EXAMEN EN COMMISSION
La commission des affaires européennes s'est réunie le jeudi 12 avril 2018 pour l'examen du présent rapport. À l'issue de la présentation faite par le rapporteur M. André Gattolin, le débat suivant s'est engagé :
M. Jean Bizet . - Je retiens que le souci principal, c'est le haut niveau de sécurité. On voit bien qu'au XXI e siècle, celui qui possède l'information et qui peut la transgresser détient une arme. Je l'avais constaté en ce qui concerne la propriété intellectuelle sur les semences.
Le deuxième point, c'est que l'Europe doit être plus présente dans l'élaboration des normes internationales. C'est vrai dans d'autres secteurs, c'est vrai aussi pour le numérique.
Et c'est vrai que nous sommes carencés en ce qui concerne les superordinateurs. Je crois que notre pays en a quatre, mais ils sont d'une ancienne génération. Et leurs capacités sont près de dix mille fois inférieures à celles dont disposent les États-Unis et la Chine.
Quant aux hommes et aux femmes de très grande qualité que nous avons en Europe et particulièrement en France, si on ne les rémunère pas suffisamment, ils s'en vont.
M. Jean-Marie Janssens , rapporteur pour la commission des affaires économiques . - Monsieur le Président, Mes chers collègues, je souhaite d'abord remercier le président Bizet et la présidente Sophie Primas, qui ont souhaité que nous travaillions ensemble sur ce sujet. Ce travail a été effectué en commun en vue de simplifier le processus d'élaboration de la résolution et de travailler plus efficacement.
C'est donc avec plaisir, et un grand intérêt, que j'ai participé, avec le rapporteur André Gattolin, aux auditions. Ces auditions, d'une grande qualité, nous ont permis de nous forger une opinion sur les sujets évoqués par la proposition de résolution.
Contrairement à mon collègue, je suis plutôt néophyte sur le sujet des objets connectés. Les auditions ont néanmoins été l'occasion pour moi de prendre conscience que ce sujet comporte des enjeux d'une importance capitale. Ceux-ci sont d'abord d'ordre économique - je pense à la normalisation. Ils sont également d'ordre politique - je pense à la cybersécurité et à la protection des données à caractère personnel. Le sujet est donc relativement complexe, car il se situe au croisement de nombreuses législations. Notre collègue Catherine Morin-Desailly, présidente de la commission de la culture, a raison de nous alerter, car ces objets connectés vont inonder nos vies, et il convient que le cadre applicable soit suffisamment protecteur des citoyens et favorise le développement d'une industrie européenne de l'internet des objets.
Aussi, je confirme que je partage les conclusions que notre collègue André Gattolin vient de vous présenter. Nous souhaitons appuyer les demandes exigeantes mais pertinentes de Mme Morin-Desailly, même si quelques ajustements sont apparus nécessaires. Ceux-ci ont été parfaitement décrits par le rapporteur.
Merci, Monsieur le président, de m'avoir permis de vous donner mon sentiment en tant que rapporteur pour la commission des affaires économiques.
M. Jean-François Rapin . - Je voulais évoquer le problème des compteurs Linky. Sur le terrain, la situation est ambiguë. Pour les préfets aussi, car il y a de nombreuses contestations de la part de citoyens. Je voudrais savoir quels sont les travaux conduits par le Sénat sur le sujet et ce qui en a été conclu.
J'en parlais encore avec le préfet de mon département, qui ne comprend pas cet acharnement sur un dispositif censé améliorer la vie des gens et, à terme, permettre de faire des économies. Si on regarde, EDF nous demande déjà de transmettre nos informations ; sur la base du volontariat, pour nous aider à améliorer notre consommation. Linky, c'est un système d'abonnement.
Je demande une précision technique, même si je ne suis pas certain de l'avoir ce matin, mais c'est un sujet qui est sur la table depuis 2-3 ans.
Mme Sylvie Robert . - Merci au rapporteur et à Catherine Morin-Desailly, qui avait évoqué la question des objets connectés lors de la discussion sur la mise en oeuvre du RGPD en France. Elle souhaitait que ces mots y soient inscrits mais elle a reçu une fin de non-recevoir. Pourtant, ce sujet est extrêmement important.
Je partage les conclusions de ce rapport et, singulièrement, la demande d'augmentation des moyens de la CNIL. Là aussi, nous l'avions demandé durant le débat sur la mise en oeuvre du RGPD en droit français. Mais j'ai été très étonnée de la réponse du Gouvernement, qui s'est contenté de dire que ces moyens avaient été augmentés il y a quelques années et que, puisqu'on était passé à un système de mise en conformité, là ou avant il fallait une autorisation, la CNIL aurait moins de travail. On verra ce qu'il en sera dans le prochain projet de loi de finances, mais j'attire l'attention de nos collègues, car c'est une question très importante.
Par ailleurs, j'aimerais que la notion de consentement soit plus clairement mise en avant dans le texte, en insistant sur le fait que l'utilisateur peut à tout moment retirer son consentement. Les deux facettes « in-in et in-out » et leurs conséquences sont bien expliquées, mais sur le consentement, il faudrait être plus précis. C'est une notion très importante en ce qui concerne les données à caractère personnel. Et si je partage la position du rapporteur sur les trois grands axes de la proposition de résolution, l'exigence du consentement me paraît devoir être renforcée dans le texte.
Mme Laurence Harribey . - Je remercie le rapporteur pour ce travail, qui s'ajoute à ceux déjà réalisés sur le sujet. Et je pense qu'on devrait les compiler, car on commence à avoir un corpus intéressant et, surtout, pertinent.
Sur le texte concernant la certification de cybersécurité, avec René Danési, nous sortons d'une série d'auditions. Le texte sur lequel nous avions émis un avis motivé de subsidiarité a été beaucoup retravaillé et notre position a été entendue. On se dirige vers une certification vers le haut, même si nous devons rester vigilants.
Ce qui a été dit sur la normalisation vaut aussi, en partie, pour la certification. Je soutiens une certification de cybersécurité européenne, mais je rappelle que les compétences sont dans les États. Il faut donc que l'Union accepte de travailler avec eux pour établir une certification de haut niveau qui lui permettra d'asseoir sa place à l'international.
Un texte propre aux objets connectés pourrait renforcer l'arsenal européen, mais il faudra s'assurer qu'il n'entre pas en contradiction avec le texte général sur la certification.
Sur la localisation des données, nous avons auditionné hier un représentant de Thales, qui était plutôt sceptique sur cette solution. Il évoquait plutôt le chiffrement comme une piste plus plausible. Dans vos auditions, avez-vous eu des éléments là-dessus ?
M. Pierre Ouzoulias . - Je voudrais à mon tour me féliciter de la qualité du travail effectué, notamment par la présidente de la commission de la culture, et rappeler la spécificité de cette commission sur les questions numériques. Je pense que la commission des affaires européennes et la commission de la culture, en lien avec les autres commissions, auront certainement à travailler ensemble sur ces questions à l'avenir.
Je retiens que les données à caractère personnel sont collectées très souvent sans notre consentement et permettent de façon très fine de restituer notre comportement social, voire politique. On sait que certains travaillent à un profilage fin des individus pour soit leur vendre des produits, soit orienter les campagnes électorales, par une programmation de l'orientation des votes.
Comme en matière sportive, j'estime qu'il n'y a pas de petit niveau de dopage : soit on respecte tous la même règle, soit on ne la respecte pas. Donc, en matière électorale, il est essentiel que certaines écuries ne disposent pas de moyens dont les autres seraient privées.
Je pense que notre Haute assemblée a un rôle essentiel à jouer dans la défense des libertés individuelles. Et nous sommes là au coeur du sujet, qui n'est pas un petit sujet. De par notre tradition, nous devons montrer que le Sénat a un rôle à jouer.
Je suis donc très favorable à ce rapport et il faut continuer dans cette direction.
M. Olivier Henno . - Je salue à mon tour la qualité du rapport et les propos du président sur l'arme détenue par celui qui possède l'information, qui me rappelle mon métier d'origine, le marketing direct. À l'époque, on croisait les mailings et on appelait ça le marketing discriminant. Évidemment les calculateurs étaient beaucoup moins puissants qu'aujourd'hui, mais c'est le même processus.
Je suis assez frappé par l'écart entre l'exigence que la CNIL peut avoir vis-à-vis des données stockées dans les mairies - qui est légitime, en soi - et l'exigence qu'elle a vis-à-vis des GAFA qui est encore trop faible. On le voit, tout tourne autour du consentement.
Quand on regarde l'audition de Mark Zuckerberg, le patron de Facebook, par le Congrès américain, on se dit : soit il est vraiment de bonne foi et c'est quelqu'un qui est à la tête d'une arme qu'il ne maîtrise pas, soit il est de mauvaise foi et il dissimule des choses et ne dit pas toute la vérité. Ce qui est frappant, c'est l'absence d'anticipation.
Il faudra travailler sur cette notion de consentement. Ce n'est pas parce qu'on accepte de partager des informations sur ses loisirs, ses voyages et ses vacances qu'on accepte de voir ses goûts décryptés pour savoir ce que sont ses opinions politiques, philosophiques ou recevoir n'importe quelle offre commerciale ciblée. Or, c'est exactement ce qui se passe !
Et je trouve qu'il y a deux poids- deux mesures dans l'exigence.
M. André Reichardt . - Je voudrais mettre l'accent sur le caractère équilibré de cette résolution, qui demande la mise en place rapide d'un haut niveau de certification au niveau européen au point 21 et qui, pour ce faire, demande l'implication plus forte des pays européens, dont le nôtre. Et la mobilisation de tous les acteurs sera nécessaire pour faire monter le niveau.
Et si on évoque le risque de surveillance par des entités non européennes, quid du risque de surveillance en Europe ?
Je m'interroge aussi sur l'obligation de localisation. Je ne suis pas convaincu qu'elle soit exempte de critiques.
M. André Gattolin . - Concernant les compteurs Linky, il ne s'agit pas de dire que les compteurs intelligents ne font pas sens. Je vous renvoie sur ce point au rapport de l'Office parlementaire des choix scientifiques et technologiques du 15 février 2018 sur les enjeux des compteurs communicants. En l'espèce, ce qui compte, c'est l'information et le consentement des utilisateurs : on leur fait penser qu'on collecte leurs données pour qu'ils puissent mieux combattre leur consommation, alors qu'on va leur proposer de nouvelles offres marketing. Ce n'est pas le principe même des compteurs communicants qui est en jeu, mais l'usage qui en est fait.
Cela nous ramène à la notion de consentement. Pour certaines entreprises, l'acte d'achat vaut consentement. D'autres vous renvoient à la lecture de clauses écrites en tout petits caractères qu'on ne prend pas le temps de lire et c'est plutôt la question de l'information du consommateur qui est, à mon avis, en jeu. C'est un sujet complexe.
Sur le retrait du consentement, Catherine Morin-Desailly insiste sur un « droit au silence des puces ». L'idée est bonne, mais sa généralisation ne me paraît pas réaliste. Il y a des objets qui ne nécessitent pas ça. Il faut distinguer les objets « in-in » qui ne communiquent pas de données à l'extérieur et les objets « in-out », qui eux le font. C'est de ces derniers qu'on doit pouvoir se déconnecter. Mais, là encore, il faut distinguer : certaines données collectées peuvent être agrégées dans un objectif de santé ou de politique publiques. Par exemple, des données agrégées sur des logements plus ou moins insalubres dans un même espace permettraient de déterminer le meilleurs accès pour les forces d'intervention en cas d'incendie.
Et puis, il y aura des objets connectés, simples, qui auront une technologie peu développée et une durée de vie sûrement limitée. Et il faut quand même rappeler que, quand on achète un objet connecté, c'est justement parce qu'il l'est.
Tout comme Sylvie Robert et Pierre Ouzoulias, je suis favorable à des droits fondamentaux qui s'appliqueraient au numérique et soutiens aussi que notre Assemblée doit avoir un rôle éminent dans leur affirmation. Je suis plus réservé quant à leur généralisation à toutes les situations, car on se rend compte qu'on ne peut pas réglementer tous les aspects.
Je pense également qu'il ne faut pas négliger la régulation par la soft law , comme la certification et la normalisation qui impliquent les acteurs eux-mêmes. Les trois niveaux - national avec l'Afnor, européen et international avec les normes Iso - sont extrêmement importants.
Pour répondre à Sylvie Robert sur le fait d'inclure les termes « objets connectés » dans le projet de loi sur la protection des données, je signalerai que la CNIL nous a confirmé que, de fait, les objets connectés seront concernés par le RGPD, de portée plus large. En faire mention n'aurait rien apporté sur le plan juridique. Et sur le consentement, oui, il faut être plus clair.
Sur la différence d'exigence vis-à-vis des collectivités territoriales et des GAFA, je dirais qu'on essaie d'imposer des règles aux seconds, mais ce n'est pas facile. J'attire votre attention sur le RGPD, qui va quand même assez loin en imposant même des règles protégeant nos citoyens au-delà du seul territoire européen. C'est la première fois que nous avons un texte qui créé de l'extraterritorialité, à l'image de ce que font les États-Unis avec le Cloud Act que j'ai évoqué.
Les sujets sont complexes et un texte entre tout juste en application : attendons déjà de voir comment cela se passe avant de proposer une nouvelle législation. Nous devons aussi être très attentifs à l'application du Privacy Shield signé avec les États-Unis. La Commission européenne doit présenter un rapport sur l'application de cet accord en septembre prochain. Nous en tirerons alors toutes les conséquences.
Concernant la rédaction de la résolution, nous proposons d'ajouter à la fin du point 21 : « incluant notamment le libre consentement des personnes » .
Mme Sylvie Robert . - Ça va dans le sens que je souhaitais, mais je voudrais qu'on indique qu'on peut retirer son consentement à tout moment.
M. André Gattolin . - Je ne crois pas qu'on pourra le faire pour tous les objets.
M. Jean Bizet , président . - Je comprends le point de vue de Sylvie Robert, dont je rappelle qu'elle siège à la CNIL. Je propose qu'on s'en tienne à la rédaction proposée en ce qui concerne la résolution, mais que le rapport explicite plus précisément ce point.
M. André Gattolin . - Je souhaiterais juste évoquer en complément la question de la territorialisation et du stockage des données. Certaines données ne sont pas uniques et nécessitent une sauvegarde. Un pays comme l'Estonie, qui craint une attaque d'un grand pays voisin, stocke ses données en Grande-Bretagne. Donc, j'attire votre attention sur les limites, voire le danger, de cette solution qui consisterait à garder toutes les données au même endroit. C'est pourquoi, je ne suis pas favorable à une localisation généralisée des données en Europe.
*
À l'issue du débat, la commission des affaires européennes a conclu, à l'unanimité, à l'adoption de la proposition de résolution modifiée dans le texte suivant :