restreint aux plateformes de taille mondiale ; enfin la modification du code de la commande publique ne nous semble pas la voie la plus pertinente.

Madame le rapporteur, la semaine dernière, le Gouvernement a décidé de faire migrer le Health Data Hub vers une plateforme européenne, à la suite de l'invalidation du Privacy Shield par la CJUE. (Applaudissements sur les travées du groupe RDPI)

M. Joël Guerriau . - Le monde réel voit sa part se réduire chaque jour au profit du monde virtuel. En 2019, les Français ont ainsi passé en moyenne deux heures par jour sur internet. Avec le télétravail et la distanciation sociale, cette part devrait encore se renforcer. Nous connaissons les bienfaits du numérique, moins ses dangers.

La proposition de loi renforce l'information du public pour plus de clarté, grâce au cyberscore, alors que le fonctionnement des outils numériques est peu lisible. Hormis les professionnels, nous savons les utiliser mais les connaissons mal.

Nous devons faire des efforts pour améliorer l'information, éduquer au numérique à l'école mais aussi ailleurs.

Je salue le rôle de l'Anssi auprès des opérateurs et qui fait oeuvre de pédagogie sur les bonnes pratiques et les bons outils.

La plupart des failles se trouvent entre la chaise et le clavier, nous disent en plaisantant les responsables de la sécurité des systèmes d'information. En vérité, il est probablement impossible de se prémunir totalement contre le risque cyber : à la suite des révélations d'Edward Snowden, les services de renseignement russes ont commandé des machines à écrire mécaniques...

Développons une culture numérique pour éviter les pièges, même si une protection totale reste illusoire.

Le cyber est un espace à part entière où se posent des questions de sécurité des données, de protection de la vie privée, de souveraineté, d'extraterritorialité. Il est urgent de maîtriser pleinement ces outils.

Cette proposition de loi va dans le bon sens, même si elle mériterait d'être complétée. (Applaudissements sur le banc de la commission ; Mme Annick Billon applaudit également.)

M. Daniel Salmon . - Cette proposition de loi cherche à répondre aux craintes légitimes sur la protection des données personnelles, notamment à la suite du confinement. C'est un sujet majeur dont je me félicite qu'il soit à l'ordre du jour du Sénat.

Malgré les avantages des outils numériques, nous devons en expliquer les risques à nos concitoyens et à nos entreprises qui doivent s'approprier certains réflexes. À l'heure du développement du télétravail, du déploiement par le Gouvernement de la 5G sans consultation, faisons attention à la vie privée et à l'impact sur l'environnement.

Plus que jamais, la vigilance et la tempérance dans les pratiques numériques sont de mise. Cette proposition de loi constitue un pas de plus vers la transparence. Elle va dans le bon sens, pour plus d'information du consommateur.

Nous soutenons l'article premier sur le cyberscore, mais je m'interroge sur l'amendement de la rapporteure qui en limite le champ d'application aux services numériques les plus utilisés. Les petites entreprises du numérique ont tout à gagner à valoriser la fiabilité de leur plateforme. C'est aussi une belle opportunité pour elles de se démarquer des géants du numérique, pas toujours exemplaires.

L'amendement du Gouvernement sur l'article premier en atténue la portée en supprimant l'évaluation des plateformes par une autorité indépendante, ce qui rendra moins lisible le cyberscore.

Ce texte est un premier pas, mais nous devons aller plus loin, au niveau européen. Des évolutions ont été actées avec le Cyber Security Act : la France doit maintenant s'approprier le chantier de la certification.

Alors que le monde numérique est dominé par les États-Unis et la Chine, l'Europe doit être à l'avant-garde, tout en étant lucide sur les avantages et les inconvénients de la numérisation de la société.

M. Bernard Buis . - Si le confinement a eu une vertu, c'est bien d'avoir montré la créativité, la réactivité et la résilience des Français ; pour aller au-delà de l'isolement imposé par la situation sanitaire : télétravail, télémédecine, sport en ligne, représentation artistique... autant d'alternatives salvatrices grâce au numérique.

La France compte 53 millions d'internautes mensuels : 92 % des foyers français sont connectés. Avec le confinement, les Français n'ont jamais été autant connectés : en avril 2020, les trois quarts des Français, soit 46 millions de personnes, se sont connectés tous les jours. Les Gafam en ont profité pour accroître leur domination du marché : Google a eu 39 millions de visiteurs quotidiens, Facebook 31 millions...

Cependant, le nombre d'attaques en ligne ne cesse d'augmenter. L'Anssi réalise un service de détection et de veille crucial, mais les moyens de cette agence doivent être renforcés. Elle est intervenue 104 fois cette année contre des attaques de logiciels malveillants, contre 54 cas en 2019.

Nous accueillons cette proposition de loi avec bienveillance. L'article premier, bienvenu, renforce l'information des consommateurs en créant un Nutri-Score de la cybersécurité. Mais, il nécessite un arrêté conjoint des ministres du numérique et de la consommation, après avis de la CNIL.

Nous nous félicitions du travail de co-construction entre la rapporteure et le ministère. La rapporteure veut aussi inclure les plateformes de visioconférence en ligne, qui se soustraient souvent aux règles européennes de protection des données établies par le RGPD.

L'information du consommateur est souvent oubliée. Le cyberscore étant particulièrement bienvenu, le groupe RDPI votera cette proposition de loi.

M. Jean-Claude Requier . - Ce texte s'inscrit dans les travaux du Sénat sur les nouvelles technologies de l'information et de la communication (NTIC). Plusieurs propositions de loi ont été déposées sur des thèmes voisins.

Une mission d'information sur la lutte contre l'illectronisme du RDSE a rendu ses conclusions le mois dernier.

La covid-19 et le confinement ont abouti à la multiplication de l'utilisation des outils de visioconférence, avec des risques de piratage accrus. Les collectivités territoriales qui disposent de moins de moyens que l'État sont plus vulnérables à la cybercriminalité.

Cette proposition de loi témoigne d'une volonté légitime de renforcer la sécurité des plateformes. Elle oblige ainsi à une certification. Cette démarche devra s'articuler avec les travaux en cours à l'échelle européenne.

Le RDSE souscrit à cette initiative, mais s'interroge sur les conséquences financières de la certification. Si elle est payante, elle risque de provoquer une concurrence déloyale avec les grandes entreprises. La rapporteure a déposé un amendement en commission pour éviter ce risque. Mais combien de temps faudra-t-il pour obtenir le précieux sésame qui dépendra d'un décret ?

La cybersécurité est l'enjeu de chacun ; l'éducation au numérique devra donc être développée.

Le RDSE votera ce texte, sauf un collègue qui s'abstiendra.

M. Fabien Gay . - De nombreux enjeux éthiques, démocratiques et économiques sont directement liés aux nouvelles technologies et à la généralisation de leur utilisation.

La sécurité des systèmes d'information est donc centrale.

Deux axes nous semblent importants : d'abord la cybercriminalité et les piratages. En 2018, 80 % des entreprises se disent avoir été victimes d'une tentative d'attaque. Les cyberattaques se professionnalisent et les cyberdélinquants se multiplient.

L'explosion du télétravail en période de crise sanitaire a mis également en lumière la vulnérabilité des particuliers et des entreprises. Si l'acquisition d'informations sur la cybersécurité est nécessaire, nous avons besoin de formation, d'autant que la France fait face à une pénurie de cyberspécialistes.

Les objets connectés, peu sécurisés, peuvent donner des informations, comme un micro dans un robot-cuiseur, ou des tablettes pour enfants piratées. Les chercheurs de l'université de l'Iowa ont montré des failles de la 5G faciles à trouver pour des pirates modestement équipés.

Deuxième sujet : l'extraterritorialité des lois américaines qui permet au gouvernement nord-américain de demander en justice des données personnelles possédées par une entreprise américaine où qu'elle soit implantée dans le monde. En cas de marché public, nous devons prendre en compte ce risque. Le 16 juillet, la CJUE a cassé l'accord entre les États-Unis et l'Union européenne sur l'échange des données personnelles. Avec le cloud, nos données risquent de tomber sous le coup de la législation américaine. Les données de santé auraient dû être hébergées par Microsoft aux Pays-Bas ; or Microsoft est soumis au Cloud Act américain. En outre, une partie des données peuvent déjà se trouver aux États-Unis !

Malgré cela, le groupe CRCE votera cette proposition de loi. (Applaudissements sur toutes les travées)

M. Rémi Cardon . - (Applaudissements sur les travées du groupe SER) La cybersécurité est un enjeu mondial pour tous les acteurs. Les NTIC sont de plus en plus difficiles à encadrer. La protection des consommateurs est un défi difficile à relever.

Un parcours d'identification numérique dépend de la capacité de chaque usager à s'approprier de tels outils. L'actualité montre à quel point nous sommes devenus vulnérables dans ce nouvel écosystème. Nous sommes perméables du fait du développement des objets connectés.

Le risque zéro n'existe pas ; les failles seront toujours là. Il faut donc améliorer les techniques de protection des consommateurs par un renforcement du RGPD, et mieux les informer.

La neutralité des réseaux et l'interopérabilité des plateformes doivent nous mobiliser. Le Sénat a beaucoup travaillé sur ces sujets. Je pense au rapport sur la souveraineté numérique mais aussi à la proposition de loi renforçant les droits des consommateurs dans le cyberespace, adoptée à l'unanimité.

Consolidons les évolutions en France et dans l'Union européenne. Pour s'approprier le chantier de la certification, la France a jusqu'au 28 juin 2021 pour mettre en conformité sa législation nationale.

Le cyberscore prévu à l'article premier a le mérite d'être un repère simple pour se retrouver dans la multitude d'offres en ligne. Il sera aussi obligatoire comme l'est le diagnostic de performance énergétique. Le Gouvernement a demandé à ce que la CNIL intervienne dans ce processus et nous nous en félicitons.

L'ensemble des opérateurs doit être concerné. Nous voterons le sous-amendement de la rapporteure sur les opérateurs de visioconférence.

Les collectivités territoriales traitent un volume croissant de données personnelles et sont menacées, ce qui peut avoir un impact sur leurs services.

Nous voterons l'amendement de suppression de l'article 2 du Gouvernement car il faut garantir l'égalité devant la commande publique.

La cybersécurité touche tous les acteurs : entreprises, collectivités territoriales, hôpitaux, associations...

Nous devons favoriser l'implantation des entreprises numériques dans nos territoires.

Le groupe SER votera cette proposition de loi malgré ces quelques réserves. (Applaudissements sur les travées du groupe SER et sur le banc de la commission)

Mme Sophie Primas . - J'apporte mon soutien plein et entier à Laurent Lafon, que je félicite pour son élection. Il ne faut pas laisser les consommateurs démunis face aux solutions numériques. La solution d'un cyberscore nous semble particulièrement pertinente. Je remercie notre rapporteur Anne-Catherine Loisier pour son travail efficace et rapide sur le texte.

La protection du consommateur dans le cyberespace passe par un encadrement plus structurel des opérateurs. (Mme Catherine Morin-Desailly approuve.) Ce matin, nous n'avons pas pu obtenir d'accord en CMP, sous prétexte que tout relèverait du droit européen. Mettant en avant le Digital Services Act européen, le Gouvernement a donné l'ordre de refuser toute ouverture.

Nous avons une vision différente de la défense des droits des consommateurs. Nous proposions une application en 2023 pour laisser du temps aux négociations européennes.

Je suis donc heureusement surprise que le Gouvernement fasse preuve de bonne volonté sur cette proposition de loi, même si tout dépend encore de son inscription à l'ordre du jour de l'Assemblée nationale.

La protection des données de nos entreprises est essentielle. Des initiatives comme Gaïa X vont dans le bon sens, mais qu'en est-il de la traduction législative du rapport de notre collègue député Raphaël Gauvain, de la réforme de la loi de blocage ou de l'extension du RGPD aux entreprises ?

Le cyberscore favorisera l'information des entreprises. Cette proposition de loi est un premier pas, mais elle ne suffira pas.

Malgré notre réel mécontentement de ce matin, nous sommes prêts à travailler avec vous sur ces sujets essentiels pour notre économie et notre pays. (Applaudissements sur les travées des groupes Les Républicains et UC)

M. Pierre Louault . - (Applaudissements sur les travées du groupe UC) Nous sommes heureux du soutien du Gouvernement à cette proposition de loi. Le développement de la cybercriminalité, y compris venant de certains États, nous obligeait à réagir. Cette proposition de loi, certes incomplète, donne des repères aux consommateurs.

Les conséquences des cyberattaques sont importantes et repenser intégralement les systèmes est avantageux.

Chacun confie plus ou moins consciemment de nombreuses données personnelles aux plateformes, qui les exploitent et les vendent. Leur sécurité est essentielle et nous devons l'assurer. Peu de nos concitoyens savent hélas comment protéger leurs données.

Les mesures de cybersécurité ressemblent aux gestes sanitaires : barrières, restrictions, nettoyage systématique. La crise sanitaire a conduit au développement du télétravail et, partout, à une prise de conscience sur la sécurité des solutions informatiques. Pour que les consommateurs prennent mieux en compte la question de la cybersécurité, la proposition de loi prévoit de renforcer leur information sur le niveau de sécurité des solutions numériques par un Nutri-Score numérique, un cyberscore, donc.

Cet outil devra impérativement être simple, lisible et convenablement contrôlé par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

La problématique de la cybersécurité doit être envisagée à un niveau européen. Une stratégie européenne devrait être proposée avant la fin de l'année 2020. J'espère, monsieur le ministre, que vous pourrez prendre des engagements dans ce sens, sans botter en touche. Il y a urgence à agir.

Nous félicitons Laurent Lafon, Anne-Catherine Loisier et la présidente Primas pour leur travail sur ce dossier. (Applaudissements sur les travées du groupe UC et sur quelques travées du groupe Les Républicains ; MM. Bernard Buis et Jean-Claude Requier applaudissent également.)

M. Patrick Chaize . - Le numérique est à l'honneur au Sénat. Le 19 février, nous adoptions à l'unanimité la proposition de loi de Sophie Primas sur le libre choix du consommateur dans le cyberespace. Le 24 juin, la commission de l'aménagement du territoire et du développement durable adoptait le rapport d'information sur l'empreinte du numérique sur l'environnement. Nous avons été bien inspirés.

Les données informatiques ne doivent pas être confondues avec de l'information. Nous n'avons pas encore de politique publique idoine. Devons-nous attendre le Cybersecurity Act européen ?

Cette proposition de loi répond à un enjeu essentiel, celui de l'information du public sur la transmission de ses données. L'application Zoom, avec plus de 300 millions d'utilisateurs par jour, soit une hausse de 2 900 % depuis le début de l'épidémie de coronavirus, et la hausse de 90 % du téléchargement des applications de visioconférence entre le 14 et le 21 mars 2020, avec pas moins de 62 millions de téléchargements, constituent de bons exemples.

Le droit européen ne prévoit actuellement qu'une démarche volontaire de certification. La proposition de loi répond à cette lacune.

Il faut effectivement élargir la disposition à tout fournisseur de services en ligne.

L'amendement adopté en commission à l'initiative du rapporteur va dans le bon sens, s'agissant de l'article premier, de même que le moindre recours aux décrets pour éviter tout risque d'incompétence négative.

Je suis moins favorable à l'article 2, puisqu'une loi de portée générale est affaiblie si elle inclut des objectifs particuliers.

Néanmoins, notre groupe votera ce texte. (Applaudissements sur les travées des groupes Les Républicains et UC ; M. Jean-Michel Houllegatte applaudit également.)

La discussion générale est close.

Discussion des articles

ARTICLE PREMIER

M. Franck Montaugé . - Je rappelle, pour le saluer, le travail de notre collègue Catherine Morin-Desailly et celui de la commission d'enquête que j'ai eu l'honneur de présider. Elle a émis des recommandations nécessaires pour la conquête de notre souveraineté numérique, dont certaines ont été reprises par la proposition de loi de Sophie Primas, qui était dans une saine émulation avec l'Union européenne. Vous l'avez rejetée, monsieur le ministre, malgré notre travail avec l'Arcep, l'Autorité de la concurrence et le Conseil d'État et le vote unanime du Sénat. Ce matin, la CMP concernant la loi Ddadue, qui reprenait la proposition de loi de Mme Primas, a échoué précisément sur ce sujet. Pourquoi votre Gouvernement ignore-t-il les travaux du Sénat sur ce sujet essentiel pour notre pays ?

M. Cédric O, secrétaire d'État . - Nous avons une convergence de vues sur le fond. Une directive européenne est sur le métier sur le sujet des plateformes. Sur la proposition de loi Avia, vous nous avez reproché - M. Retailleau, en particulier - de vouloir légiférer sur un élément dont allait traiter Digital Services Act attendu pour décembre. Pourquoi n'en serait-il pas de même sur le sujet qui nous préoccupe ? Si l'Europe achoppait début décembre, nous en reparlerions.

D'autre part, repousser l'application de la loi à 2023 n'était pas la bonne façon de procéder.

Mme Catherine Morin-Desailly . - Je remercie Franck Montaugé pour ses propos. Il y a quelques jours, le département américain de la justice a accusé Google - enfin - d'abus de position dominante. Le Sénat a cinq ans d'avance sur ce sujet ! Voyez la proposition de loi de Sophie Primas ou celle de David Assouline sur les droits voisins. Les données sont des actifs stratégiques. Il est temps d'agir. Nous tentons de le faire face à l'inertie du Gouvernement et de l'Europe. J'ai déposé aujourd'hui même une proposition de résolution européenne sur le Data Residency. Nous sommes dans notre rôle, monsieur le ministre. (Applaudissements sur le banc de la commission)

M. Michel Canevet . - J'ai participé ce matin à la CMP dont je déplore l'échec, compte tenu des attentes extrêmement fortes. Pourquoi ne pas agir ? Autant la France a été efficace sur la taxe Gafam, autant elle reste en arrière de la main sur la proposition de loi de Mme Primas.

C'est par esprit de compromis que nous avions proposé une application en 2023. Il aurait mieux valu mettre tout de suite en oeuvre les dispositions de la proposition de loi.

Bien évidemment, l'Europe est le bon niveau. Mais nous devons être particulièrement proactifs tant les difficultés sont grandes. Ces dispositions sont absolument nécessaires pour protéger le consommateur. J'appelle le Gouvernement à une réaction vive et rapide. Le rôle du Parlement est de le guider en la matière.

M. le président. - Amendement n°4, présenté par le Gouvernement.

I. - Alinéa 3

Rédiger ainsi cet alinéa :

« Art. L. 111-7-3. - Les opérateurs de plateformes en ligne mentionnés à l'article L. 111-7-1 affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers, dans les conditions prévues par le présent article. »

II. - Alinéa 4

Rédiger ainsi cet alinéa :

« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité, ainsi que les modalités de sa présentation. »

III. - Alinéa 5

Après le mot :

compréhensible

Supprimer la fin de cet alinéa.

IV. - Alinéa 6

Supprimer cet alinéa.

M. Cédric O, secrétaire d'État. - Cet amendement, discuté avec M. Lafon et la commission, modifie l'article premier qui rend obligatoire, pour les principaux opérateurs de plateformes en ligne, la communication auprès de leurs utilisateurs d'un diagnostic de cybersécurité. Il recentre le dispositif sur les principaux opérateurs, ayant au moins cinq millions de visiteurs uniques par mois, soit une vingtaine.

Nous cherchons à rendre le cyberscore obligatoire pour les plus grandes plateformes, sans le généraliser à l'ensemble des entreprises, qui pourront toutefois s'en saisir si elles le souhaitent.

M. le président. - Sous-amendement n°6 à l'amendement n°4 du Gouvernement, présenté par Mme Loisier, au nom de la commission.

Amendement n° 4, alinéa 3

Remplacer les mots :

Les opérateurs de plateformes en ligne mentionnés à l'article L. 111-7-1

par les mots :

Les fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions,

Mme Anne-Catherine Loisier, rapporteur. - Nous avons une petite divergence de vues sur la notion d'opérateurs de plateforme en ligne, qui ne renvoie qu'au service dont l'activité consiste à un référencement de produits en ligne ou à la mise en relation de personnes en vue de réaliser des échanges. L'amendement du Gouvernement risque d'exclure des services numériques pourtant visés par la proposition de loi initiale, comme les services de visioconférence en ligne. Ce sous-amendement revient donc à la rédaction initiale.

M. le président. - Sous-amendement n°7 à l'amendement n°4 du Gouvernement, présenté par M. Lafon.

Amendement n°4, alinéas 8 à 10

Remplacer ces alinéas par huit alinéas ainsi rédigés :

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d'un système d'information coloriel. Lorsque l'utilisation du service de communication au public en ligne nécessite de s'identifier électroniquement, le diagnostic est présenté systématiquement à l'utilisateur sur la page permettant de s'authentifier.

M. Laurent Lafon. - Mon sous-amendement concerne la dimension colorielle du cyberscore. Un article similaire concernait le NutriScore, quand bien même il pourrait relever du champ réglementaire. À ce stade, nous pouvons bien conserver cet élément avant de concilier, ensuite, écritures législative et réglementaire.

M. le président. - Amendement n°2 rectifié, présenté par MM. Le Gleut, Kern, Parigi et Cuypers, Mmes Joseph et Deromedi, MM. Frassa et A. Marc, Mme Canayer, MM. Charon, Menonville et Wattebled, Mme Lopez, MM. Bonne, Mouiller et H. Leroy, Mmes Bonfanti-Dossat et Gruny, MM. Bouchet, Segouin, Panunzi, Grand, Milon, Longeot, Calvet, Piednoir, Rapin, Decool et B. Fournier, Mmes L. Darcos et Raimond-Pavero, M. Vogel, Mmes Boulay-Espéronnier et Deroche, M. Guerriau, Mme Lavarde et MM. Savary, Brisson et Bascher.

Alinéa 4

Rédiger ainsi cet alinéa :

« À cette fin, ils fournissent un diagnostic de cybersécurité effectué par un organisme tiers habilité par l'autorité administrative compétente, dont la durée de validité ne peut excéder un an. Un arrêté fixe, au moins une fois par an, les indicateurs de ce diagnostic.

M. Ronan Le Gleut. - L'idée est simple : les données propres du NutriScore ne changent pas dans le temps. C'est différent pour le cyberscore : les données du produit ne rendent pas le niveau de sécurité stable dans le temps, une innovation technologique pouvant le porter à zéro. Ainsi, l'arrivée prévue de l'ordinateur quantique fera tomber des systèmes de sécurité qui avaient pourtant prouvé leur solidité depuis des décennies. Mon amendement prévoit donc une durée d'un an maximum pour la fixation du niveau de sécurité.

M. le président. - Amendement n°1 rectifié bis, présenté par Mme S. Robert et les membres du groupe Socialiste, Écologiste et Républicain.

Alinéa 4, première phrase

Après le mot :

arrêté

insérer les mots :

, pris après consultation de la commission nationale de l'informatique et des libertés,

M. Franck Montaugé. - Nous le retirons car l'amendement du Gouvernement le satisfait.

Le Gouvernement pourrait faire la promotion de la norme de sécurité pour les managers des systèmes d'information ISO 27001. Je l'ai fait moi-même dans le cadre des travaux de la chambre de commerce et d'industrie du Gers. Le but n'est pas d'être certifié mais de se prémunir contre les risques.

L'amendement n°1 rectifié bis est retiré.

M. le président. - Amendement n°3, présenté par M. Lafon.

Alinéa 5

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d'un système d'information coloriel ou de graphiques et symboles. Lorsque l'utilisation du service de communication au public en ligne nécessite de s'identifier électroniquement, le diagnostic est présenté systématiquement à l'utilisateur sur la page permettant de s'authentifier.

M. Laurent Lafon. - C'est presque le même que mon sous-amendement.

Mme Anne-Catherine Loisier, rapporteur. - Avis favorable à l'amendement du Gouvernement sous réserve d'adoption du sous-amendement n°6, qui inclut des services comme la visioconférence.

Nous sommes disposés à y retravailler plus tard, mais en attendant, mieux vaut l'adopter.

Avis favorable personnel au sous-amendement n°7, que la commission n'a pas pu examiner.

Avis défavorable à l'amendement n°2 qui basculerait le dispositif dans un contrôle a priori. Il faudra cependant s'assurer avec la DGCCRF et l'Anssi que le contrôle a posteriori soit effectif.

M. Cédric O, secrétaire d'État. - L'amendement n°2 n'est effectivement plus d'actualité. Sur le périmètre, nous avons besoin d'y retravailler. Notre définition concerne trop peu d'entreprises, mais la vôtre en attrape trop !

Il me semble que la rédaction du Gouvernement satisfait le sous-amendement n°7 en prévoyant cependant de renvoyer l'aspect coloriel au niveau réglementaire.

Je vous prie de m'excuser mais je dois laisser ma place à Joël Giraud, pour participer à la conférence de presse du Premier ministre sur la covid-19. Il évoquera entre autres l'application TousAnticovid. (Mme Sophie Primas montre qu'elle l'a téléchargée.)

Je félicite la présidente de la commission des affaires économiques ! Cette nouvelle application sera progressivement disponible pour tous.

M. Daniel Gremillet. - Le sous-amendement n°6 est essentiel. Je souhaite qu'il soit adopté car il améliore réellement l'amendement du Gouvernement.

Le sous-amendement n°6 est adopté.

Le sous-amendement n°7 est adopté.

L'amendement n°4, sous-amendé, est adopté.

Les amendements nos2 et 3 n'ont plus d'objet.

L'article premier, modifié, est adopté.

ARTICLE 2

M. le président. - Amendement n°5, présenté par le Gouvernement.

Supprimer cet article.

M. Joël Giraud, secrétaire d'État auprès de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la ruralité. - L'amendement pose un problème : il imposerait de prendre en compte les enjeux de cybersécurité pour l'ensemble des marchés publics. Ce serait inapproprié.

À la différence du critère de développement durable, celui-ci ne pourrait porter que sur les services informatiques. Le principe d'égalité devant la commande publique serait bafoué. Nous proposerons donc la suppression de cet article.

Mme Anne-Catherine Loisier, rapporteur. - Avis favorable. Monsieur le ministre, je ne peux cependant que vous inviter à assister les collectivités territoriales sur ces questions par un vade-mecum ou une aide à l'ingénierie. Elles ont notamment des difficultés sur les cahiers des charges.

L'amendement n°5 est adopté.

L'article 2 est supprimé.

Explications de vote

Mme Catherine Morin-Desailly . - Je voterai bien entendu ce texte que j'ai cosigné : c'est une avancée de plus dans la protection du consommateur dans le cyberespace, même si une réforme structurelle est nécessaire. Nous devons être vigilants face aux trois textes européens à venir : Digital Services Act, Digital Market Act et Cybersecurity Act.

Je regrette le départ de M. O car je note que le Gouvernement a fait une volteface sur le gestionnaire des données de santé. Le 17 juillet dernier, à ma question d'actualité au Gouvernement, on me répondait qu'aucune entreprise française n'était prête pour réaliser cette plateforme. Or la CJUE a invalidé le Privacy Shield. Je vous invite à lire l'ouvrage de Shoshana Zuboff, qui vient d'être traduit en français, sur le capitalisme de surveillance.

Cette proposition de loi est un pas vers l'avant.

M. Daniel Salmon . - Nous voterons ce texte, malgré l'amendement n°4, car les sous-amendements corrigent cette réécriture qui faisait perdre de sa clarté à l'information aux consommateurs.

Nous regrettons aussi que le contrôle par une autorité administrative indépendante (AAI) soit remplacé par une auto-évaluation.

Mme Sophie Primas, président de la commission des affaires économiques . - Merci encore à Laurent Lafon pour cette proposition de loi. Je sais qu'il a été soutenu sur ce sujet par Catherine Morin-Desailly. Merci à Anne-Catherine Loisier, qui a travaillé dans un temps record.

Monsieur le ministre, ce matin, nous avons eu des différends ; cet après-midi, la concorde règne. Mais le temps ne joue pas pour nous. Lorsque nous devons attendre quelques années des textes européens et leur transposition, ce sont des siècles que nous perdons. Soyons volontaristes.

Les Américains sont en train d'essayer de démanteler ces grandes plateformes. Ne soyons pas en retard. Il y va de notre souveraineté européenne. (Applaudissements sur les travées du groupe Les Républicains ; M. Laurent Lafon applaudit également.)

M. Franck Montaugé . - Le groupe socialiste, écologique et républicain votera aussi ce texte. Parmi les propositions de la commission d'enquête sur la souveraineté numérique figurait une loi de programmation sur ce sujet - cela reste tout à fait d'actualité.

Je ne suis pas du tout convaincu qu'il faille laisser faire l'Europe, il faut être proactif !

Autre sujet : sommes-nous suffisamment outillés pour comprendre les relations entre le numérique et la société ? Un simple secrétaire d'État ne suffit pas, soit dit avec tout mon respect pour Cédric O. Le rapporteur de la commission d'enquête, Gérard Longuet, a mené un travail de fond auquel il faut se référer. (Applaudissements sur quelques travées du groupe SER, ainsi que sur le banc de la commission)

M. Fabien Gay . - Le groupe CRCE votera aussi cette proposition de loi. Merci aux collègues qui ont travaillé sur ce dossier.

Mme Primas a raison : plus nous prenons du retard, plus nous sommes en difficulté.

Il faut aussi parler d'industrie. Pour la 5G, nous devons choisir entre un opérateur américain et un opérateur chinois. Pourquoi ? Parce que nous nous sommes nous-mêmes amputés d'un champion européen. Je pense à Alstom démantelé ou à Nokia.

On parle du télétravail : il peut être porteur de gains pour l'entreprise et le salarié, mais il peut aussi être encore plus aliénant que le travail d'aujourd'hui, avec la disparition de la frontière entre vie professionnelle et personnelle. Ces questions se posent avec force aujourd'hui. Nous avons besoin d'en débattre.

Nous avons de grandes capacités industrielles concernant les start-up, mais il y a aussi des difficultés. Il faut un vrai travail en commun, au-delà des rapports, qui sont de qualité. (Applaudissements sur les travées du groupe CRCE et sur le banc de la commission)

Mme Anne-Catherine Loisier, rapporteur . - Monsieur le ministre, je crois que cette proposition de loi illustre une coopération dans la confiance qui peut être de bon augure pour de futurs débats.

Je comprends la frustration de certains collègues mais ils doivent comprendre qu'il faut éviter la surtransposition. Espérons que cette méthode de travail se poursuive prochainement sur les aspects réglementaires.

La proposition de loi, modifiée, est adoptée.

M. le président. - Belle unanimité ! (Applaudissements)

La séance est suspendue pour quelques instants.