Lundi 19 juin 2023
- Présidence de M. Mickaël Vallet, président -
La réunion est ouverte à 15 h 30.
Audition de M. Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications
M. Mickaël Vallet, président. - Monsieur le ministre, nous sommes heureux de vous entendre cet après-midi pour conclure les travaux de notre commission d'enquête sur la plateforme TikTok.
Le 8 juin dernier, nous avons auditionné deux responsables de la branche française de l'entreprise, M. Éric Garandeau et Mme Marlène Masure. Sur plusieurs sujets, nous n'avons pas obtenu de réponses aussi précises que nous le souhaitions.
Vous pourrez nous dire si, lors de votre rencontre du 8 mars dernier avec Erich Andersen, conseiller général de ByteDance, celui-ci s'est engagé au nom de TikTok sur une feuille de route et sur un calendrier précis pour la mise en conformité de l'entreprise avec ses diverses obligations.
Nous pourrons également aborder les raisons qui ont conduit à l'interdiction de l'utilisation de l'application sur les téléphones des fonctionnaires.
Par ailleurs, nous aimerions connaître votre appréciation du projet Clover, qui, selon les responsables de l'entreprise, permettra de protéger de manière certaine les données personnelles des utilisateurs européens. Quel est l'état d'avancement de ce projet ? Les importantes sommes annoncées par les responsables de TikTok lors de leur audition pour sa mise en oeuvre sont-elles une réalité ? Permettra-t-il d'obtenir des garanties suffisantes d'« étanchéité » par rapport aux intrusions et autres accès indus ?
Bien entendu, nous souhaiterions aussi évoquer le projet de loi visant à sécuriser et réguler l'espace numérique, que le Sénat va examiner très prochainement. Les règlements sur les services et marchés numériques nous permettront-ils d'infléchir, dans l'intérêt général, les pratiques des grandes plateformes ? En particulier, l'entreprise TikTok vous paraît-elle disposée à accomplir rapidement les efforts nécessaires dans les délais requis ?
Cette audition est diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, M. Jean-Noël Barrot prête serment.
M. Jean-Noël Barrot, ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications. - Permettez-moi d'abord de saluer l'initiative prise par cette commission d'enquête. Les problématiques soulevées par l'utilisation de TikTok - une plateforme qui s'est intriquée dans de nombreuses facettes de notre société - ne peuvent plus être ignorées. Votre travail permet d'exposer ces questions vitales au grand jour, ouvrant ainsi un débat qui était nécessaire et urgent.
Le programme des auditions que vous avez organisées est plus que pertinent : grâce à la diversité des expertises sollicitées allant des spécialistes des données aux psychologues, vous avez créé un espace d'échanges et d'apprentissage unique. C'est une démarche essentielle pour comprendre les multiples dimensions de l'impact de TikTok, et, d'une façon plus générale, des plateformes qui jalonnent aujourd'hui la vie quotidienne des Français.
Je souhaite consacrer mon intervention à trois sujets fondamentaux : la sécurité et la protection des données personnelles des citoyens, les conséquences addictives et cognitives inhérentes à l'utilisation de TikTok, et, enfin, les implications géopolitiques inhérentes à ces questions.
TikTok, premier succès technologique indéniable, a conquis la planète en un temps record : avec 1,7 milliard de téléchargements depuis sa création en 2020, la plateforme a recueilli une quantité impressionnante de données. Trois ans plus tard, nous devons nous interroger : ce succès est-il mérité ou repose-t-il sur un abus ? Est-il loyal, et surtout, est-il en accord avec nos valeurs ? À l'heure où les données personnelles apparaissent comme des leviers économiques, leur protection devient un enjeu de souveraineté, un sujet dont nous avons fait une priorité avec Bruno Le Maire.
Les données dépassent les frontières des entreprises et redessinent la géopolitique mondiale. L'Europe a su forger un premier bouclier face à cette menace : le règlement général sur la protection des données (RGPD). Ce texte est plus qu'un simple règlement : c'est un rappel des valeurs européennes. Il place l'individu au coeur de ses préoccupations et réaffirme son droit inaliénable à la protection de ses données personnelles. Le RGPD est un standard qui n'est pas encore pleinement respecté par TikTok, ce qui appelle une réponse ferme. La Commission nationale de l'informatique et des libertés (Cnil) a déjà frappé en sanctionnant TikTok en décembre dernier avec une amende de 5 millions d'euros. Ce signal fort résonne comme un avertissement : le respect du modèle européen de protection des données n'est pas une faveur que nous demandons, c'est une exigence que nous posons.
Cette sanction alimente le faisceau d'indices qui posent question quant à la compatibilité entre les lois étrangères et nos législations. Ce constat mérite toute notre attention et notre vigilance. Nous avons exhorté TikTok à se conformer à ces normes indiscutables. La plateforme s'est engagée à assurer une protection durable des données de nos concitoyens, en réalisant les investissements nécessaires en ce sens, afin d'installer, notamment, des centres de données européens. Ainsi, le projet Clover, annoncé par TikTok, est en cours de concrétisation. Sur ce point, je serai intransigeant : TikTok doit traiter toutes les données des Européens en Europe, avec des structures qui garantissent l'impossibilité technique de les envoyer en dehors du continent - c'est tout simplement l'esprit et la lettre du RGPD.
J'en viens aux travers de l'algorithme de l'application.
Au centre du modèle économique de TikTok, avec son design racoleur et intuitif, on retrouve l'individu - et bien souvent des jeunes publics. TikTok, ce titan de l'économie de l'attention, leurre ses utilisateurs dans un océan infini de contenus conçus pour engloutir leur temps et leur concentration. C'est le résultat d'une stratégie délibérée, intégrée dans la conception même de l'application. Les algorithmes sont des outils puissants qui apprennent de nos préférences et de nos comportements pour nous proposer un flux personnalisé de contenus. Mais ne soyons pas naïfs : l'algorithme de TikTok n'est pas neutre. Il favorise certaines vidéos, certains messages et certains comportements en fonction d'objectifs commerciaux plutôt que d'intérêts sociaux ou éducatifs.
Plusieurs des personnes que vous avez auditionnées l'ont démontré, TikTok exploite habilement des mécanismes de récompense et de renforcement cognitifs pour créer un lien quasiment compulsif avec ses utilisateurs. TikTok a choisi de développer un produit fondamentalement addictif en offrant aux utilisateurs ce qu'ils désirent voir dans une logique d'utilisation du scrolling qui ne s'arrête jamais - un modèle qui a depuis été copié par d'autres plateformes, notamment par Instagram ou YouTube. L'effet est particulièrement prononcé chez les plus jeunes, dont les esprits en développement sont fortement sensibles à ces stimuli.
Plusieurs études et démonstrations vous ont été présentées durant les précédentes auditions qui en viennent toutes à la conclusion que ce type de réseau social de vidéos courtes et fondé sur l'économie de l'attention engendre des conséquences graves sur la santé physique et mentale des jeunes.
La promesse initiale de TikTok était de s'abstraire des algorithmes fondés sur le graphe social, pour aller vers une logique d'exploration de nouveaux contenus. Dans les faits, l'utilisateur est conduit à l'enfermement par la sursollicitation des mécanismes de récompense du cerveau et une utilisation agressive de l'intelligence artificielle.
Pour répondre à ces défis, le règlement européen sur les services numériques, le Digital Services Act (DSA), adopté sous la présidence française de l'Union européenne, sous l'impulsion du Président de la République, est l'outil adéquat. TikTok a été désigné comme une très grande plateforme par la Commission européenne dans le cadre de ce règlement, et devra à ce titre rendre des comptes dès son entrée en vigueur au 25 août prochain. TikTok devra notamment respecter l'interdiction de la publicité ciblée pour les mineurs et mettre en oeuvre des mesures strictes pour lutter contre les contenus illicites, en effectuant annuellement des audits indépendants de réduction des risques et en analysant l'ensemble des risques que cette plateforme fait peser sur le bien-être et la santé mentale et physique de ses utilisateurs.
Dans le cas où TikTok ne respecterait pas ces obligations nouvelles, des sanctions seront prononcées, allant jusqu'à 6 % de son chiffre d'affaires - soit environ 560 millions d'euros - et pouvant conduire à une interdiction d'opérer en Europe.
Dès l'entrée en vigueur du règlement sur les services numériques, la Commission européenne, avec l'appui de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) en France, pourra ainsi commencer les perquisitions, les interrogatoires, les collectes de données massives et mobiliser le monde de la recherche pour accroître notre compréhension du fonctionnement des plateformes. À titre d'exemple, en France, le pôle d'expertise de la régulation numérique (PEReN) a pour projet d'effectuer des expérimentations sur TikTok en matière d'instrumentation d'applications mobiles et d'audit algorithmique sur la recommandation de vidéos de TikTok. Je ne peux que réaffirmer ici l'importance de donner à nos chercheurs les moyens d'explorer et d'auditer les grands algorithmes de notre quotidien dans des conditions de transparence accrue.
Il est en effet grand temps de repenser le rôle et la responsabilité des plateformes numériques dans notre société. Le projet de loi visant à sécuriser et réguler l'espace numérique qui sera examiné prochainement au Sénat incarnera à ce titre avec force l'ambition du règlement sur les services numériques, en y ajoutant des mesures additionnelles.
Enfin, pour comprendre les enjeux liés à l'algorithme de TikTok, il faut bien noter qu'en Chine l'application a un autre nom - Douyin - et un algorithme différent. De plus, à l'intérieur de ses frontières, la Chine limite la durée d'utilisation et contrôle étroitement le contenu. La conclusion est simple : la Chine ne tolère pas sur son propre sol ce qu'elle permet à l'étranger via une entreprise qu'elle contrôle. Cette contradiction met en relief l'ambition chinoise d'éduquer ses élites tout en établissant des restrictions sur un certain modèle d'engagement numérique pour sa population générale. Cette situation binaire incite à une réflexion plus profonde sur les impacts et les défis posés par des plateformes telles que TikTok.
Les questions dont nous traitons aujourd'hui revêtent ainsi une dimension hautement géopolitique.
Le monde numérique d'aujourd'hui n'est pas exempt de frontières, bien au contraire. La géographie de l'information s'est complexifiée, et la question de la provenance des services numériques que nous utilisons devient une préoccupation majeure. TikTok n'est pas simplement une application de partage de vidéos, mais également un acteur de l'économie numérique mondiale avec un rattachement territorial à ne pas oublier. TikTok symbolise incontestablement le premier cas de la tech grand public qui réussit aussi bien, voire mieux, que les Américains sur leur propre terrain. Cela reflète l'ambition technologique de la Chine et l'activisme dont elle a fait montre ces dernières années. Ces applications mondialement répandues accèdent à un grand nombre des données des téléphones sur lesquels elles opèrent. Pour autant, dans le cadre du RGPD, l'Union européenne n'a pas signé d'accord d'adéquation avec la Chine. Il nous faut donc nous doter de mesures et d'outils pour prévenir tout détournement de l'application ou un mésusage de ses succès technologique à des fins d'exploitation des données, mais aussi de rivalités ou d'ingérence.
C'est en ce sens que la Commission européenne et le Gouvernement français ont pris des mesures concrètes consistant en l'interdiction d'installer certaines applications, dont TikTok, sur les appareils officiels. Notre approche en matière de sécurité numérique ne se fonde pas sur l'identification d'entreprises ou de pays amis ou ennemis : nous nous concentrons exclusivement sur la sécurisation de nos systèmes et la protection de nos utilisateurs et des données associées. Dans ce contexte, toutes nos décisions sont motivées par des impératifs de sécurité et non par des préférences ou des animosités. C'est ainsi que nous avons pris la décision d'interdire l'installation des applications récréatives - dont TikTok - sur les téléphones des fonctionnaires. Contrairement à ce que certains médias ont affirmé, il ne s'agissait pas d'interdire seulement TikTok, mais toutes les applications à usage non professionnel sur les appareils professionnels, afin de garantir la sécurité de nos systèmes d'information. La logique est simple : plus nous autorisons l'installation d'applications non contrôlées sur nos appareils professionnels, plus nous augmentons notre surface d'exposition aux cyberattaques. Cette mesure n'est donc pas une réaction à TikTok seul, mais une réponse à une menace plus globale et plus persistante ; c'est l'enjeu de la cybersécurité et de la protection des données de nos administrations dans un monde de plus en plus connecté.
Là encore, le règlement sur les services numériques apportera des garanties pour parer toute tentative d'ingérence ou de manipulation de l'information au travers d'algorithmes personnalisés. Le règlement obligera en effet les grandes plateformes - dont TikTok - à faire preuve de plus de transparence et de responsabilité en matière de lutte contre la désinformation, en les contraignant par exemple à publier des rapports annuels décrivant leurs pratiques de modération. Si ces garanties ne sont pas respectées, TikTok ne pourra plus opérer sur le territoire de l'Union européenne.
Pour conclure, le sujet de TikTok n'est pas seulement celui d'un réseau social populaire et intrigant, mais illustre à lui seul les défis économiques, sociétaux et politiques auxquels nous devons répondre collectivement. En ce sens, je suivrai la ligne directrice qui oriente mon action depuis ma prise de fonction, et qui fera écho dans cette institution : sécuriser et protéger les citoyens dans l'espace numérique, coûte que coûte.
M. Claude Malhuret, rapporteur. - Les auditions que nous avons menées ainsi que notre visite à la Commission européenne nous ont préoccupés par bien des aspects. Cette inquiétude était d'ailleurs à l'origine de la création de cette commission d'enquête.
Le transfert massif de données par TikTok vers la Chine est désormais une certitude. Les messages interceptés par BuzzFeed en novembre dernier le prouvent : les dirigeants de ByteDance ont été obligés de le reconnaître, prétextant une erreur et affirmant que cela ne se reproduirait pas. Or, ces messages sont clairs : pour citer l'un des responsables de TikTok, « tout se voit, impeccable ». Il s'agit donc d'un transfert de données massif et permanent. Les dirigeants de TikTok ont par ailleurs avoué que des entreprises chinoises participaient à la gestion de la plateforme, notamment de son algorithme, après l'avoir nié pendant des années.
C'est sans doute en raison de ces révélations que l'Union européenne a décidé, il y a trois mois, d'interdire le téléchargement de l'application sur les téléphones de ses fonctionnaires. Cette décision, suivie par la plupart des pays européens, pose plusieurs questions.
D'abord, même pressée par les journalistes, l'Union européenne n'a pas exposé les raisons précises de cette décision.
Par ailleurs, la France s'est singularisée en étendant cette mesure à d'autres applications, alors que seul TikTok avait été épinglé par d'autres pays. Ainsi, l'interdiction de Netflix, notamment, a fait sourire certains acteurs - je suis toutefois certain que votre ministère n'est pas à l'origine d'une telle décision ! Il me semble plutôt que le Quai d'Orsay tremblait une fois de plus à l'idée de déclencher le courroux de Xi Jinping à quelques jours du voyage du Président de la République en Chine.
Bref, personne n'a expliqué les raisons de cette décision, à l'exception du Premier ministre belge, Alexander De Croo : « Tik Tok est une entreprise chinoise, qui est aujourd'hui obligée de coopérer avec les services de renseignement chinois. C'est la réalité. Interdire son utilisation sur les appareils de services fédéraux relève du bon sens. Cette décision est prise avec l'appui de la sûreté de l'État et le Centre pour la Cybersécurité Belgique. »
Le Premier ministre belge dit-il la vérité ? Pourquoi chacun semble trembler à l'idée d'en dire autant ? Si elle diffère, quelle est l'explication de cette décision par le Gouvernement français ? Enfin, quels sont les dangers que pose le téléchargement de Netflix sur les téléphones des fonctionnaires de l'État français ?
M. Jean-Noël Barrot, ministre délégué. - S'agissant de mes échanges avec les représentants de TikTok, j'ai rencontré Shou Zi Chew, directeur général de TikTok, en janvier, afin d'échanger sur la modération des contenus, la protection des mineurs, ainsi que sur le DSA et le Digital Markets Act (DMA). Puis, j'ai convoqué Erich Andersen, vice-président et directeur juridique de ByteDance, le 10 mai 2023, pour passer en revue certains engagements de TikTok. Nous avons abordé plusieurs questions importantes lors de cette rencontre, notamment le projet Clover, le projet Texas - qui est son équivalent aux États-Unis - ainsi que le DSA et le DMA. Nous avons également discuté de la protection des mineurs.
Lors de cette rencontre, M. Andersen a manifesté une volonté de coopération claire et s'est engagé à travailler étroitement avec notre ministère sur ces questions ; TikTok a notamment formulé des engagements concrets pour la protection des données en Europe avec le projet Clover.
En outre, mon cabinet est également en contact régulier avec Éric Garandeau, qui a d'ailleurs été auditionné par votre commission d'enquête. Concernant la protection des mineurs, TikTok a récemment pris des mesures concrètes en s'engageant aux côtés de l'association e-Enfance pour la mise en place du numéro d'appel 3018 sur l'application. Cette initiative montre une volonté de la part de TikTok d'améliorer la sécurité des plus jeunes utilisateurs. Nous continuerons à maintenir des discussions exigeantes avec TikTok afin de nous assurer que nos règles et nos valeurs soient respectées.
J'en viens à l'interdiction par la Commission européenne de TikTok sur les appareils fournis à ses fonctionnaires. La décision des institutions européennes souligne le sérieux des préoccupations liées à la sécurité des données et à la protection de la vie privée que suscitent les plateformes numériques, en particulier celles qui ont leur siège social en dehors de l'Union européenne. Elle met en évidence l'importance cruciale de garantir le respect par les entreprises des normes européennes de protection des données personnelles. Enfin, elle rappelle qu'en tant que dirigeants publics nous avons la responsabilité de prendre des mesures pour protéger la confidentialité des communications et des données de nos agents. Nous devons également nous assurer que nous utilisons des plateformes qui sont conformes à nos principes en matière de respect de la vie privée, de sécurité des données et d'éthique numérique.
Cependant, tout en respectant les préoccupations de la Commission européenne, nous devons aussi reconnaître que TikTok et d'autres plateformes de médias sociaux sont des outils de communication et d'expression populaire, en particulier chez les plus jeunes. Il est donc crucial de trouver un équilibre entre la garantie de la sécurité de nos fonctionnaires et le respect du droit des individus à utiliser les plateformes numériques de leur choix.
En France, il a été décidé d'interdire l'installation sur les appareils fournis par l'État des applications récréatives, dont TikTok, mais pas seulement. Les décisions de restriction ou d'interdiction d'applications spécifiques sur les appareils professionnels sont souvent le résultat d'une évaluation complexe des risques en matière de cybersécurité et de protection des données. Chaque plateforme présente un ensemble unique de risques et d'avantages potentiels qui doivent être mesurés individuellement. TikTok, en particulier, a fait l'objet de préoccupations mondiales quant à sa gestion des données de ses utilisateurs et de possibles liens avec le gouvernement chinois. L'application est également largement reconnue comme une plateforme récréative, ce qui ne correspond pas à un usage professionnel. C'est la raison pour laquelle nous avons décidé d'interdire sur les appareils professionnels les applications récréatives sollicitant de la part de leurs utilisateurs des masses considérables de données, en requérant notamment au moment de l'inscription l'accès aux contacts et aux documents stockés sur l'appareil.
S'agissant de Netflix, je ne saurais pas vous dire précisément quelles données sont collectées au moment de l'inscription. Cependant, si l'application nécessite l'accès à un certain nombre de données contenues sur le smartphone des agents publics, il apparaît indispensable d'en interdire, sauf exception, le téléchargement, afin d'éviter d'augmenter la surface d'attaque à l'encontre de nos administrations.
S'agissant du projet Clover, TikTok souhaite répliquer en Europe le modèle établi aux États-Unis avec Oracle : l'entreprise américaine héberge depuis l'été 2022 les données des utilisateurs de TikTok dans le pays et audite ses algorithmes. Dans ce cadre, TikTok a annoncé le 8 mars 2023 son projet Clover, qui permet, en principe, une réduction de l'accès aux données des Européens. Ainsi, le processus de contrôle d'accès aux données est supervisé et vérifié par un partenaire européen tiers. Par ailleurs, il est prévu un stockage en local des données via l'ouverture de trois centres de données européens, en colocation et exploitation par des fournisseurs de services tiers de confiance. La migration se poursuivra jusqu'en 2024, jusqu'à ce que ces centres soient opérationnels, pour un investissement annuel de 1,2 milliard d'euros.
À cet égard, la France est fermement résolue à s'assurer que les engagements pris par TikTok respectent ces principes fondamentaux. Nous attendons de TikTok une transparence exemplaire et une mise en oeuvre rapide et efficace. Nous exigeons un contrôle robuste de la restriction de l'accès des employés aux données des utilisateurs, qui offre une garantie maximale d'indépendance et implique un contrôle public. Nous tenons à ce que ce projet soit concrétisé rapidement pour répondre aux préoccupations de nos concitoyens et assurer leur sécurité en ligne. De plus, nous resterons attentifs à ce que TikTok respecte pleinement le cadre européen de protection de la vie privée.
S'agissant des affirmations du Premier ministre belge, TikTok est effectivement une filiale de ByteDance, une entreprise ayant ses origines en Chine. Il est vrai que la législation chinoise peut contraindre les sociétés opérant sur son territoire à coopérer avec les services de renseignement. Néanmoins, il est important de souligner que l'existence de ces lois ne constitue pas en soi une preuve de coopération active ou systématique entre TikTok et ces services. Comme toutes les plateformes numériques opérant sur le sol français, TikTok est soumise au respect des lois et régulations européennes et françaises, notamment en ce qui concerne la protection des données personnelles. Par conséquent, notre priorité est d'assurer la conformité de TikTok avec ces exigences légales, tout en maintenant un dialogue constructif avec l'entreprise sur ces questions. Enfin, nous prenons au sérieux toutes les inquiétudes relatives à la sécurité et à la confidentialité des données ; c'est pourquoi nous sommes constamment vigilants et prêts à agir lorsque cela est nécessaire pour protéger les droits et les intérêts de nos concitoyens.
M. Claude Malhuret, rapporteur. - Vous avez justifié l'interdiction de TikTok, Netflix, Instagram ou encore Snapchat sur les téléphones des fonctionnaires français par l'accès requis à une grande quantité de données ; mais Google et Facebook en demandent largement autant, sinon bien plus ! Or, ces applications ne sont pas interdites de téléchargement. Pouvez-vous nous en expliquer les raisons ?
M. Jean-Noël Barrot, ministre délégué. - Les services tels que WhatsApp et les applications récréatives que vous citez ne requièrent pas le même accès aux contenus stockés sur l'appareil. La raison principale qui a guidé la décision d'interdire ces applications sur les téléphones des agents publics était d'éviter d'augmenter la surface d'attaque. Par ailleurs, WhatsApp est largement utilisé à des fins de communications professionnelles et privées ; de plus, l'application a mis en oeuvre le chiffrement de bout en bout pour protéger la confidentialité des communications. Cependant, cela ne signifie pas que WhatsApp est exempt de préoccupations en matière de cybersécurité et de protection des données. Il existe des applications ou des services de messagerie français et souverains qui garantissent un niveau plus élevé de sécurité, comme Olvid.
M. Claude Malhuret, rapporteur. - Vous expliquez que l'interdiction de TikTok aux fonctionnaires français se justifie par le transfert de données en Chine, et donc potentiellement au parti communiste chinois. Or, de nombreuses personnes détiennent des données tout aussi confidentielles que celles des fonctionnaires de l'État français, par exemple le personnel des entreprises privées de sécurité nationale, des entreprises commerciales, pour lesquelles se pose le problème du secret commercial, entre autres.
L'adoption de mesures spécifiques est-elle à l'ordre du jour à l'échelle européenne ou française afin d'empêcher ces transferts de données ? Un recensement est-il en cours pour identifier ces acteurs sensibles ? Est-il prévu de leur transmettre des directives ? Je concède qu'il est plus facile pour l'État d'imposer des interdictions à ses fonctionnaires plutôt qu'à des entreprises privées, mais le problème est réel puisque ces dernières sont autant, sinon plus, exposées que les services de l'État.
M. Jean-Noël Barrot, ministre délégué. - S'agissant des données personnelles, le cadre dont nous disposons est fixé par le RPGD ; qui nous permet d'exiger de TikTok un traitement en Europe des données des utilisateurs européens. Nous souhaitons que le projet Clover avance, comme TikTok s'y est engagé, et que les données des utilisateurs européens soient traitées par TikTok selon les règles imposées par le RGPD. Nous y veillerons, à l'instar des structures européennes homologues de la Cnil.
Pour les données sensibles des administrations et des entreprises, le Gouvernement a créé le label « Cloud de confiance », délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui repose sur les exigences du visa de sécurité SecNumCloud et permet la qualification de solutions d'hébergement infonuagique capables de garantir la protection des données contre les attaques et contre l'extra-territorialité des lois extra-européennes. Cette certification s'applique aux administrations lorsqu'elles transfèrent leurs données vers un cloud. Le 12 septembre 2022, Bruno Le Maire et moi-même avons fortement encouragé les entreprises françaises des secteurs critiques à privilégier les solutions d'hébergement certifiées SecNumCloud pour stocker leurs données. Ces solutions sont de diverses natures et apparaissent progressivement sur le marché.
Une réflexion est en cours au niveau européen pour établir un schéma de certification volontaire qui servira de modèle aux schémas de certification retenus par les États membres. Depuis le début de ces échanges, la France plaide pour que l'European Cybersecurity Certification Scheme for Cloud Services (EUCS) intègre, dans son niveau de sécurité le plus élevé, la protection des données non personnelles contre l'extra-territorialité des législations extra-européennes. Cette discussion n'a pas encore abouti et suppose de notre part un travail de conviction, puisque la France est en avance sur les autres États européens sur la question de la protection des données non personnelles sensibles.
Une fois ce schéma de certification établi, nous aurons dans notre arsenal de protection de notre patrimoine immatériel d'une part le RGPD pour les données personnelles, et d'autre part le schéma EUCS pour les données non personnelles.
M. Mickaël Vallet, président. - N'est-il pas prévu d'établir une liste d'entreprises considérées d'importance vitale pour le pays, à qui l'on pourrait interdire l'utilisation de ce type d'applications à un certain niveau de responsabilités ?
Si les entités malveillantes n'obtiennent plus les données désirées au travers des fonctionnaires, elles passeront par d'autres portes d'entrée. Notre niveau de sécurité va-t-il être relevé ? Dispose-t-on des moyens juridiques pour le faire ?
M. Jean-Noël Barrot, ministre délégué. - En matière de cybersécurité, le projet consiste, dans les mois qui viennent, à transposer la directive NIS2 en droit français. Celle-ci va multiplier par dix les entreprises assujetties à des obligations en matière de cyberdéfense et de cybersécurité. Jusqu'à aujourd'hui, ces obligations s'imposaient aux seuls opérateurs d'importance vitale et les opérateurs de services essentiels, soit plusieurs centaines d'entreprises ; avec la transposition de cette directive, ce sont plusieurs milliers d'entreprises qui seront concernées par ces obligations. Le Gouvernement va d'ailleurs les accompagner dans cette mise en conformité.
En ce qui concerne les réquisitions par des États extra-européens de données stockées dans des solutions d'hébergement dont les fournisseurs relèvent de leur pays, Bruno Le Maire et moi avons rappelé que nous imposerons aux administrations la doctrine du « Cloud de confiance », et que les entreprises des secteurs critiques ou disposant de données sensibles étaient, quant à elles, fortement incitées à s'orienter vers les solutions certifiées, faute de quoi des mesures de coercition seront peut-être appliquées à l'avenir.
M. Claude Malhuret, rapporteur. - M. Andersen vous a assuré de sa volonté de totale coopération. Toutefois, nos auditions ont révélé un contraste ironique : les dirigeants de TikTok brandissent en permanence la notion de « transparence », tandis que les agences, les régulateurs, les services de l'État, les journalistes déplorent tous une grande opacité.
Quid de la transparence des instances dirigeantes de TikTok dès lors que le siège de TikTok et de ByteDance se situe aux îles Caïmans, et que nous ne disposons d'aucune information sur le droit de vote des actionnaires, dont certains sont chinois. Les décisions sont-elles prises par les fonds d'investissement occidentaux ou par des actionnaires, que l'extra-territorialité des lois chinoises oblige à répondre à la moindre demande des services de renseignement, et ce, même lorsqu'ils se trouvent à l'étranger ? Parmi ces actionnaires se trouve Zhang Yiming, qui possède 26 % des parts, et a été obligé par le gouvernement chinois de céder 99 % du capital de Douyin à une société dans laquelle siègent les représentants du parti communiste chinois.
Le Gouvernement peut-il demander à la direction française de TikTok, au nom de la transparence qu'elle brandit, de fournir la composition de la variable interest entity (VIE) que représente ByteDance aux îles Caïmans, ainsi que la répartition du capital et, surtout, la répartition des droits de vote ?
M. Jean-Noël Barrot, ministre délégué. - En termes d'organisation juridique, TikTok et les autres entités de ByteDance sont parfaitement séparées. ByteDance Ltd détient intégralement TikTok Ltd, qui détient, pour sa part, des filiales dans différents territoires.
En Europe, l'entité mère est TikTok UK, dont TikTok SAS France est une filiale. Par ailleurs, TikTok Irlande est l'entité chargée des questions relevant du RGPD et du DSA. Ainsi, TikTok opère selon une règle juridique définie et soumise à un droit qui n'est pas chinois. Le lien avec la Chine est établi par le biais de Douyin, qui est une autre filiale de ByteDance.
Concernant la transparence, je souhaite rappeler que TikTok ainsi que seize autres grandes plateformes seront soumises, à partir du 25 août 2023, au DSA, qui introduit des obligations de transparence, d'audit externe des algorithmes et de partage des données aux chercheurs. Les amendes en cas d'infraction peuvent aller jusqu'à 6 % du chiffre d'affaires mondial, voire jusqu'à l'interdiction d'exercer au sein de l'Union européenne.
Le RGPD, qui reste en vigueur, interdit le traitement des données à l'extérieur de l'Union européenne lorsque le pays concerné n'a pas signé avec celle-ci un accord d'adéquation. De tels accords ont été signés avec le Royaume-Uni, le Japon, la Corée du Sud, la Nouvelle-Zélande, mais pas avec la Chine, ni avec les États-Unis. Ils garantissent aux citoyens de l'Union européenne que le pays signataire vers lequel leurs données sont transférées respecte des principes de protection et de recours qui, sans être à la lettre ceux du RGPD, sont équivalents.
Concernant le fonctionnement du service TikTok, nous disposons d'éléments de protection satisfaisants avec le DSA et le RGPD, à condition que tous deux soient correctement appliqués par les autorités concernées.
Je ne puis vous répondre au sujet de la transparence de l'actionnariat et de la VIE, de la répartition du capital et des droits de vote. Je vous propose de demander ces informations à Bruno Le Maire.
M. Claude Malhuret, rapporteur. - Permettez-moi d'insister sur un point.
Vous expliquez que TikTok SAS France n'a pas de lien avec la Chine, puisque Douyin est le seul maillon chinois de la chaîne. Or vous avez bien montré que le lien juridique est cassé par la création de certaines filiales occidentales et chinois, le tout sous l'ombrelle de ByteDance. Le lien avec la Chine s'effectue non pas via Douyin, mais via l'extraterritorialité du droit chinois qui impose à Zhang Yiming et à d'autres d'obéir à la Chine. Insistons bien sur la situation de ce créateur d'entreprise qui, à 38 ans, a été contraint de faire son autocritique et a soudainement cédé 99 % du capital de Douyin à une société créée une vingtaine de jours auparavant, et dont l'intégralité des parts se répartit également entre deux individus inconnus, dont l'un est membre du parti communiste chinois, et qui sont tous deux originaires de Xiamen, une ville dont le hasard veut que Xi Jinping ait été maire adjoint il y a quelques années.
Je pense que le Gouvernement devrait s'emparer de cette question au plus vite. Si la direction de TikTok France refuse de fournir les informations demandées, ce refus sera en soi une réponse sur la transparence de cette entreprise.
M. Jean-Noël Barrot, ministre délégué. - Je le répète, c'est bien volontiers que Bruno Le Maire et moi-même relaierons cette demande d'information. Il me paraît important de rappeler, au-delà de cette transparence nécessaire sur le fonctionnement et la répartition du pouvoir, que TikTok est une entreprise chinoise et que l'Union européenne n'a pas signé d'accord d'adéquation avec la Chine. Puisque la Chine n'est pas membre de l'Union européenne, le RGPD, pour les données personnelles, ou des normes comme SecNumCloud, pour les données non personnelles sensibles, me semblent les meilleurs outils dont nous disposons pour protéger nos concitoyens et leur patrimoine numérique.
M. Claude Malhuret, rapporteur. - Vous avez expliqué que le RGPD oblige les entreprises qui transfèrent des données vers des pays extra-européens à des accords d'adéquation, que ni la Chine ni les États-Unis n'ont signés. Or, dans une enquête, la Cnil a expliqué que TikTok ne satisfaisait pas aux obligations du RGPD. En l'absence d'accord d'adéquation avec un pays, les chiffrements des données doivent être faits de l'origine à l'arrivée, avec des méthodes de chiffrement plus ou moins élaborées. TikTok ne respecte donc pas actuellement les principes du RGPD.
Comme disait Richelieu, « faire une loi et ne pas la faire exécuter, c'est autoriser la chose qu'on veut défendre ». Le RGPD et le DSA ont marqué une évolution importante dans la régulation des plateformes. La problématique actuelle est celle de l'application de cette régulation. L'Union européenne a décidé que cette dernière s'effectuerait à l'échelle non plus des pays, mais de l'Europe. Sur le principe, je suis favorable à cette décision. Dans la réalité, un seul régulateur européen, la Data Protection Commission (DPC) irlandaise, est chargé de traiter cette question et de statuer. Cette situation pose deux problèmes majeurs.
Premièrement, l'Irlande, pour d'évidentes raisons fiscales, présente sur son territoire le siège de nombre de plateformes, dont TikTok. Elle n'était donc pas la mieux placée pour se voir confier la responsabilité de la régulation européenne. Ce choix est surprenant et, à mes yeux, dangereux. C'est également en Irlande et en Norvège que TikTok envisage d'installer le projet Clover.
Deuxièmement, le DPC n'a pas du tout les moyens de traiter de telles problématiques à l'échelle européenne. Or, depuis deux ans, les régulateurs européens, comme l'Arcom et la Cnil, ont perdu leurs fonctions essentielles de régulation des plateformes. Ils ont été contraints d'interrompre leurs enquêtes et de transmettre leurs recherches à la DPC. Deux ans plus tard, la DPC n'a publié aucune conclusion à ces enquêtes, ni prononcé de sanction. De plus, le mécanisme est très complexe, puisque la DPC doit instruire le dossier à partir des enquêtes de chaque régulateur européen, proposer une décision, envoyer cette dernière à l'ensemble des régulateurs, qui doivent donner leur avis, que la DPC peut suivre ou non.
Je suis convaincu que le sujet doit être traité à l'échelle européenne, mais nous sommes en train de créer un mécanisme qui rend inefficace le pouvoir de sanction. Les décisions, les éventuels procès, vont prendre des années ; les plateformes ne seront donc jamais être inquiétées. Dans les faits, les plateformes et leurs milliers de lobbyistes et d'avocats vont triompher d'une instance qui souffre d'un manque de moyens et du manque de volonté du gouvernement irlandais, même si l'on peut espérer que le DPC jouisse d'une relative indépendance.
L'éviction de l'Arcom et de la CNIL du processus de régulation des plateformes dans notre pays vous paraît-elle acceptable ? Vous affirmez vouloir vous montrer intransigeant sur cette question : en avez-vous les moyens ?
M. Jean-Noël Barrot, ministre délégué. - Vous mettez le doigt sur un point important, qui me préoccupe le plus. Lors de la création du RGPD, il a été décidé de confier la responsabilité de l'application de ce règlement à la commission informatique chargée de la protection des données du pays où est situé le siège de l'entreprise concernée. Or, cette situation donne lieu à une certaine hétérogénéité dans l'application du RGPD, et suscite donc de la part des géants du numérique des stratégies que l'on peut qualifier « d'arbitrage règlementaire ». Je ne suis pas défavorable au renforcement de l'harmonisation et de la mise en commun des autorités de protection des données en Europe, pour faire échouer ces stratégies des plateformes.
De ce point de vue, les leçons semblent avoir été tirées. En effet, l'application du DSA va permettre d'éviter cet écueil en restant entre les mains de la Commission européenne. Les grandes plateformes ne pourront donc plus jouer sur la localisation de leur centre de décision pour définir des stratégiques d'arbitrage réglementaire. Cette initiative est bénéfique, mais elle doit s'accompagner d'une articulation entre l'action de la Commission et celle des autorités dans les États membres qui sont au plus près du terrain. Le DSA prévoit que la Commission européenne sera chargée des plus grandes plateformes, tandis que les autorités nationales resteront compétentes pour les plus petites d'entre elles. En France, l'Arcom sera l'entité référente, chargée de coordonner l'action de ses propres services avec celle de la Cnil et de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Sur le principe, le DSA permet une application homogène du RGPD par les commissions Informatique nationales. La question de l'articulation des responsabilités, si elle est résolue, ne doit pas nous faire oublier, néanmoins, celle des moyens. Lorsque le règlement entrera en vigueur, entre 80 et 120 personnes auront été recrutées pour veiller à sa mise en oeuvre ; une nouvelle direction sera intégrée à la DG Connect de la Commission européenne. Nos inquiétudes quant aux moyens humains sont donc atténuées.
Bien sûr, il faut aussi que les moyens d'application du règlement au niveau national soient au rendez-vous. Pour répondre à cet enjeu, une direction des plateformes en ligne a été créée au sein de l'Arcom en 2019 ; huit agents en font déjà partie, dix recrutements sont en cours de recrutement. Ils s'ajoutent aux 2 équivalents temps plein (ETP) au sein de la direction des affaires européennes et internationales ainsi qu'aux ETP pour les fonctions transverses de la direction juridique et de la direction des études.
Les moyens que nous allouons contribuent à la crédibilité de ce règlement. Au-delà, il y va de la crédibilité de l'Union européenne dans sa capacité à imposer des règles à ses États membres en matière d'économie numérique.
M. Claude Malhuret, rapporteur. - Jeudi dernier, Les Échos ont publié un article sous le titre « Régulation : la justice européenne donne raison à Google, Meta et TikTok ». Permettez-moi de vous en lire le chapeau : « Les États membres ne peuvent imposer des obligations aux Gafam [Google, Apple, Facebook, Amazon, Microsoft] qui seraient plus strictes que celles déjà prévues en Irlande, sauf "au cas par cas", a estimé l'avocat général de la CJUE [Cour de justice de l'Union européenne] jeudi. » Notre commission d'enquête arrive à point nommé puisqu'elle rendra ses conclusions au moment où le Parlement examinera le projet de loi visant à adapter dans notre droit interne le DSA et le DMA.
Les États membres de l'UE ne peuvent imposer aux plateformes des obligations plus strictes que celles déjà prévues par leur pays de domiciliation en Europe - l'Irlande dans la plupart des cas -, a estimé Maciej Szpunar, l'avocat général de la Cour de justice de l'Union européenne, sauf à bafouer la libre circulation des services numériques protégée par la directive e-commerce de 2000. Cette réponse était très attendue par Google, Meta et TikTok, qui étaient à l'origine de cette affaire. La CJUE leur a donc donné partiellement raison. Pour résumer, toutes les mesures nationales, générales et abstraites, visant une plateforme décrite en des termes généraux, sont exclues. Même si la CJUE n'est pas liée par la décision de l'avocat général, les géants numériques ont bien marqué un premier point. L'État français a-t-il pris part à ce procès comme amicus curiae ? Quelle a été sa position ? A-t-il une marge de manoeuvre d'ici la décision finale de la CJUE, et souhaite-t-il intervenir ?
Concernant votre projet de loi, prévoyez-vous des mesures plus strictes ou complémentaires au nouveau cadre européen, et si oui, lesquelles ? Serez-vous ouverts à des amendements parlementaires et ; s'ils sont adoptés, qu'adviendront-ils ? Ou la décision de la CJUE empêche-t-elle toute proposition du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. - Permettez-moi de vous apporter quelques précisions. Vous n'avez pas cité le passage le plus essentiel de l'article des Échos, où il est rappelé qu'un État membre de l'UE, qui n'est pas le pays de domiciliation de la plateforme, ne peut déroger à la libre circulation des services et à la société de l'information que par des mesures prises au cas par cas après notification préalable à la Commission et demande au pays en question de prendre des mesures en matière de services de la société d'information, ce qui n'est pas le cas en l'espèce. La position de l'avocat général, en apparence maximaliste, souffre donc quelques exceptions, à condition de respecter les procédures.
Le projet de loi qui vise à sécuriser et réguler l'espace numérique respecte le compromis trouvé au niveau européen, et ce pour deux raisons. D'une part, la France a été l'artisan du règlement - même si elle n'a pas obtenu gain de cause sur l'ensemble de ses dispositions -, qui est un levier de puissance du marché économique européen dans la mesure où il permet l'instauration de règles communes à toute l'Union européenne. Nous aurons plus de chances de faire plier les géants du numérique en parlant d'une seule voix. D'autre part, si nous prenions des mesures qui empiètent sur ce compromis ou le détricotent, elles pourraient être contestées sur les mêmes fondements devant la juridiction européenne. Cependant, nous avons pris des mesures de sécurisation dans l'espace numérique, que nous notifierons à la Commission européenne - nous avons déjà notifié les principales mesures -, de manière à éviter tout risque juridique.
M. Claude Malhuret, rapporteur. - La tâche ne sera donc pas facile pour les parlementaires qui souhaiteraient déposer des amendements...
M. Mickaël Vallet, président. - Quelle est la marge de manoeuvre pour les pays qui voudraient se montrer volontaristes?
M. Jean-Noël Barrot, ministre délégué. - Nous avons beaucoup discuté avec les membres de la Commission européenne pour préparer ce projet de loi et je précise que l'essentiel des mesures prévues ont vocation à permettre une meilleure application des textes européens. Des interdictions existent dans la loi française pour ce qui concerne l'exposition des mineurs aux contenus pornographiques ou le retrait des contenus pédopornographiques par ceux qui les hébergent, par exemple, et ce texte donnera les moyens de les faire respecter. C'est dans cet esprit que nous avons travaillé. Il faut cependant attendre la décision finale de la CJUE.
M. Mickaël Vallet, président. - Nous aurons le début d'une jurisprudence, mais elle ne sera pas constante. On apprend en marchant.
M. Jean-Noël Barrot, ministre délégué. - Je partage votre avis. C'est pourquoi nous travaillons d'ores et déjà avec les sénateurs en veillant à ce que le texte respecte le compromis européen afin de ne pas fragiliser l'édifice.
M. Claude Malhuret, rapporteur. - Le contrôle d'âge sur TikTok, sans parler des autres plateformes et des sites pornographiques, est une vaste blague. Les dirigeants de TikTok ont beau déclarer que l'accès à l'application est interdit aux mineurs âgés de moins de 13 ans, ce contrôle n'existe pas et, d'ailleurs, les statistiques qu'ils publient par classes d'âge le prouvent.
Quand le DSA entrera en application le 25 août prochain, tout porte à croire que TikTok ne sera pas en mesure de mettre en place un contrôle d'âge sérieux. À mon avis, le seul contrôle sérieux est celui qui repose sur un tiers de confiance et des mécanismes élaborés. S'il devait être mis en place dans deux mois, il serait déjà en préparation. Le Gouvernement a-t-il un programme précis pour imposer ce contrôle d'âge ? Concernant les principaux sites pornographiques, que compte faire la France si la justice, sur la question des blocages de ces sites par l'Arcom, ne la condamne pas ?
M. Jean-Noël Barrot, ministre délégué. - Effectivement, 90 % des jeunes de 11 à 12 ans sont sur TikTok alors même que le réseau social a fixé à 13 ans la limite d'âge basse d'accès à son service. En somme, TikTok ne fait pas respecter ses propres conditions générales d'utilisation. Le règlement sur les services numériques ne prévoit pas explicitement de vérification d'âge ; il la cite comme mesure possible qu'une plateforme peut prendre pour limiter les risques systémiques qu'elle fait peser sur le bien-être et la santé de ses utilisateurs, celle des enfants, en particulier.
Néanmoins, une proposition de loi adoptée par le Parlement prévoit de mettre en place un consentement parental pour les mineurs de moins de 15 ans pour l'accès aux réseaux sociaux ; les notifications à la Commission européenne ayant été faites, nous disposons, par le fait, d'un cadre pour imposer un contrôle d'âge. De la même manière, en juillet 2020, les deux assemblées étaient parvenues à imposer aux sites pornographiques de vérifier sérieusement l'âge de leurs utilisateurs.
La question qui doit encore être tranchée a trait aux moyens. L'exposition aux contenus pornographiques est un sujet sur lequel nous travaillons depuis des mois et qui fait l'objet, comme vous l'avez rappelé, d'une procédure judiciaire devant le tribunal judiciaire de Paris, avec un verdict attendu le 7 juillet prochain. Deux millions d'enfants sont exposés chaque mois à ce type de contenus. Il existe pourtant des systèmes de vérification d'âge, notamment pour les mineurs de moins de 18 ans - estimation de l'âge à partir d'une photographie du visage, carte de paiement. Ils ne sont pas parfaits, mais la Cnil et l'Arcom souhaitent que les plateformes s'en saisissent. Bien sûr, nous devons concevoir des solutions plus sûres et plus fiables. Aussi avons-nous encouragé des entreprises françaises à se lancer dans le développement de ces solutions - par exemple, une application installée sur le téléphone de l'utilisateur pour produire, par l'intermédiaire d'un prestataire externe, une preuve anonyme de majorité - qui pourraient être déployées pour les réseaux sociaux. En somme, le cadre juridique existe ; les solutions techniques doivent être développées le plus vite possible, pour garantir à la fois la fiabilité du contrôle d'âge et la protection des données personnelles et de la vie privée.
M. Claude Malhuret, rapporteur - Le 25 août, c'est un peu juste pour se mettre en conformité.
M. Jean-Noël Barrot, ministre délégué. - Même si j'ai la conviction que toutes les plateformes y viendront, le règlement sur les services numériques n'impose pas, explicitement, la vérification d'âge. Elle est une mesure corrective. Si, le 25 août, les plateformes ne peuvent satisfaire aux exigences du DSA, elles pourront mettre en avant d'autres mesures de protection des enfants, et la Commission européenne pourra leur demander des comptes. Ainsi, le Gouvernement prend de manière explicite, dans notre droit interne, une mesure qui existait dans le RGPD - la majorité numérique - pour la mettre en oeuvre concrètement.
M. Mickaël Vallet, président. - Si des États introduisent dans leur droit national des mesures comme la vérification d'âge, les plateformes les adopteront pour que la gestion de leurs services soit identique d'un pays à l'autre ?
M. Jean-Noël Barrot, ministre délégué. - Oui, car, bien qu'il n'y ait pas d'harmonisation de la régulation de l'espace numérique au niveau mondial, la protection de l'enfance peut faire l'objet d'un très large consensus. La vérification de l'âge est donc la mère des batailles, et nous avons, sur ce point, des échanges avec d'autres pays membres de l'Union européenne, mais aussi situés en dehors de l'Union. En revanche, je précise que la proposition de loi sur la majorité numérique n'empiète pas à notre avis sur le règlement des services numériques au sens où ce règlement régit le contenu des applications, mais pas les conditions d'inscription. C'est la raison pour laquelle le Gouvernement a soutenu cette proposition de loi : il est donc possible de légiférer en la matière.
M. Mickaël Vallet, président - Puisque vous nous expliquez que le contrôle d'âge n'est pas inscrit dans le règlement, mais qu'il est considéré comme une préconisation pour faire baisser le risque systémique, j'imagine que la France a défendu l'idée de la mesure d'âge au niveau européen.
M. Jean-Noël Barrot, ministre délégué. - En parallèle au règlement sur les services numériques, la France a adopté le contrôle parental et sa généralisation, ce qui ne revient pas exactement à la vérification d'âge à l'inscription sur les réseaux sociaux, mais à un contrôle de l'âge au niveau des équipements.
M. Mickaël Vallet, président. - Quels pays en Europe ont été les chefs de file du refus de l'inscription du contrôle d'âge dans le texte, si le sujet a été évoqué ?
M. Jean-Noël Barrot, ministre délégué. - Je vous répondrai dans quelques instants.
M. Claude Malhuret, rapporteur - J'aborde la question du projet Clover, qui pourrait subir le même sort que le projet Texas et la société de traitement des données Oracle aux États-Unis, projet qui dure depuis cinq ans. C'est une habitude chez les plateformes de prendre des engagements et de ne pas les respecter. Nous n'avons pas d'annonces de la part de TikTok, sinon la promesse de consacrer 1,2 milliard d'euros par an au projet Clover. En outre, nous n'avons même pas le choix de l'opérateur. Cela semble secret. Sera-t-il français ou, à tout le moins européen ? Je ne pose pas la question par hasard, car, s'il est probable que des logiciels américains de traitement de données continuent d'être utilisés, nous serions dans un cas particulier de soumission au Cloud Act américain, qui poserait les mêmes problèmes que ceux que nous rencontrons aujourd'hui avec le RGPD. Avez-vous des précisions supplémentaires à nous apporter sur le projet Clover ?
M. Jean-Noël Barrot, ministre délégué. - Concernant la question du contrôle d'âge, cette mesure a bien été proposée par la France, mais ne constituait pas une ligne rouge. C'est un sujet que j'évoque néanmoins avec un certain nombre de mes homologues, en particulier les Pays-Bas, qui s'intéressent de très près aux questions de protection de l'enfance en ligne. Par ailleurs, la DG Connect, à la Commission européenne, travaille avec le PEReN, qui a développé sur ces sujets une certaine expertise.
Les responsables de TikTok se sont engagés à réaliser le projet Clover, mais le calendrier de mise en oeuvre paraît encore bien trop étendu. Nous tolérons que la plateforme se mette en conformité avec le RGPD par le biais du projet Clover, mais il ne faudrait pas jouer trop longtemps avec les nerfs des Européens pour ce qui regarde la protection de leurs données personnelles. Le respect du RPDG n'est pas une faveur que nous demandons, c'est une exigence que nous posons.
Un centre de données est déjà opérationnel à Dublin ; un autre est en construction en Norvège, géré par la société Green Lantern. Un délai de quinze mois a été annoncé pour l'achèvement de ces projets ; certes, c'est long, mais ce n'est pas inhabituel dans ce domaine. Je veillerai personnellement à ce que les engagements de TikTok soient respectés et je souhaite comme vous que le prestataire soit européen.
Enfin, des prestataires sont en cours de certification SecNumCloud par l'Anssi, ce qui nous « immuniserait » contre le Cloud Act.
M. Mickaël Vallet, président. - Je suis heureux que vous n'ayez pas dit, comme cela a pu être le cas au cours de l'audition de M. Garandeau, que nos exigences en matière de contrôle constituent une entrave à un nouveau secteur majeur de la création. En effet, nous ne sommes pas dupes de cette illusion culturelle : avec TikTok, nous avons affaire à une plateforme qui ne nous épate pas fondamentalement par les contenus qu'elle propose, ni par le désir de régulation qu'elle met en oeuvre. Il est donc plutôt rassurant d'observer que nous sommes très loin de porter atteinte à ces questions de créativité.
Ma deuxième remarque concerne la diffusion par l'État, à toute l'administration, d'outils numériques qui existent déjà : logiciels de visioconférences, messageries sécurisées, par exemple. Cette diffusion est insuffisante ; elle ne permet pas une acculturation de nos services à ces nouveaux médias et donne lieu à des usages incontrôlés - notamment dans l'éducation nationale, avec le recours à Instagram pour transmettre les devoirs aux élèves.
M. Jean-Noël Barrot, ministre délégué. - Sur cette dernière remarque, en effet, l'État doit être exemplaire. Nous avons amorcé un virage grâce à la doctrine du « cloud de confiance », en édictant des règles claires et en soutenant l'émergence, par le moyen de France 2030, d'offres de solutions logicielles de suites collaboratives souveraines, parmi lesquelles Olvid.
Pour finir, j'aimerais dire qu'il y a quelque chose de particulièrement frappant chez TikTok : la promesse initiale de construire un algorithme d'exploration qui permet la découverte du monde et des contenus culturels n'est pas tenue. Au contraire, nous sommes face à un algorithme d'enfermement. Pour autant, cela n'exonère pas la plateforme de respecter la propriété intellectuelle et les droits d'auteurs. Je suis certain que la commission d'enquête saura formuler des recommandations pour orienter notre action.
M. Mickaël Vallet, président. - Nous vous remercions de votre participation.
La réunion est close à 17 h 10.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.