M. le président. La parole est à M. Joël Guerriau.
M. Joël Guerriau. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, le monde réel voit sa part, dans nos existences, diminuer chaque jour, au profit du monde virtuel. En 2019, les Français ont passé, en moyenne, plus de deux heures par jour sur internet, et rien n’indique que cette tendance soit appelée à s’inverser ; le développement du télétravail et la distanciation sociale contribueront probablement à des records en la matière.
Si nous connaissons les avantages du numérique, nous appréhendons moins ses dangers. Ainsi, la proposition de loi de M. Lafon a pour objectif de mieux informer les consommateurs sur le niveau de sécurité des services qu’ils utilisent.
La commission des affaires économiques a introduit un mécanisme de score qui a l’avantage d’apporter plus de clarté, et il me semble d’ailleurs que cela est assez symptomatique : le sujet n’est pas lisible. Hormis certains spécialistes, très peu d’entre nous connaissent le fonctionnement des outils numériques. Nous savons les utiliser – les concepteurs veillent d’ailleurs à produire des logiciels très ergonomiques –, mais nous ignorons les principes qui régissent ce monde particulier, encore naissant à bien des égards.
L’information du public sur les risques est une avancée qu’il nous faut soutenir. Elle implique toutefois un travail important, parce qu’il sera nécessaire d’établir, mais aussi de mettre à jour, ces diagnostics ; cela exigera des efforts prolongés.
Pour améliorer l’information des consommateurs, nous devrons également développer l’enseignement du numérique, à l’école et hors de l’école. Je veux saluer ici le rôle de l’Anssi, qui, d’une part, veille à la protection des opérateurs d’importance vitale, et, d’autre part, travaille à développer en France la culture de la cybersécurité, en diffusant les bonnes pratiques et les bons outils.
Les responsables de la sécurité des systèmes d’information sont encore trop nombreux à plaisanter en affirmant que la plupart des failles se situent « entre la chaise et le clavier » ; sans une bonne connaissance de l’outil, il est difficile de se prémunir contre les risques…
En vérité, il est même probablement impossible de se prémunir totalement contre le risque « cyber » ; d’ailleurs, à la suite des révélations d’Edward Snowden, les services russes de renseignement ont résolu de commander des machines à écrire mécaniques…
Sans nous condamner à un retour à l’âge de pierre, les spécialistes de la cybersécurité font de la résilience l’une des composantes essentielles de la défense. En effet, personne n’étant immunisé contre une cyberattaque, il s’agit de savoir se relever lorsque l’agression a réussi. Tout comme l’évaluation du risque et les moyens d’y faire face, la résilience implique de développer une culture numérique. L’usager doit être averti des pièges à éviter et être conscient des failles ; cela n’est possible qu’avec une bonne connaissance du milieu.
Le cyberespace est un espace à part entière, où les enjeux sont multiples : souveraineté, extraterritorialité, sécurité des personnes dans la gestion de leurs données et protection de la vie privée. Aujourd’hui, nous sommes de plus en plus dépendants de services numériques souvent étrangers. Il est donc urgent de maîtriser pleinement cet outil, avant qu’il ne soit trop tard.
Les membres du groupe Les Indépendants – République et Territoires considèrent que les mesures proposées représentent une avancée pour nos concitoyens, mais qu’elles devront être plus largement complétées, afin de parvenir à un usage plus sûr des services numériques. (Applaudissements sur les travées du groupe INDEP.)
M. le président. La parole est à M. Daniel Salmon.
M. Daniel Salmon. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, nous examinons cet après-midi la proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public. Au travers de cette proposition de loi, on cherche à répondre aux craintes légitimes, exprimées pendant le confinement, sur le traitement de nos données personnelles collectées via les outils et autres plateformes de visioconférence facilitant le télétravail.
Tout d’abord, je me réjouis que la problématique de l’exploitation des données personnelles soit à l’ordre du jour du Sénat. Voilà un sujet majeur, qui touche aux questions de transparence et d’information du consommateur internaute sur la sécurisation de ses données et aux questions de souveraineté numérique, tant en France qu’à l’échelon européen.
Si l’évolution des technologies permet aujourd’hui une expansion bienvenue du télétravail, nous devons sensibiliser nos concitoyens à ces enjeux de cybersécurité et rappeler que la pratique du numérique conduit à s’exposer à un certain nombre de risques. Ainsi, les internautes, mais aussi les entreprises, sont particulièrement sujettes aux risques et doivent encore, pour une large majorité d’entre elles, s’approprier certains réflexes.
À l’heure où le numérique est partout et où le Gouvernement pousse au déploiement, sans débat et sans concertation, de la 5G, rappelons que la vigilance et la tempérance dans les pratiques et les usages du web sont primordiales pour ne pas exposer nos concitoyens ni aggraver notre bilan carbone.
Si de nombreux textes, à commencer par le RGPD, régissent déjà la cybersécurité, cette proposition de loi représente un pas supplémentaire vers plus de transparence et de droits pour les internautes, ce qui va évidemment dans le bon sens. Nous soutenons donc la principale mesure de ce texte : la mise en place d’un Cyberscore, un diagnostic de cybersécurité lisible, clair et compréhensible par tous.
Je m’interroge néanmoins sur la portée de l’amendement de Mme la rapporteure adopté en commission : si cette disposition étend le champ d’application du dispositif à tous les services numériques, notamment aux logiciels de visioconférence, elle limite le champ d’application aux services numériques les plus utilisés, selon des seuils à définir.
La commission a justifié cet aménagement en indiquant que cela « évitera d’imposer de trop fortes contraintes à de petites structures », mais nous pensons au contraire que les petites entreprises du numérique ont tout à gagner à faire valoir la fiabilité de leur plateforme et à faire respecter une gestion responsable des données. C’est justement une belle occasion pour elles de se démarquer des géants du numérique, qui ne sont pas toujours exemplaires en la matière. En outre, nous pensons également que c’est un pli à prendre pour toutes les nouvelles entreprises qui se lanceront dans ce secteur.
Nous souhaitons par ailleurs alerter la Haute Assemblée de l’amendement qu’a déposé le Gouvernement sur l’article 1er. Cet amendement tend à atténuer largement la portée de cet article, notamment en retirant l’obligation d’une évaluation des plateformes par une autorité administrative indépendante et à amoindrir la lisibilité du logo Cyberscore. Nous nous opposerons à cette réécriture, qui affaiblira forcément l’ambition initiale du texte.
Je dirai pour conclure que, si le groupe Écologiste – Solidarité et Territoires soutient ce texte en l’état, il considère également qu’il s’agit là d’un premier pas. Nous devons aller plus loin encore, notamment dans le cadre d’une évolution du RGPD. En effet, c’est bien évidemment à l’échelon européen que la démarche globale de certification de cybersécurité doit s’engager et avancer. Des évolutions récentes ont été actées, avec le Cybersecurity Act ; la France doit maintenant rapidement s’approprier ce chantier de la certification.
Dans un monde numérique dominé aujourd’hui par les grands acteurs américains et chinois, notre souveraineté nationale dépend de l’Europe, tout comme l’Europe a besoin de la France pour se développer dans ces domaines. Nous disposons de tous les outils pour y parvenir : la technologie, le savoir-faire, une main-d’œuvre hautement qualifiée. Il faut être à l’avant-garde de ces enjeux d’avenir, mais il faut aussi garder une lucidité pleine et entière pour analyser les avantages et les inconvénients de la numérisation de la société.
M. le président. La parole est à M. Bernard Buis.
M. Bernard Buis. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, si le confinement a eu une vertu, c’est celle de nous montrer à quel point les Français pouvaient, malgré leurs privations de liberté, faire preuve d’imagination, de créativité, de réactivité et de résilience pour briser les barrières physiques que nous imposaient les règles sanitaires. Télétravail, télémédecine, visioconférence, sport en ligne, représentations artistiques : c’est en grande partie grâce au numérique que ces solutions de remplacement salvatrices ont pu s’exprimer.
L’écosystème français a donc dû s’adapter à ces nouvelles règles, grâce au numérique, qui connaît en France une certaine maturité : notre pays compte en effet 53 millions d’internautes mensuels, ce qui représente 92 % de foyers connectés dans l’Hexagone.
Bloqués à leur domicile pendant deux mois, les Français n’auront jamais autant utilisé internet que pendant la période de confinement. Par exemple, en avril 2020, les trois quarts des Français, soit 46 millions de personnes, se sont connectés tous les jours.
Les géants américains du web, désignés par l’acronyme « Gafam » – Google, Apple, Facebook, Amazon, Microsoft –, en ont profité pour asseoir leur domination ; Google, avec 39 millions de visiteurs quotidiens, Facebook, avec 31 millions de visiteurs quotidiens et YouTube, qui appartient à Google, sont les sites les plus visités chaque jour.
Or la sécurité requise dans l’espace public vaut aussi pour l’espace numérique. L’ensemble de notre quotidien, personnel et professionnel, repose un peu plus chaque jour sur des outils et plateformes numériques susceptibles d’utiliser nos données personnelles en vue d’actes malveillants.
Le nombre d’attaques en ligne ne cesse d’augmenter. Dans ce contexte, le travail de l’Agence nationale de la sécurité des systèmes d’information, l’Anssi, qui assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État, est crucial. Néanmoins, au regard des menaces grandissantes, il paraît nécessaire que cette agence soit renforcée par de nouveaux moyens humains et structurels.
L’Agence est déjà intervenue 104 fois cette année pour régler des attaques par rançongiciel, c’est-à-dire au moyen d’un logiciel malveillant prenant en otage des données personnelles et réclamant une rançon ; en 2019, l’Anssi n’avait compté que 54 cas. C’est donc déjà deux fois plus, alors que l’année n’est pas encore finie…
Face à cette insécurité qui progresse de façon exponentielle, il ne fait pas de doute que nous accueillons cette proposition loi avec bienveillance. Son article 1er propose que les consommateurs soient mieux informés sur la sécurisation des données lorsqu’ils utilisent solutions numériques, l’objectif étant de mettre place, à terme, une sorte de Nutriscore de la cybersécurité. Nous ne pouvons que souscrire à cette proposition.
Il faudrait toutefois que les modalités du diagnostic soient précisées par un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, la CNIL ; tel est l’objet d’un amendement du Gouvernement.
Cela montre également qu’un travail coconstruction entre la rapporteure et le Gouvernement a pu être mené pour aboutir à un texte aussi efficace que techniquement réalisable.
Aussi, au travers d’un sous-amendement, la rapporteure souhaite intégrer, parmi les fournisseurs de service en ligne, les acteurs de services de visioconférence en ligne, particulièrement sollicités dans cette situation sanitaire particulière, notamment pour le télétravail. Il est vrai que nous n’avons que peu d’informations sur le stockage des données de ces plateformes, qui s’accommodent assez facilement du règlement européen sur la gestion des données, auxquelles elles doivent se soumettre. Il nous paraît donc assez cohérent de souscrire, au premier abord, à l’idée d’un tel sous-amendement.
Plus globalement, c’est l’ensemble de cette proposition de loi que nous soutenons. L’information du consommateur, au travers de dispositifs comme l’étiquetage dans le domaine de la consommation énergétique ou alimentaire, est la grande oubliée des supports numériques. Aussi ce projet de Cyberscore nous paraît-il particulièrement bienvenu pour répondre aux nombreuses interrogations des internautes.
Nous voterons donc cette proposition de loi.
M. le président. La parole est à M. Jean-Claude Requier.
M. Jean-Claude Requier. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, ce texte, issu de la commission des affaires économiques, s’inscrit dans la série de travaux réalisés par le Sénat, depuis un certain temps, dans le domaine du numérique et des technologies de l’information.
Ainsi, rappelons la proposition de loi adoptée en début d’année visant à garantir le libre choix du consommateur dans le cyberespace, la question du statut des travailleurs de plateforme, qui a fait l’objet de plusieurs propositions de loi, et, enfin, la lutte contre l’illectronisme et l’encouragement de l’inclusion numérique, qui ont fait l’objet, sur l’initiative du groupe du RDSE, d’une mission d’information ayant rendu ses conclusions le mois dernier.
La cybersécurité, enjeu de longue date, est une question encore plus centrale depuis les mesures de lutte contre la pandémie de covid-19 et le recours massif au travail à distance, au moyen d’outils numériques. En effet, le confinement a accéléré l’utilisation de ces outils, à des fins tant professionnelles que privées. Dans ce contexte, le recours, parfois dans l’urgence, à des applications de téléconférence n’est pas allé sans augmenter les risques de piratage, d’enregistrement indu ou de détournement de données personnelles.
Je fais également remarquer que les collectivités territoriales, ne bénéficiant souvent pas des mêmes ressources que l’État, sont plus vulnérables à la cybercriminalité.
Avec cette proposition de loi, l’initiative du groupe UC et de notre collègue Laurent Lafon procède d’une intention légitime : renforcer la sécurité des plateformes numériques, en particulier des outils de téléconférence et de commande en ligne, en instaurant une obligation de certification.
Concrètement, les services de communication en ligne devront communiquer les informations relatives à la sécurité des données hébergées par eux ou par un autre prestataire. Cette démarche devra néanmoins s’articuler avec, d’une part, les travaux en cours à l’échelon européen, et, d’autre part, les aspects relevant du domaine réglementaire.
Si la pertinence du sujet ne fait pas de doute, le véritable enjeu se trouve dans sa technicité et dans l’applicabilité de nouvelles dispositions : champ d’application de la certification, niveau adéquat de norme, effectivité face à des acteurs de niveau mondial.
Le groupe du RDSE souscrit en principe à cette initiative. Je me permets simplement d’exprimer une réserve ou, du moins, une interrogation sur les éventuelles conséquences financières de cette nouvelle obligation. La certification sera-t-elle payante ? Les start-up et autres petites entreprises n’ont pas forcément les moyens de remplir ce type d’obligation, ce qui risque de créer une concurrence déloyale avec les plus grands acteurs.
La rapporteure a assuré que la modification adoptée en commission la semaine dernière les protégera de ce risque, mais elle renvoie à un décret pour la définition des seuils d’utilisation. Or on sait que les décrets prennent parfois du temps à être adoptés… Combien de temps faudra-t-il attendre pour obtenir le précieux sésame ?
En conclusion, le groupe du RDSE salue cette initiative dans un domaine pleinement d’actualité, où les risques d’abus sont généralement sous-estimés. La cybersécurité est de la responsabilité de chacun ; la maîtrise minimale des outils et des enjeux du numérique, donc la lutte contre la fracture numérique, sont également un objectif.
Aussi, nous voterons en faveur de l’adoption de ce texte, excepté l’un d’entre nous, qui s’abstiendra.
M. le président. La parole est à M. Fabien Gay.
M. Fabien Gay. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, de nombreux enjeux éthiques, démocratiques et économiques auxquels nous sommes confrontés aujourd’hui sont directement liés à l’essor des nouvelles technologies et à la généralisation de l’utilisation d’outils informatiques et numériques.
À l’ère de l’omniprésence de l’informatique et des objets connectés, la question de la sécurité des systèmes est donc centrale. Aussi, en matière de cybersécurité, deux axes nous semblent essentiels.
La première problématique est celle de la cybercriminalité et des piratages. En effet, 80 % des entreprises disent avoir été touchées par au moins une cyberattaque en 2018. Le pire est que l’on observe à la fois une professionnalisation des cyberattaquants et une multiplication des cyberdélinquants. À cet égard, l’explosion du télétravail, en cette période de crise sanitaire, a mis en lumière la fragilité des particuliers et de nombreuses entreprises.
Plusieurs questions se posent : pourquoi mes données personnelles doivent-elles être protégées ? Que se passerait-il si nos objets numériques partageaient librement nos données avec un tiers ? Que pourrait en faire ce dernier ? Et les mêmes interrogations se posent pour une entreprise, pour un service public ou pour un État.
Si l’acquisition, par les usagers, de connaissances sur la cybersécurité et une meilleure information sont une nécessité, il n’en demeure pas moins que c’est d’un véritable effort de formation que nous avons besoin, d’autant que la France fait face à une pénurie de cyberspécialistes.
De nombreux objets connectés d’un usage quotidien ne sont souvent que très faiblement sécurisés, alors même qu’ils pénètrent dans les foyers et sont susceptibles de donner accès à toutes sortes d’informations sensibles.
Je donnerai quelques exemples récents : la découverte, dans un robot-cuiseur, d’un micro, dont aucune mention n’était faite dans la notice, ou encore les Vtech Leaks, en 2015, avec le piratage de plus de 6 millions de comptes de tablettes pour enfants, qui était, fort heureusement, le fait d’un militant souhaitant démontrer la non-fiabilité de ces appareils. Ajoutons à cela l’étude de chercheurs de l’université de l’Iowa, qui ont trouvé une douzaine de failles de sécurité que la 5G pourrait aggraver, sans qu’il soit nécessaire, pour les pirates, de disposer d’un équipement de pointe.
À toutes ces questions sociétales, commerciales et économiques, on pourrait ajouter des problématiques de défense nationale, alors même que le cyber fait partie des nouveaux champs de bataille de la guerre hybride.
La deuxième problématique à laquelle nous devons faire face est l’extraterritorialité des lois états-uniennes, qui permettent au gouvernement des États-Unis de demander, en justice, l’accès à toute donnée personnelle détenue par une entreprise américaine, où qu’elle soit implantée dans le monde. Rappelons-le, aux États-Unis, le secret professionnel n’existe pas face à la raison d’État. Il est donc impératif, en cas de marché public, de prendre en compte ces risques.
D’ailleurs, le 16 juillet dernier, la Cour de justice de l’Union européenne a cassé l’accord sur les données personnelles passé entre les États-Unis et la Commission européenne, considérant que ce traité ne protégeait pas suffisamment les citoyens européens. Le risque est que, avec le cloud, les données publiques sensibles tombent sous le coup de la législation états-unienne.
C’est notamment le cas pour ce qui concerne les données de santé, qui devaient être hébergées dans les data centers de Microsoft, aux Pays-Bas.
Or Microsoft étant une société américaine, elle est soumise au Cloud Act des États-Unis. Qui plus est, en raison du fonctionnement même de son cloud, une partie des données peut déjà se trouver aux États-Unis. Ainsi, ces données devraient, au minimum, être gérées par une société européenne, avec un cloud et des serveurs exclusivement situés sur le territoire de l’Union européenne, voire, dans le meilleur des cas, rester dans le « tout français ».
Mes chers collègues, même si cette proposition de loi reste limitée dans son champ, elle pose une première pierre ; nous voterons donc en faveur de ce texte. (Applaudissements sur les travées des groupes CRCE et SER.)
M. le président. La parole est à M. Rémi Cardon. (Applaudissements sur les travées du groupe SER.)
M. Rémi Cardon. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, la cybersécurité est un enjeu mondial pour l’ensemble des acteurs.
Aujourd’hui, le développement des technologies de l’information et des communications est de plus en plus difficile à encadrer. Permettre le développement du numérique, tout en garantissant la sécurité, la protection des données et la confiance des consommateurs, est un défi difficile à relever.
Ce débat est l’occasion de le rappeler, le déploiement d’un parcours d’identification numérique, au travers duquel chaque citoyen pourra prouver son identité en ligne, dépend aussi de la capacité de chaque usager à s’approprier de tels systèmes, aussi intelligents soient-ils. Cette capacité dépend directement du degré de confiance qu’auront ces usagers à l’égard des plateformes numériques.
L’actualité montre à quel point nous sommes devenus vulnérables face à un nouveau modèle, qui s’impose implacablement. Il faut apprendre à vivre dans ce monde où chaque instant de notre vie devient perméable à toutes sortes d’intrusions, en raison du développement des objets connectés.
Même au siècle de l’intelligence artificielle, personne ne peut contester le fait que le risque zéro n’existe pas. Les failles existeront toujours, et les victimes doivent être prises en charge. C’est une question tant juridique, s’agissant des dispositifs législatifs à améliorer, que technologique, pour ce qui concerne les outils de protection a posteriori qui pourraient être développés.
Aussi, la question des données personnelles des citoyens doit être au cœur de nos préoccupations. La protection de ces derniers doit être renforcée, notamment dans le cadre d’une évolution du RGPD, le règlement européen traitant de la gestion des données, en vigueur depuis mai 2018.
Il faut améliorer le dispositif de consentement des utilisateurs et mieux alerter ceux-ci quant aux risques liés à l’exploitation de leurs données. Cette réflexion doit être menée rapidement, dans le cadre d’une approche qui englobe la question de la neutralité des réseaux et des terminaux, la portabilité des données et l’interopérabilité des plateformes.
Le Sénat a beaucoup travaillé ces derniers mois sur ces sujets, qu’il s’agisse du rapport sur la souveraineté numérique ou encore de la proposition de loi visant à renforcer le droit des consommateurs dans le cyberespace, adoptée à l’unanimité dans cet hémicycle, mais l’appropriation de cette question par le grand public doit être renforcée. Il est difficile de choisir, sans repères simples, une solution de visioconférence ou autre.
Il faut aussi consolider les évolutions amorcées tant en France qu’à l’échelon européen. Comme tout État membre, la France aura jusqu’au 28 juin 2021 pour mettre en conformité sa législation nationale avec les règles européennes. Elle doit rapidement s’approprier ce chantier de la certification.
J’en viens au texte lui-même.
À l’article 1er, le Cyberscore, issu des travaux en commission et équivalent à un Nutriscore de la cybersécurité des solutions numériques, aura le mérite d’apporter aux utilisateurs un repère simple, pour qu’ils puissent s’y retrouver dans la multitude d’offres de service de communication en ligne, à propos notamment du niveau de sécurité garanti.
Le sous-amendement proposé par M. Lafon vise à rendre plus contraignante la présentation du diagnostic : le Cyberscore devrait figurer lors de chaque connexion au service, à l’image du diagnostic de performance énergétique. La version proposée par le Gouvernement nous convient, d’autant qu’elle inclut la consultation de la CNIL sur les indicateurs qui seront pris en compte par le diagnostic de cybersécurité. Elle satisfait donc l’amendement que nous avions déposé initialement.
Il est également indispensable que l’ensemble des opérateurs de service de communication en ligne soit concerné, et non pas seulement les plateformes numériques. Nous voterons donc pour le sous-amendement de la rapporteure, afin d’inclure, dans le champ de la proposition de loi, les éditeurs d’application de visioconférence, par exemple.
Dans un monde de réseaux, où l’information circule de plus en plus rapidement, il est indispensable de garantir aux acteurs publics la sécurité de leurs données stratégiques. Il s’agit donc de protéger leur développement et leur transformation numérique.
Les collectivités territoriales, par exemple, traitent un volume croissant de données personnelles, afin d’assurer le fonctionnement des services publics dont elles ont la charge. La divulgation de ces données – fiscales, sociales ou autres –, leur altération, leur suppression ou leur vol constituent des atteintes dommageables en soi, mais elles ont également de graves répercussions sur le déroulement du processus de modernisation de l’administration et des services des collectivités visées.
Même si nous comprenons l’esprit des auteurs de la proposition de loi, les impératifs de cybersécurité ne sont toutefois pas applicables à la plupart des achats publics ; nous voterons donc pour l’amendement, proposé par le Gouvernement, de suppression de l’article 2.
Au-delà de notre débat juridique, la cybersécurité est un sujet qui touche tous les territoires et ses acteurs : les entreprises – notamment les grands groupes et leurs filiales, mais aussi, et surtout, les entreprises de tailles intermédiaires, les PME et les start-up –, mais encore les collectivités, les hôpitaux, les élus et les associations. La présence d’un écosystème dédié sur un territoire, composé de pure players et complété par des PME et des start-up, ainsi que par la présence d’une offre de formation, sont autant d’atouts pour favoriser le développement de la filière sur les territoires et l’accueil de nouvelles entreprises.
Mes chers collègues, il me reste quelques secondes de temps de parole pour vous indiquer que le groupe Socialiste, Écologiste et Républicain votera pour cette proposition de loi, malgré quelques nuances. (Applaudissements sur les travées du groupe SER. – Mme la rapporteure applaudit également.)
M. le président. La parole est à Mme Sophie Primas.
Mme Sophie Primas. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, je souhaite naturellement exprimer, à mon tour, mon plein et entier soutien à la démarche de notre collègue, M. Laurent Lafon, que je félicite d’ailleurs pour son élection à la présidence de la commission de la culture.
Je rejoins les différents orateurs pour souligner la nécessité de ne pas laisser les consommateurs démunis face aux solutions numériques qu’ils utilisent. La solution d’un Cyberscore, proposée ici, me paraît, ainsi qu’à l’ensemble de la commission des affaires économiques, particulièrement pertinente. Nous avons donc enrichi le texte en commission afin de le faire prospérer, et je remercie notre collègue Anne-Catherine Loisier, rapporteure de ce texte, de son travail efficace et rapide.
Il existe un véritable enjeu de protection du consommateur sur internet, laquelle protection passe par une meilleure information sur les solutions utilisées.
Monsieur le secrétaire d’État, vous connaissez mon attachement à la défense du consommateur dans le cyberespace. Aussi, je ne manque pas l’occasion de rappeler que cette protection du consommateur passe également, à notre sens, par un encadrement plus structurel des pratiques des géants du numérique. Ces pratiques tendent à enfermer le consommateur dans un web en silo, à rebours du web eldorado des libertés et des opportunités.
Ce matin, en commission mixte paritaire, nous ne sommes pas parvenus à un accord sur ce sujet : alors qu’une majorité se dessinait clairement, le Gouvernement a donné l’ordre à sa majorité de renoncer à toute ouverture au motif que tout devait être édicté au niveau européen, dans le cadre du Digital Services Act, ou DSA, dont la première version, qui n’est pas bouclée à ce jour, sera présentée – « si tout va bien » – au début du mois de décembre.
Même l’interdiction des « interfaces trompeuses », c’est-à-dire de celles qui sont conçues pour induire les consommateurs en erreur, n’a pas trouvé grâce aux yeux du Gouvernement, alors que le DSA ne traite pas ce sujet. Nous avons donc une vision différente de la défense du consommateur.
J’ajoute que nous avions proposé de reporter à 2023 la mise en application des dispositifs adoptés deux fois à l’unanimité par le Sénat, afin de vous permettre de mener les négociations européennes et d’avoir des solutions nationales en cas de retard ou d’échec de ces mêmes négociations.
Je suis donc surprise – heureusement surprise ! – que le Gouvernement ne retienne pas la même approche sur cette proposition de loi, par essence de portée nationale, alors qu’il reconnaît la nécessité d’une législation européenne.
Le Gouvernement semble donner ici un gage de sa volonté d’avancer sur ce point relatif à l’information du consommateur, même si tout dépend encore de l’inscription du texte à l’ordre du jour de l’Assemblée nationale. Nous verrons donc…
Cette proposition de loi me donne l’occasion d’évoquer la question de la sécurisation des données de nos entreprises, en particulier de leurs données stratégiques. Comme l’a brillamment souligné notre collègue, la confidentialité de ces données peut être fragilisée par des lois de portée extraterritoriale.
Au travers d’initiatives comme Gaïa-X, les gouvernements français et allemand veulent promouvoir les solutions européennes de confiance en matière de cloud, ce qui va dans le bon sens.
Toutefois, qu’en est-il de la traduction législative du rapport de notre collègue député Raphaël Gauvain, que le Gouvernement a annoncé à plusieurs reprises ? Qu’en est-il de la réforme de la loi de blocage, promise depuis plusieurs années ? Qu’en est-il de l’extension du règlement général européen sur la protection des données, le RGPD, aux données des entreprises ? Monsieur le secrétaire d’État, pouvez-vous nous éclairer sur les intentions du Gouvernement sur ces points dans les dix-huit mois à venir ?
Le Cyberscore que vise à instaurer cette proposition de loi permettra aux entreprises utilisant des solutions « grand public » d’être mieux informées. Toutefois, cela ne résout pas tous les problèmes auxquels nos entreprises doivent faire face quant à la sécurisation de leurs données.
Monsieur le secrétaire d’État, malgré notre réel désaccord de ce matin et, je dois le dire, notre réel mécontentement sur le fond et sur la forme, nous sommes bien évidemment disposés à travailler avec vous sur ces sujets stratégiques pour notre économie et notre pays. (Applaudissements sur les travées des groupes Les Républicains et UC.)