- Mercredi 13 mai 2026
- Proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2017/745 et (UE) 2017/746 en ce qui concerne la simplification et la réduction de la charge que représentent les règles applicables aux dispositifs médicaux et aux dispositifs médicaux de diagnostic in vitro, le règlement (UE) 2022/123 en ce qui concerne le soutien de l'Agence européenne des médicaments aux groupes d'experts sur les dispositifs médicaux et le règlement (UE) 2024/1689 en ce qui concerne la liste de la législation d'harmonisation de l'Union figurant à son annexe I - COM(2025) 1023 final - Examen d'une proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité (sera publié ultérieurement)
- Proposition de directive du Parlement européen et du Conseil modifiant les directives 2001/18/CE et 2010/53/UE en ce qui concerne la mise sur le marché de micro-organismes génétiquement modifiés et le reconditionnement des organes COM(2025) 1031 final - Examen d'une proposition d'avis politique
- Omnibus numérique : proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l'intelligence artificielle - COM(2025) 836 final et proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024 - COM(2025) 837 final - Examen d'une proposition de résolution européenne
- Proposition de règlement du Parlement européen et du Conseil relatif à l'Agence de l'Union européenne pour la cybersécurité (ENISA), au cadre européen de certification de cybersécurité et à la sécurité de la chaîne d'approvisionnement des TIC, et abrogeant le règlement (UE) 2019/881 (règlement sur la cybersécurité 2) - COM(2026) 11 final et de la proposition de directive du Parlement européen et du conseil modifiant la directive (UE) 2022/2555 en ce qui concerne l'introduction de mesures de simplification et l'alignement sur la proposition de règlement sur la cybersécurité 2 - COM(2026) 13 final - Examen d'une proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité
Mercredi 13 mai 2026
- Présidence de M. Alain Cadec, vice-président -
La réunion est ouverte à 13 h 35.
Proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2017/745 et (UE) 2017/746 en ce qui concerne la simplification et la réduction de la charge que représentent les règles applicables aux dispositifs médicaux et aux dispositifs médicaux de diagnostic in vitro, le règlement (UE) 2022/123 en ce qui concerne le soutien de l'Agence européenne des médicaments aux groupes d'experts sur les dispositifs médicaux et le règlement (UE) 2024/1689 en ce qui concerne la liste de la législation d'harmonisation de l'Union figurant à son annexe I - COM(2025) 1023 final - Examen d'une proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité (sera publié ultérieurement)
Le compte rendu sera publié ultérieurement.
Proposition de directive du Parlement européen et du Conseil modifiant les directives 2001/18/CE et 2010/53/UE en ce qui concerne la mise sur le marché de micro-organismes génétiquement modifiés et le reconditionnement des organes COM(2025) 1031 final - Examen d'une proposition d'avis politique
M. Alain Cadec, vice-président. - Mes chers collègues, je remplace aujourd'hui le président Rapin, qui accompagne le président Larcher à Londres, à l'occasion de l'ouverture de la session du Parlement britannique. Cette participation illustre en particulier le renforcement des liens entre le Sénat et la Chambre des Lords. Celui-ci se matérialisera encore dans les prochaines semaines puisque nous recevrons le mardi 23 juin une délégation de la commission des affaires européennes de cette même chambre.
Notre réunion de ce jour, qui est particulièrement dense, nous conduit à examiner quatre prises de position, sur le fond ou au titre du contrôle de subsidiarité, sur des propositions présentées récemment par la Commission européenne : deux sur des textes du paquet santé, dont un avis motivé, une proposition de résolution européenne sur l'omnibus numérique et un avis motivé sur le deuxième paquet cybersécurité.
Je vous propose de commencer par le paquet santé, en accord avec les rapporteurs qui nous soumettent, d'une part, une proposition d'avis motivé sur la proposition de règlement concernant les règles applicables aux dispositifs médicaux et aux dispositifs médicaux de diagnostic in vitro, d'autre part, une proposition d'avis politique sur la proposition de directive concernant la mise sur le marché de micro-organismes génétiquement modifiés et le reconditionnement des organes.
Les deux textes font partie du paquet législatif présenté en décembre dernier par le commissaire européen à la santé et au bien-être animal. Ce paquet comprend, en outre, une proposition de règlement sur les biotechnologies de la santé ainsi qu'une communication intitulée « plan pour un coeur en bonne santé ».
Ces différentes propositions législatives visent globalement le même objectif, à savoir simplifier la réglementation et renforcer l'autonomie sanitaire de l'Union, dans le droit fil des recommandations du rapport Draghi. Leur cohérence d'ensemble paraît néanmoins toute relative.
Ce nouveau paquet confirme, par ailleurs, une nette accélération de l'activité normative de la Commission en matière de santé, qui nous interpelle. Le fait que la commission des affaires sociales ait choisi de se rendre cette année à Bruxelles pour faire le point sur les enjeux sanitaires et sociaux à l'échelle européenne me semble à cet égard un très bon signal.
Mme Pascale Gruny, rapporteur. - Monsieur le président, je vous remercie pour cette mise en contexte, que je compléterai par quelques remarques relatives au calendrier envisagé : si les trois textes de ce paquet santé ont été présentés simultanément, ils ne seront pas examinés en même temps. En effet, le principal d'entre eux, qui a pour objet les biotechnologies, n'a été transmis qu'avant-hier aux parlements nationaux alors que les négociations ont déjà bien démarré pour les deux autres. Cela bouleverse un peu nos délais pour exercer le contrôle de la subsidiarité ; c'est d'ailleurs pour cela que nous sommes contraints à nous limiter à ces deux textes cet après-midi.
La Commission européenne et la présidence chypriote ont, en outre, annoncé des délais d'examen très resserrés, ce qui laisse songeur : il s'agit tout de même de mesures qui concernent la sécurité des patients, la qualité des dispositifs médicaux ou encore la greffe d'organes.
Nous ne souhaitons pas que ce paquet santé suive la logique des omnibus, qui se multiplient ces dernières années. Le dernier omnibus sur les produits chimiques nous l'a montré encore récemment, la discussion accélérée de textes très volumineux peut entraîner l'adoption de mesures contraires à nos standards sanitaires et environnementaux, le tout sous couvert de simplification et alors même que l'Union européenne ne dispose que d'une compétence d'appui et d'une compétence partagée pour les politiques de santé, qui relèvent de la compétence des États membres.
Vous comprendrez donc notre prudence sur ce paquet santé, qui transparaît dans les deux propositions d'avis motivé et d'avis politique qui sont soumises à votre examen. Je vous présenterai la proposition de résolution européenne (PPRE) qui porte avis motivé sur les dispositifs médicaux, puis Cathy Apourceau-Poly en fera de même pour la première partie de notre avis politique, sur les micro-organismes génétiquement modifiés (MGM), et Bernard Jomier pour la seconde partie, sur les transplantations d'organes.
Notre avis motivé a donc pour objet la révision des règlements sur les dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro. Je rappelle que ces textes avaient été présentés dans le contexte des scandales survenus au début des années 2010, notamment celui des implants mammaires PIP (Poly Implant Prothèse). Déposés en 2012, ces deux règlements ont finalement été adoptés en 2017, dans l'objectif de renforcer la sécurité des dispositifs médicaux et la qualité des procédures de certification.
Néanmoins, cet objectif a conduit à durcir excessivement la réglementation, en imposant de nombreuses démarches administratives complexes pour obtenir une certification alors même que les établissements certificateurs, les « organismes notifiés », sont peu nombreux : seule une quinzaine étaient agréés à la fin des années 2010. Les fabricants de ces dispositifs se retrouvent donc dans un goulet d'étranglement, car il s'agit généralement de PME.
Ces exigences réglementaires ont ainsi entraîné des retards dans la commercialisation de certains produits, mais aussi dans les essais cliniques. De plus, elles représentent un frein pour l'innovation. Surtout, nous faisons face à un risque avéré de pénurie pour divers dispositifs. De fait, la période transitoire qu'a connue la mise en oeuvre de ces règlements de 2017 a été plusieurs fois prorogée, ce qui montrait bien qu'ils n'étaient pas adaptés à la réalité du marché.
Plusieurs organismes et institutions ont plaidé pour une révision urgente de ces règlements. Notre commission elle-même l'avait fait, notamment à l'occasion de notre rapport d'information intitulé Sur le plan européen pour vaincre le cancer. Cette proposition de règlement comprend donc une série de simplifications très attendues. Vous comprendrez que nous soutenons tous les trois l'économie générale de ce texte.
Les négociations ont débuté en mars dernier et la Commission européenne souhaite parvenir à un accord politique d'ici la fin de l'année 2026. À première vue, nous pouvons regretter qu'un texte aussi volumineux soit examiné dans de pareils délais. Cela étant, cette proposition de règlement va, dans l'ensemble, dans le bon sens ; l'urgence est telle que nous ne remettons pas en cause le calendrier retenu. Toutefois, elle ne nous empêche pas d'être vigilants, notamment sur le plan du principe de subsidiarité. Parfois, la précipitation ne permet pas de percevoir les détails...
Les auditions que nous avons menées et les retours de la Représentation permanente à Bruxelles nous ont, en effet, permis de cibler deux ensembles de dispositions qui ne respectent pas les compétences des États membres.
Le premier porte sur Eudamed, la base de données européenne sur les dispositifs médicaux. Il s'agit d'un outil de matériovigilance, alimenté progressivement et volontairement par les États membres et les opérateurs. En parallèle de sa création, les règlements de 2017 avaient aussi eu pour objet d'autoriser les États membres à mettre en place ou à maintenir leurs propres bases de données sur leurs distributeurs nationaux de dispositifs médicaux.
Cette proposition de règlement tend à imposer une récupération des informations sur les distributeurs nationaux par Eudamed. Cette obligation nouvelle n'est pas acceptée par plusieurs États membres, dont la France, qui dispose d'une telle base de données ; il s'agit d'un outil national qui n'a pas vocation à être interopérable avec la plateforme européenne. La valeur ajoutée d'une telle interopérabilité en matière de sécurité des dispositifs médicaux ne nous paraît pas pleinement démontrée. Il conviendrait, au moins, de proposer que cette interopérabilité soit possible et non obligatoire afin de respecter les responsabilités des États membres en matière d'organisation de leur système de santé.
Le second aspect que nous jugeons contestable au regard du principe de subsidiarité concerne le recours fréquent aux actes délégués. Comme vous le savez, la Commission européenne est en droit d'en adopter dès lors qu'ils ont pour objet des éléments non essentiels de la législation. Dans le cas présent, elle envisage de modifier plusieurs annexes des règlements de 2017 afin de les adapter aux évolutions technologiques à venir. Il nous paraît un peu hâtif de juger que certaines dispositions ne sont pas essentielles parce qu'il s'agit d'annexes.
Ces dispositions visées par les actes délégués sont à nos yeux essentielles : certaines, par exemple, ont pour objet des exigences de sécurité des dispositifs, le contrôle de conformité ou encore le suivi post-commercialisation. La délégation demandée par la Commission européenne nous paraît donc inappropriée au regard du caractère structurant de ces annexes. Ce point nous a d'ailleurs été confirmé pendant nos auditions.
J'ajoute enfin que le service juridique du Conseil doit rendre un avis sur l'ensemble des délégations demandées et que, au travers de cette proposition de règlement, la Commission cherche déjà à réviser une partie des annexes en suivant la procédure législative ordinaire...
Mme Cathy Apourceau-Poly, rapporteure. - J'évoquerai pour ma part nos observations sur la proposition de directive relative aux micro-organismes génétiquement modifiés et au reconditionnement des organes.
Comme Pascale Gruny le soulignait au début de son intervention, ce nouveau paquet législatif sur la santé est relativement hétérogène. La présente proposition de directive en est elle-même l'exemple : on voit mal le lien entre la directive de 2001 relative à la dissémination volontaire d'organismes génétiquement modifiés dans l'environnement et celle de 2010 relative aux normes de qualité et de sécurité des organes humains destinés à la transplantation. La Commission européenne entend pourtant modifier ces deux textes par le biais d'un seul véhicule, au motif que les évolutions proposées s'inscrivent dans sa nouvelle législation sur les biotechnologies. Parce que ces évolutions concernent des directives, elles ne pouvaient pas figurer dans la proposition de règlement sur les biotechnologies de la santé.
Il aurait été plus lisible de scinder en deux cette proposition de directive tant les sujets sont différents. Surtout, il n'est pas approprié d'inclure la révision de la directive sur les organes humains dans un paquet législatif qui vise à améliorer la compétitivité industrielle et technologique de l'Union européenne.
La méthode employée par la Commission européenne appelle d'autres remarques de notre part. En effet, cette proposition de directive a été transmise deux mois avant la proposition de règlement sur les biotechnologies, que nous venons de recevoir. Par conséquent, elles seront discutées successivement, alors qu'un examen groupé aurait été plus cohérent.
La présidence chypriote du Conseil de l'Union européenne, par ailleurs, souhaite qu'une orientation générale soit adoptée d'ici à fin juin sur ce texte. À nouveau, un examen aussi rapide nous invite à la vigilance, car il s'agit de sujets cruciaux ; les dispositions peuvent affecter la protection de l'environnement et de la santé, mais aussi des principes éthiques.
Il ne s'agit pas de nous opposer par principe aux évolutions proposées par la Commission européenne ; l'avis politique rappelle ainsi notre soutien aux allègements de charges qui pèsent sur nos concitoyens, sur nos entreprises et sur les États membres. Toutefois, comme l'a rappelé Pascale Gruny, la multiplication des omnibus de simplification peut parfois entraîner l'adoption de mesures néfastes pour la santé et l'environnement, notamment au regard de l'approche « Une seule santé ».
Enfin, un dernier motif d'insatisfaction sur la méthode de la Commission tient à l'absence d'étude d'impact. Ceci est particulièrement regrettable pour un tel texte. Lorsque l'on souhaite réviser des directives qui ont respectivement pour objet les organismes génétiquement modifiés (OGM) et la greffe d'organes, on ne devrait le faire que d'une main tremblante, pour paraphraser Montesquieu.
Pourtant, la Commission européenne a tout simplement déposé ce texte avant même que l'étude d'impact ne soit achevée. Le sera-t-elle avant la fin juin 2026, qui est l'objectif calendaire d'un premier accord au niveau du Conseil ? Nous sommes déjà à la mi-mai et nous pouvons donc en douter. De plus, l'étude d'impact qui a été commandée ne concerne que le volet des MGM, non celui des organes.
Certes, la Commission européenne s'appuie largement sur des avis scientifiques rendus par l'Autorité européenne de sécurité des aliments (EFSA, European Food Safety Authority), laquelle y préconise des allègements procéduraux spécifiques aux MGM, car ils présentent moins de risques que les OGM. Pour autant, nous ne pouvons qu'être prudents face aux simplifications envisagées au travers de ce texte. Pour ce qui concerne les MGM, il est ainsi proposé, d'une part, de créer une catégorie « à faible risque », adossée à une exemption de plan de surveillance environnementale, d'autre part, d'accorder une autorisation de mise sur le marché d'une durée illimitée pour tous les MGM, contre une durée de dix ans renouvelables actuellement. Nous incitons la Commission à soutenir la position plus nuancée que la France défend au Conseil : l'autorisation de mise sur le marché illimitée devrait être accordée non pas ab initio, mais seulement après une période de dix ans.
Nous contestons également le recours aux actes délégués, envisagés par la Commission afin de compléter les critères relatifs à la catégorie de « MGM à faible risque » et d'adapter les exigences en matière d'informations relatives à l'évaluation des risques. Il s'agit selon nous d'éléments essentiels de la législation ; nous ne pouvons pas accepter que la Commission définisse seule ce qui constitue un MGM à faible risque.
Nous formulons donc des recommandations ciblées sur ces deux mesures, car il ne s'agit pas de nous opposer frontalement au développement de produits innovants et aux simplifications réglementaires. Nous savons que ces MGM présentent des intérêts certains : ils peuvent être utilisés dans le domaine de la protection biologique, de la décontamination des milieux pollués, dans le traitement des eaux usées, dans le recyclage des déchets métalliques... Ce sont des applications très pertinentes qui justifient sans doute une adaptation du cadre réglementaire. Nous exigeons simplement qu'une telle adaptation tende à respecter un niveau élevé de protection en matière de santé et de sécurité, une protection tant de l'environnement que des consommateurs, comme l'impose d'ailleurs le traité sur le fonctionnement de l'Union européenne (TFUE).
M. Bernard Jomier, rapporteur. - Les observations faites par Cathy Apourceau-Poly sur la méthode employée par la Commission européenne valent aussi pour ce qui concerne la révision envisagée de la directive de 2010, laquelle a pour objet les normes de qualité et de sécurité des organes humains destinés à la transplantation. Cette révision vise à encadrer la greffe d'organes ayant fait l'objet d'un reconditionnement, afin que celle-ci soit soumise à une autorisation préalable des autorités nationales compétentes, soit, pour la France, l'Agence de la biomédecine (ABM).
Je dois dire d'emblée qu'il s'agit là d'une forme de cavalier législatif européen, car rien ne laissait penser que la Commission engagerait une telle révision, qui plus est dans le cadre de ce paquet santé. Autant elle avait annoncé une évolution du cadre réglementaire des MGM attendue par les acteurs concernés depuis plusieurs années, autant la révision de la législation sur les transplantations d'organes n'a fait l'objet d'aucune communication préalable.
Pire, elle ne correspond à aucune attente particulière des autorités nationales. Pas la moindre alerte n'est remontée du système de biovigilance quant à une éventuelle dégradation des procédés de transplantation d'organe. Le ministère de la santé, par ailleurs, nous a indiqué que les opérations transfrontalières de greffe sont marginales. Nous ne comprenons donc pas les motifs qui ont conduit la Commission européenne à vouloir créer cette nouvelle autorisation et nous en mesurons mal la valeur ajoutée, en l'absence d'étude d'impact. Nous ne comprenons pas non plus qu'une telle mesure sur les greffes d'organes soit incluse dans un paquet législatif qui vise essentiellement à améliorer la compétitivité technologique et le développement de médicaments innovants.
Il s'agit là d'une pente dangereuse que nous dénonçons. La réglementation sur les dons et la greffe d'organes repose sur les principes de gratuité, d'altruisme et d'accès équitable. Les organes ne peuvent pas, pour cette raison, être assimilés à des médicaments. Nous affirmons ainsi que seuls les objectifs de sécurité et de qualité des organes humains devraient guider les motifs d'une telle révision, alors que, pour le moment, cette proposition de directive est justifiée par les objectifs de compétitivité qui sont rappelés dans la proposition de règlement sur les biotechnologies.
Le secteur de la transplantation d'organe a une autre particularité, qui le distingue d'ailleurs de celui qui a pour objet d'autres substances d'origine humaine : il ne peut s'appuyer que sur un nombre limité de professionnels. De surcroît, il fait face à une hausse du nombre d'inscriptions au registre national des refus, pour ce qui concerne la France. L'ABM nous a ainsi rappelé en audition que le secteur demeurait en tension, malgré un nombre record de plus de 6 000 greffes réalisées en 2025. Cela reste insuffisant par rapport aux 31 791 patients inscrits sur la liste nationale d'attente.
La nouvelle autorisation que la Commission européenne propose ici comporte dès lors un risque majeur d'alourdir la charge de travail des autorités nationales, mais aussi des centres de greffes. Il s'agit d'une atteinte claire au principe de proportionnalité puisque, à nouveau, une telle mesure ne correspond à aucun besoin de nos autorités. Elle ne nous paraît donc pas nécessaire.
Par ailleurs, ce texte soulève d'autres difficultés quant aux termes utilisés et à leur définition. Celui de « reconditionnement » est ainsi sujet à controverse, car le mot anglais utilisé dans les négociations à Bruxelles, processing, a des contours beaucoup plus larges. La définition proposée mérite donc d'être clarifiée.
De même, la nouvelle autorisation envisagée ne doit s'appliquer qu'aux procédés présentant « un risque important ». Pourtant, faute d'étude d'impact et de définition claire, le champ d'application peut être relativement étendu, y compris à des procédés qui auraient fait leurs preuves cliniques.
Tous ces éléments d'incertitude font peser des risques trop gros sur le respect des compétences des États membres dans l'organisation de leur système de santé. En outre, il est précisé dans le TFUE que les initiatives législatives de la Commission européenne « ne portent pas atteinte aux dispositions nationales relatives aux dons d'organes [...] ou à leur utilisation à des fins médicales ». Par conséquent, le texte que nous examinons, dans la rédaction qui nous a été transmise, nous paraît contraire en plusieurs points aux principes de subsidiarité et de proportionnalité.
Nous exhortons donc les institutions européennes, d'une part, à revoir en profondeur la rédaction de cette proposition de directive, sur le fondement d'une étude d'impact qui tienne compte des retours d'expérience des autorités nationales, et d'autre part, à clarifier la définition du « reconditionnement » et à préciser l'application de la nouvelle autorisation ainsi envisagée.
Nous suivrons avec un grand intérêt la suite des négociations sur ce texte ; nous nous rendrons d'ailleurs à Bruxelles début juin prochain afin de recueillir davantage d'éléments sur le reste de ce paquet santé.
M. Vincent Louault. - Je salue votre travail mené dans des délais aussi courts. Les évolutions sur la conservation et le transport des greffons sont très rapides aux États-Unis et la Chine. Il y a quinze jours et pour la première fois, l'activité cardiaque d'un cochon a pu reprendre, à l'Institut national de recherche pour l'agriculture, l'alimentation et l'environnement (Inrae) de Tours, après transplantation d'un coeur provenant des États-Unis et ayant connu quarante-huit heures de congélation. Les avancées mondiales en direction de la xénogreffe sont importantes, même si cela n'est pas l'objet de cette proposition de directive.
En matière de transport des greffons, la Commission a identifié une série de lacunes juridiques entre les États ; la nouveauté que j'ai décrite induira une concurrence entre pays européens. En effet, si les dons d'organes étaient complexes en raison de la difficulté du transport et du faible temps de conservation, ils le seront moins à l'avenir. La Commission a donc voulu aller très vite sur le sujet, en raison des évolutions technologiques extrêmement rapides.
Notre manière ordinaire de légiférer ne parvient pas à suivre ces avancées. Par conséquent, l'approche de la Commission me semble en partie justifiée.
M. Bernard Jomier, rapporteur. - Premièrement, même si les évolutions technologiques sont nombreuses, il faut s'interroger sur le cadre à donner. Le terme processing, employé dans la rédaction en anglais du texte, est susceptible d'induire l'autorisation de modifications, y compris d'ordre génétique, des greffons, alors que le français « reconditionnement » ferait plutôt référence à des techniques enzymatiques permettant d'optimiser la durée de survie ou la température.
M. Vincent Louault. - Pour moi, le mot processing ne permet pas d'englober les OGM.
M. Bernard Jomier, rapporteur. - L'Agence de la biomédecine nous a confirmé avoir un doute. Elle nous a d'ailleurs indiqué ne pas avoir été sollicitée. Au moment d'ouvrir une réflexion visant à modifier la réglementation de la transplantation des organes, le fait que nos autorités nationales compétentes n'aient pas été consultées interroge.
Par ailleurs, les mouvements transfrontaliers sont presque anecdotiques en France. Les organes transplantés dans notre pays proviennent de notre territoire. Une plus grande circulation à l'avenir est possible, mais le problème qui se posera est plutôt le suivant : dans certains pays, les filières ne sont pas contrôlées. Dès lors, comment savoir d'où proviennent les organes ? Je parle non pas seulement de la Chine, mais aussi de pays de l'Union européenne ou des Balkans.
Par conséquent, une extension du marché mérite discussion. Même si ce débat n'est pas tabou, nous avons des valeurs à défendre en matière de protection de la sécurité des patients et de conditions posées en matière de dons. La gratuité de ces derniers, par exemple, est un principe fondamental, que notre pays a inscrit dans sa loi relative à la bioéthique. Nous avons le sentiment que ces valeurs n'ont pas été considérées comme des impératifs à respecter dans le travail effectué, lequel s'inscrivait uniquement dans le cadre de l'examen du paquet de simplification.
De notre part, il ne s'agit donc pas d'une opposition aux évolutions technologiques, qui sont tout à fait bienvenues en matière de conservation et d'utilisation des organes. Toutefois, elles ne peuvent pas légitimer que la Commission européenne mette sur la table une révision de cette façon, sans avoir au préalable accompli le travail nécessaire avec l'ensemble des pays.
Mme Pascale Gruny, rapporteur. - Nous sommes très favorables aux innovations. À l'échelle de l'Union européenne, elles permettent de doter la recherche de moyens supplémentaires, notamment pour les maladies rares, et de soigner davantage de patients.
Le reproche que nous formulons concerne l'absence d'étude d'impact, la précipitation et le volume des textes. Il n'était pas évident de percevoir tous les détails et les implications des dispositions proposées, alors que nous nous ne disposons que de la version anglaise pour certains textes ! Faute d'avoir pu se renseigner sur le sujet, le doute s'instille forcément. Il est vrai que nous faisons beaucoup moins confiance à cette Commission européenne qu'à celle d'il y a quinze ans, et ce dans tous les domaines... Nous faisons donc preuve d'une grande vigilance à l'égard de textes dont l'objet est la santé.
Mme Catherine Morin-Desailly. - Nous sommes engagés dans un train de révisions de textes votés il y a peu de temps, sans les avoir vraiment évalués. Dans le rapport d'information de la commission intitulé Dérive normative de l'Union européenne, rédigé par Jean-François Rapin, Didier Marie et moi-même, il avait été constaté que le nombre de normes votées était pléthorique, sans étude d'impact, surtout, dans de nombreux cas. Le défaut est ici le même. La démultiplication des actes délégués et les velléités de la Commission européenne de s'emparer de plus de compétences que celles qui lui sont dévolues sont d'autres constats que nous avions dressés.
M. Alain Cadec, vice-président. - Je mets aux voix la proposition d'avis motivé sur la proposition de règlement concernant les règles applicables aux dispositifs médicaux et aux dispositifs médicaux de diagnostic in vitro.
La commission adopte, à l'unanimité, la proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité, disponible en ligne sur le site du Sénat.
M. Alain Cadec, vice-président. - Je mets aux voix la proposition d'avis politique sur la proposition de directive concernant la mise sur le marché de micro-organismes génétiquement modifiés et le reconditionnement des organes.
La commission adopte, à l'unanimité, l'avis politique, disponible en ligne sur le site du Sénat, qui sera adressé à la Commission européenne et au Parlement européen.
Omnibus numérique : proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l'intelligence artificielle - COM(2025) 836 final et proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024 - COM(2025) 837 final - Examen d'une proposition de résolution européenne
M. Alain Cadec, vice-président. - Nous allons maintenant examiner la proposition de résolution européenne sur l'omnibus numérique, préparée par Catherine Morin-Desailly et Karine Daniel. Nos collègues l'ont accompagnée d'un projet de rapport d'information permettant de mieux appréhender le sujet. J'observe que la commission des affaires européennes travaille depuis de nombreuses années sur ces enjeux, qui deviennent de plus en plus importants.
L'Union européenne a su se doter d'un cadre de référence en matière de numérique, au travers de plusieurs textes phares comme le règlement général sur la protection des données (RGPD), le règlement établissant des règles harmonisées concernant l'intelligence artificielle, le DSA (Digital Services Act), relatif aux services numériques, ou le DMA (Digital Markets Act), relatif aux marchés numériques. Toutefois, je comprends que, sous couvert de simplification, la Commission européenne propose, au travers de son septième omnibus, des modifications qui ne sont pas tout à fait anodines pour la préservation des droits numériques des citoyens de l'Union européenne.
Mme Karine Daniel, rapporteure. - La Commission européenne a présenté, le 11 novembre de l'année dernière, un paquet omnibus de simplification, le septième présenté depuis début 2025, relatif au numérique. Confronté à un cadre juridique du numérique dense, complexe et qui a évolué très vite ces dernières années, il était partiellement attendu par les entreprises du secteur.
En effet, elles espèrent, comme nous, une réelle simplification de la réglementation applicable en matière d'intelligence artificielle (IA) et de numérique, dans une logique de clarté et de sécurité juridique. Néanmoins, cet omnibus soulève, pour ma collègue Catherine Morin-Desailly et moi-même, de vraies questions de fond, car, en réalité, la proposition excède la seule simplification.
Ce paquet omnibus dédié au numérique se compose de deux volets, l'un ayant pour objet l'intelligence artificielle, l'autre, plus largement, les données et la cybersécurité. Je vous présenterai nos observations sur le premier et laisserai Catherine Morin-Desailly vous détailler nos conclusions sur le second.
Concernant le premier volet, il est important de vous préciser que nous intervenons un peu tard. En effet, un trilogue conclusif a eu lieu il y a quelques jours, le 7 mai. Nos observations constituent donc davantage un message politique adressé à la Commission européenne, à laquelle nous proposerons d'adresser subséquemment un avis politique. Ceci s'explique par un calendrier contraint pour les négociations de ce volet relatif à l'IA, menées sous l'impulsion de la Commission, qui souhaitait aboutir à une adoption des révisions du règlement sur l'IA avant le 2 août 2026.
Le 2 août 2026 est, en effet, la date butoir théorique à partir de laquelle devraient s'appliquer les obligations faites aux IA dites « à haut risque », c'est-à-dire celles qui sont utilisées dans certains domaines sensibles comme la biométrie, l'administration de la justice, les jouets, etc. Toutefois, la Commission européenne et l'organisme européen indépendant chargé de produire les normes harmonisées sur l'IA, le Comité européen de normalisation en électronique et en électrotechnique, ont pris beaucoup de retard en la matière. En l'absence de ces normes, les acteurs institutionnels et les entreprises du secteur s'accordent à reconnaître l'utilité d'un report des obligations. Nous aurions préféré ne pas décaler leur application, mais force est de constater que cela était devenu nécessaire.
La question des modalités de ce report s'est toutefois posée : devait-il être conditionné à l'adoption de normes harmonisées permettant de définir précisément les contours des IA à haut risque ou bien devait-il se faire à date fixe ? Dans sa proposition initiale, la Commission européenne prévoyait un mécanisme de flexibilité qui revenait à conditionner l'entrée en application des obligations à l'adoption des normes harmonisées.
À cette approche, le Conseil, en ligne avec la position du gouvernement français, a préféré un report à date fixe.
En premier lieu, celle du 2 décembre 2027 a été retenue, soit un report de dix-huit mois, pour les systèmes d'IA de l'annexe III du règlement sur l'IA, qui couvre les systèmes d'IA à haut risque utilisés dans certains secteurs, comme l'éducation, les prestations sociales ou le contrôle des frontières.
En second lieu, le 2 août 2028, soit un report de vingt-quatre mois, devient l'échéance pour les systèmes d'IA de l'annexe I, qui couvre les systèmes d'IA à haut risque intégrés dans un produit, par exemple dans l'imagerie médicale ou les jouets.
Sur ce point, notre analyse rejoint la position du gouvernement français : une trop grande flexibilité du report des obligations aurait conduit à risquer un report sine die. Nous regrettons, par ailleurs, que ce report concerne finalement les obligations de transparence pour les fournisseurs et les « déployeurs » de certains systèmes d'IA, comme cela aurait été acté lors du trilogue du 7 mai. Je dis « aurais été acté », car nous ne disposons pas encore du texte du compromis final, mais cela correspond aux informations que nous avons recueillies.
Conformément à cet arbitrage en trilogue, le marquage des contenus générés artificiellement sera donc obligatoire seulement en décembre 2026, avec six mois de retard par rapport au calendrier initial. Pourtant, il s'agit d'une mesure phare du règlement sur l'IA, qui doit permettre aux citoyennes et aux citoyens de repérer plus facilement les contenus produits par utilisation de cette technologie. Pour mémoire, je rappelle que cette disposition était la seule du règlement en faveur de la protection des contenus culturels et médiatiques couverts par le droit d'auteur.
J'en profite pour souligner l'occasion manquée de clarifier le régime juridique du droit d'auteur en matière d'IA alors que des solutions ont été identifiées pour concilier protection de ce droit et développement de la technologie en question, à l'instar de la proposition de loi relative à l'instauration d'une présomption d'exploitation des contenus culturels par les fournisseurs d'intelligence artificielle, déposée par Laure Darcos et adoptée par le Sénat le 8 avril dernier. Il est regrettable que l'omnibus numérique n'ait pas été choisi comme véhicule pour cela. Espérons qu'il ne faille pas attendre le prochain train !
Revenons-en au report des obligations pour certains systèmes d'IA à haut risque. Si ce dernier était rendu nécessaire par la force des choses, nous considérons qu'une révision du règlement sur l'IA de 2024, à peine deux ans après son adoption et alors même qu'il n'est pas encore totalement mis en oeuvre, n'en est pas moins dommage et révèle des difficultés.
Tout d'abord, il est difficile de réguler l'IA, une technologie complexe, aux évolutions rapides, itératives. Cela doit nous appeler, nous, législateurs français et de l'Union, à la plus grande prudence et mesure. Il y va du devenir d'une IA conforme aux valeurs européennes.
Ensuite, nous considérons que c'est là encore un signe de la dérive normative de l'Union que notre commission a déjà dénoncée. C'est particulièrement flagrant dans le cadre de la réglementation européenne du numérique et de l'IA, qui frappe par sa fragmentation, au risque de perdre les entreprises et de contribuer au décrochage démocratique.
J'en viens maintenant aux autres mesures proposées dans le volet IA. Certaines sont positives, notamment pour la compétitivité des entreprises européennes du numérique, notamment les plus petites. C'est le cas, par exemple, de l'extension aux petites entreprises à moyenne capitalisation de la simplification des obligations administratives applicable aux petites et moyennes entreprises. Pour être bien comprise, je précise que les petites entreprises à moyenne capitalisation, qu'on appelle aussi scale-up, sont des entreprises du numérique qui commencent à atteindre une taille critique et ont précisément besoin de tous les coups de pouce possibles pour pouvoir grandir et prétendre concurrencer un jour les géants chinois et américains.
En revanche, d'autres mesures nous paraissent plus discutables, notamment le renforcement de la gouvernance et des prérogatives du bureau de l'IA pour les contrôles transfrontaliers. Pour mémoire, le bureau de l'IA n'est autre que la Commission européenne. Néanmoins, cette entité n'a pas encore atteint une taille suffisante pour assurer ses nouvelles fonctions. Nous considérons, en outre, que les expérimentations en matière d'IA doivent se faire sous le contrôle d'organismes indépendants de la Commission européenne et donc n'être pas réalisées par le bureau en question.
Enfin, certaines mesures qui nous semblent indispensables ne figurent pas dans le volet IA de l'omnibus numérique et cela nous interpelle. J'ai déjà évoqué le sujet du régime juridique du droit d'auteur en matière d'IA, mais je pense également à l'empreinte environnementale de cette technologie. Certes, des obligations déclaratives concernant la consommation d'énergie sont prévues dans le règlement de 2024, mais elles auraient facilement pu être assorties d'objectifs de réduction de la consommation énergétique, notamment pour les plus gros acteurs du secteur, qui ont les moyens de le faire. De plus, l'IA est également incroyablement consommatrice d'eau et d'autres ressources.
Je termine par un point d'attention majeur qui est détaillé dans notre rapport : celui de l'interdiction de certains usages problématiques de cette technologie, en complément de la liste des pratiques interdites en la matière qui figure déjà à l'article 5 du règlement sur l'IA. Dans les négociations, deux points qui ne faisaient pas partie de la proposition initiale de la Commission européenne ont été ajoutés par le Conseil, sur l'initiative de la France et d'autres États membres, afin d'amender cette liste et y ajouter la « nudification », c'est-à-dire les systèmes d'IA capables de produire ou générer des hypertrucages sexuels sans consentement, mais aussi des contenus pédopornographiques et plus largement, pédocriminels.
Malheureusement, le trilogue du 7 mai n'a abouti que sur l'interdiction de la nudification et non pas sur celle des contenus générés par l'IA qui auraient un caractère pédocriminel. Cela nous paraît vraiment regrettable. Nous pensons qu'une approche plus extensive de ces interdictions pourrait viser toutes les atteintes à la personne ou à la dignité humaines, au sens de l'article 3 de la Charte des droits fondamentaux de l'Union européenne, bien qu'une interdiction large soit susceptible de se heurter à des difficultés juridiques, notamment en ce qui concerne la proportionnalité. En la matière, il faut permettre une réglementation agile et flexible, c'est-à-dire qui puisse évoluer pour intégrer les nouveaux usages problématiques de l'IA, lesquels ne manqueront pas d'émerger avec le temps.
Dans ce contexte, face à tant de complexité, au risque d'informations tronquées, manipulées et falsifiées, aux deepfakes et aux autres hypertrucages, nous considérons que l'éducation et la formation continue à l'IA sont absolument fondamentales. Il faut améliorer la capacité des citoyennes et des citoyens européens à lire, à comprendre et à traiter l'information produite par cette technologie, ce qu'on appelle dans le jargon la « littératie de l'IA », et la connaissance de leurs droits, de leurs libertés et des voies de recours en cas d'abus.
Il y va, là aussi, de l'alignement de l'IA sur la protection des valeurs européennes, que notre commission a déjà appelé de ses voeux à plusieurs reprises et qui fait l'objet d'une proposition de résolution européenne déposée par notre collègue Vanina Paoli-Gagin, qui s'est vue confier par le Gouvernement une mission temporaire « ayant pour objet l'alignement des systèmes d'intelligence artificielle (IA) avec nos standards de confiance, sécurité, durabilité et explicabilité ».
Mme Catherine Morin-Desailly, rapporteure. - Le volet « données » de l'omnibus numérique m'inquiète. Mon inquiétude ne provient pas des mesures relatives aux données non sensibles, qui ont pour objet, essentiellement, la codification de divers textes européens épars et l'harmonisation du droit. Ces dispositions vont, bien évidemment, dans le bon sens, c'est-à-dire dans le sens de la simplification.
Ce volet m'inquiète pour les mesures qui concernent les données sensibles, qui, de façon cumulative, présentent un risque significatif de réduire la protection des droits et des libertés numériques des citoyens européens et français. Pourtant, « la maîtrise de ses données par l'Union européenne » est une « condition de son indépendance et de sa liberté », comme je le soulignais déjà en 2013 dans mon rapport d'information L'Union européenne, colonie du monde numérique ?. Ce constat me paraît s'imposer encore plus clairement à l'heure actuelle.
Les mesures proposées sont présentées par la Commission européenne comme des amendements « ciblés » au RGPD, adopté en 2016. Ce texte est devenu en dix ans un étalon-or mondial de la protection des données. S'il doit être révisé, ce qui ne va pas de soi, il doit absolument être remanié avec précaution. Toutefois, nous considérons que certains amendements sont loin d'être cosmétiques ou ciblés. Leurs conséquences sont donc potentiellement dangereuses pour la protection des données sensibles.
Il en va ainsi, notamment, de la modification de la définition canonique des « données à caractère personnel ». La Commission européenne dit souhaiter proposer « une plus grande clarté sur certains aspects clés essentiels à l'interprétation du RGPD, tels que la définition des données personnelles à la lumière de la jurisprudence récente de la Cour de justice de l'Union européenne ». Elle fait là référence à la jurisprudence dite SRB du 4 septembre 2025, laquelle vise à préciser la notion de données à caractère personnel dans le contexte d'un transfert de données pseudonymisées à des tiers. Cette jurisprudence tend à conclure que des données pseudonymisées ne sont pas nécessairement des données à caractère personnel, dès lors que le tiers qui les reçoit ne dispose pas de moyens raisonnablement susceptibles d'identifier la personne.
La Commission propose de généraliser cette logique à toutes les données pseudonymisées, quel que soit le contexte. Elles ne seraient alors plus des données personnelles au sens du droit européen. Cela aboutirait à une réduction du champ d'application du RGPD, soulèverait des problèmes majeurs et ne clarifierait en rien la définition. En effet, la classification d'une donnée comme étant « à caractère personnel » deviendrait incertaine, car elle dépendrait des capacités techniques du destinataire à identifier une personne. De plus, la perte du caractère personnel d'une donnée pseudonymisée est potentiellement réversible : un tiers pourrait ne pas disposer des moyens de réidentifier la personne tandis qu'un tiers subséquent serait en mesure de le faire, par exemple par croisement de jeux de données. On aboutit donc à une définition floue et volatile de « données à caractère personnel », ce qui me paraît hautement préjudiciable.
Karine Daniel et moi-même considérons ainsi que cette modification nuirait aux droits fondamentaux, eu égard à la protection des données personnelles des citoyens français et européens, sans pour autant apporter de clarté juridique pour les entreprises et responsables de traitement de données. Au contraire, il y a même un risque que des acteurs mal intentionnés exploitent cette flexibilité pour contourner le RGPD. Je souligne aussi que la Commission nationale de l'informatique et des libertés (Cnil), que nous avons entendue, partage cet avis.
A priori, c'est également l'avis majoritaire au sein du Conseil. Le Parlement européen, lui, étudie ce sujet. Je souligne à cet égard que, à la différence du volet relatif à l'IA, pour lequel les négociations sont terminées, les trilogues n'ont pas encore débuté sur le second volet de l'omnibus numérique. Une résolution européenne du Sénat sur ce point a donc toute son importance.
D'autres éléments majeurs figurent également dans notre rapport et notre proposition de résolution européenne. Pour ne pas être trop longue, je vous en présenterai trois.
Premièrement, nous considérons que l'IA ne doit pas se voir attribuer des privilèges en matière de traitement des données à caractère personnel sans que des garanties suffisantes soient prévues pour la protection de ces données et donc des personnes à qui elles appartiennent. Pourquoi permettre à une intelligence artificielle des traitements de données qu'on ne permet pas à une intelligence humaine ? Pourtant, plusieurs propositions de l'omnibus numérique semblent contrevenir à cette logique, comme l'ouverture de possibilités larges d'utilisation de données à caractère personnel aux fins d'entraînement de l'IA. Cela soulève des questions profondes en ce qui concerne certains secteurs critiques et sensibles pour les droits fondamentaux, notamment en matière de données de santé.
Deuxièmement, je tiens à mettre l'accent sur la proposition de création d'un point d'entrée unique pour la déclaration des incidents de cybersécurité, qui serait géré par l'Agence européenne pour la cybersécurité (ENISA, European Union Agency for Cybersecurity). Si l'ambition de renforcer la résilience cyber de l'Union européenne est louable, cette proposition, elle, nous paraît contraire au bon sens et aux bonnes pratiques en matière de cybersécurité. Concentrer tous les signalements en un seul lieu, c'est risquer d'en faire un point de faille unique. L'Agence nationale de la sécurité des systèmes d'information (Anssi), que nous avons entendue, le confirme. Ce sujet rejoint d'ailleurs un des enjeux du paquet sur la cybersécurité, sur lequel ma collègue Audrey Linkenheld et moi-même vous présenterons une proposition d'avis motivé.
Troisièmement, la Commission européenne propose de déplacer les règles en matière de traceurs, ou cookies, de la directive ePrivacy (directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques) vers le RGPD. Cela nous paraît une fausse bonne idée. Certes, nous partageons largement l'objectif de réduire la lassitude face à la prolifération des bannières de consentement aux cookies à laquelle nous sommes toutes et tous confrontés. Pour autant, ce nouveau régime pourrait soulever de sérieuses difficultés d'application. Il créerait un double régime juridique pour les cookies, ce qui ne peut en aucun cas être considéré comme une simplification. Il avantagerait les géants américains, car les navigateurs au niveau desquels la récolte du consentement serait centralisée sont majoritairement ceux des Google, Apple, Facebook, Amazon, Microsoft (Gafam).
De surcroît, il aurait un effet de bord néfaste pour les finances publiques françaises. En effet, la directive ePrivacy a pour objet que chaque autorité nationale est compétente pour sanctionner les manquements sur son propre sol en matière de cookies, mais le RGPD rendrait compétentes les seules Cnil des États membres dans lesquelles sont implantées les grandes plateformes, soit l'Irlande et les Pays-Bas. Le manque à gagner pour la France, selon la Cnil, serait de l'ordre 150 millions d'euros par an.
En conclusion, je précise que, si nous soutenons l'ambition de simplification, nous considérons que les omnibus ne doivent pas dissimuler des transformations majeures de la réglementation européenne. C'est vrai pour l'omnibus numérique. Certes, l'IA est un levier important pour la compétitivité européenne, mais elle ne doit pas être un prétexte pour déréguler le numérique.
Alors que les très grandes plateformes en ligne et les principaux systèmes d'IA dominant le marché européen sont américains et chinois, l'Union européenne ne doit ni trembler ni transiger dans l'application de l'arsenal juridique novateur et ambitieux qu'elle a commencé à construire. Au contraire, elle devrait avoir l'ambition de faire du règlement sur l'IA un standard international en la matière, à l'instar du RGPD, il y a dix ans, pour la protection des données personnelles.
À ce titre, les modifications du RGPD proposées nous paraissent substantielles et dangereuses. Leur cumul pourrait vider cet outil de sa substance au détriment de la protection des droits et libertés numériques, d'où la proposition de résolution européenne que nous vous présentons.
Je rappelle qu'une réelle politique industrielle en matière de numérique doit être menée. Celle-ci doit inclure notamment des règles de préférence européenne dans la commande publique. Sans une vraie politique industrielle du numérique, la multiplication des règlements européens est vaine et vouée à l'échec.
Mme Mathilde Ollivier. - Vous indiquez dans l'alinéa 80 : « Soutient la proposition d'allongement du délai de notification des incidents relatifs aux données personnelles de 72 heures à 96 heures, laissant davantage de temps aux délégués à la protection des données pour gérer l'urgence avant de remplir, dans des délais raisonnables, leurs obligations de notification. » Pourriez-vous justifier cet allongement ? Dans le cadre d'incidents liés au RGPD ou à une fuite de données, la question de la temporalité est importante.
Mme Catherine Morin-Desailly, rapporteure. - L'Anssi, que nous avons auditionnée, nous a indiqué que toutes les entités qui souhaitent déclarer un incident le feront, qu'elles disposent de soixante-douze ou de quatre-vingt-seize heures à cette fin. Ce changement ne conduira donc pas à une sous-déclaration.
En revanche, cela permet aux correspondants à la protection des données et aux responsables de la cybersécurité dans les entreprises et dans l'administration de gérer l'urgence avec les informaticiens, puis de faire la déclaration dans un second temps : d'abord le pompier éteint le feu, ensuite une déclaration est faite à l'assurance. Il s'agit d'adaptations très pragmatiques.
M. Vincent Louault. - Nous avons un problème avec le RGPD. Ce dernier nécessite des assouplissements. Il est presque impossible pour nos chercheurs de constituer des cohortes de données médicales ; ils sont obligés d'en acheter à l'étranger, car nous ne parvenons pas à anonymiser les informations.
Dès lors, soit nous considérons que nous vivons sur une île et nos chercheurs partiront tous, soit nous acceptons de vivre dans le monde moderne et donc d'utiliser les données pour faire avancer la recherche fondamentale, en particulier dans le domaine médical. Actuellement, les centres hospitaliers régionaux et universitaires (CHRU) n'ont pas de base de données commune. Il est donc bienvenu que l'Europe veuille mettre un peu d'ordre.
Le Premier ministre a sifflé la fin de la récréation face aux pertes de données, mais je m'interroge sur la crédibilité de notre pays : comment expliquer à l'Europe la manière de procéder alors que nous nous faisons ponctionner nos données dans tous les CHRU de France, à l'Agence nationale des titres sécurisés (ANTS) et dans tous les espaces publics de notre millefeuille administratif ? J'ai presque envie d'inviter la recherche française à tout racheter sur le dark web, car tout finira par être dérobé ! Nous serons alors les idiots utiles d'un système hypercomplexe et hyperprotecteur. Même si je suivrai les rapporteures sur la proposition de résolution, il nous faut retrouver de l'agilité.
Mme Karine Daniel, rapporteure. - Il ne faut pas tout mettre sur le dos de l'Union européenne : l'appariement et l'utilisation des données par la recherche ne dépendent pas seulement du cadre réglementaire. Certes, des contraintes pèsent sur l'anonymisation, mais on se trouve en règle avec la législation en matière de gestion des données dès lors que l'on dispose de bons systèmes.
M. Vincent Louault. - Le problème, en Europe, est que l'on compte une soixantaine d'agences, telles que la Cnil, responsables des données. L'Union européenne est obligée de créer un cadre, car c'est un grand bazar !
Mme Karine Daniel, rapporteure. - La donnée a une valeur, prise en considération par ceux qui ont la possibilité de la mettre à disposition. Nous ne sommes pas dans une culture de l'open source, y compris pour la recherche.
Mme Catherine Morin-Desailly, rapporteure. - Nous avons eu cette discussion avec la Cnil, instance où je siège par ailleurs. Des chercheurs et des médecins, notamment, ont été nommés conseillers. La question de l'accès des chercheurs aux données est traitée.
Nous avons voté le règlement européen sur les données, le Data Act, qui permet l'ouverture des données pour la recherche ainsi que les entreprises, dans un cadre réglementé. J'entends la juste critique selon laquelle, pendant que l'on s'échine à réguler, nos données françaises s'envolent ; pas une journée ne passe sans cyberattaque, le nombre d'incidents se multiplie. Nous nous en sommes émus auprès de l'Anssi, qui a soutenu que le nombre d'attaques était constant, mais que leurs caractéristiques avaient changé. Nous serions entrés dans un monde de cyberdélinquance maximale, et, de jour en jour, les techniques s'affinent. Toujours est-il que je partage les propos de Vincent Louault. J'ai posé une question d'actualité au Gouvernement sur ce sujet il y a un mois et j'ai été très frustrée par la réponse reçue. Je pense que ce n'est pas tant la réglementation qui pose problème que l'absence, ces dernières années, de vraie stratégie cyber des gouvernements qui se sont succédé.
La commission adopte la proposition de résolution européenne, disponible en ligne sur le site du Sénat.
Proposition de règlement du Parlement européen et du Conseil relatif à l'Agence de l'Union européenne pour la cybersécurité (ENISA), au cadre européen de certification de cybersécurité et à la sécurité de la chaîne d'approvisionnement des TIC, et abrogeant le règlement (UE) 2019/881 (règlement sur la cybersécurité 2) - COM(2026) 11 final et de la proposition de directive du Parlement européen et du conseil modifiant la directive (UE) 2022/2555 en ce qui concerne l'introduction de mesures de simplification et l'alignement sur la proposition de règlement sur la cybersécurité 2 - COM(2026) 13 final - Examen d'une proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité
M. Alain Cadec, vice-président. - Nous examinons à présent une nouvelle proposition d'avis motivé, au titre du contrôle de subsidiarité, sur le paquet « cybersécurité 2 », présenté le 20 janvier dernier, qui comprend à la fois un règlement et une directive.
Le renforcement des moyens de lutte contre les menaces cyber est un enjeu majeur compte tenu de l'augmentation des menaces, qu'elles émanent d'États hostiles ou d'acteurs privés malveillants.
La Commission européenne remet donc ce sujet au menu des négociations, mais ses propositions viennent manifestement empiéter sur les compétences des États membres et de leurs agences nationales compétentes en matière de cybersécurité.
Mme Catherine Morin-Desailly, rapporteure. - Ce paquet entend apporter une réponse aux défis croissants en matière de cybersécurité. Les menaces cyber s'accentuent : elles sont à la fois plus nombreuses, plus complexes et plus sophistiquées.
Dans son rapport sur le panorama de la cybermenace en 2025, l'Agence nationale de la sécurité des systèmes d'information (Anssi) dresse un bilan national marqué par le maintien à un niveau élevé des menaces et attaques cyber à l'encontre de cibles françaises. Il est toutefois difficile de donner des chiffres, car les incidents cyber ne sont pas tous déclarés. À titre d'exemple, le site gouvernemental Cybermalveillance.gouv.fr aurait connu en 2025 une hausse de 107 % des demandes d'assistance concernant les violations de données, tous publics confondus.
Les menaces se complexifient également. Elles deviennent hybrides avec des techniques d'ingénierie sociale sophistiquées comme le phishing ciblé ou les usurpations d'identité. Elles ciblent les particuliers, les entreprises et les administrations et institutions publiques, avec un risque d'image ou de rupture de service public. Les attaques sont aussi de plus en plus hostiles. Le tout, dans un contexte géopolitique très incertain.
Je veux donner comme illustration le modèle d'IA Claude Mythos dévoilé le mois dernier par l'entreprise américaine Anthropic. Ce modèle d'IA a fait beaucoup parler de lui, car il serait capable de découvrir et d'exploiter des vulnérabilités informatiques que l'on appelle zero-day, c'est-à-dire des failles de sécurité dans un logiciel dont le fournisseur n'a même pas connaissance. D'autres modèles d'IA concurrents pourraient rapidement aboutir aux mêmes résultats, voire à des menaces plus importantes encore.
C'est dans ce contexte que s'inscrit la proposition de la Commission européenne, qui poursuit l'objectif de moderniser et de renforcer le cadre juridique applicable dans l'Union en matière de cybersécurité.
Mme Audrey Linkenheld, rapporteure. - Je vais vous présenter les grandes lignes de la proposition de la Commission européenne, qui a quatre finalités principales.
La première finalité est de renforcer la sécurité des chaînes d'approvisionnement des technologies de l'information et de la communication de l'Union, dans 18 secteurs jugés critiques. Elle propose ainsi de créer un nouveau titre IV au sein du règlement sur la cybersécurité, destiné à atténuer les dépendances et donc les risques non techniques en matière cyber.
La deuxième finalité est de réformer le cadre européen de certification de cybersécurité pour rendre les procédures de certification plus efficaces et transparentes.
La troisième finalité est d'introduire des mesures de simplification pour faciliter le respect des règles de cybersécurité de l'Union et des exigences en matière de gestion des risques, notamment pour les PME. Ces mesures seraient complémentaires à la création du point d'entrée unique pour la déclaration des incidents cyber, prévue dans le volet données et cyber de l'omnibus numérique, précédemment évoqué par Catherine Morin-Desailly et Karine Daniel.
La quatrième finalité est de réformer le mandat de l'Agence européenne pour la cybersécurité (ENISA), dans le sens d'un accroissement de ses prérogatives.
Plusieurs des mesures proposées par la Commission européenne soulèvent selon nous des difficultés du point de vue de la subsidiarité. D'où la proposition de résolution européenne portant avis motivé que nous vous soumettons aujourd'hui, date limite pour intervenir au titre du respect du principe de subsidiarité.
Mme Catherine Morin-Desailly, rapporteure. - Le premier sujet que nous soulevons n'est autre que la réforme du mandat de l'ENISA au détriment des capacités des États membres. Sur ce point, nous avons un sentiment de déjà-vu puisque notre commission avait déjà adopté un avis motivé en 2017 sur ce même sujet lors de l'examen du règlement sur la cybersécurité. En 2023, avec Audrey Linkenheld, nous avons également présenté un rapport avec Cyril Pellevat.
L'Anssi, que nous avons auditionnée le 29 avril, est claire : le rôle de l'ENISA est strictement de soutenir les États membres, d'animer les échanges d'information entre eux et d'accompagner l'harmonisation des normes en matière de cybersécurité. En revanche, l'ENISA ne saurait exercer des compétences qui relèvent des autorités nationales dans les réponses aux incidents cyber, sans créer de la redondance, de la complexité, ni contrevenir au principe de subsidiarité.
Il y a là des enjeux qui relèvent de la sécurité nationale, qui est du seul ressort des États membres en application de l'article 4 du traité sur l'Union européenne. Nous souhaitons réaffirmer avec force les compétences des États membres en la matière.
Je souhaite vous donner un exemple concret de mesure qui nous paraît contrevenir au principe de subsidiarité : la proposition de la Commission européenne prévoit d'augmenter les moyens humains de l'ENISA de 50 équivalents temps plein. Pour cela, elle demande aux États membres de fournir chacun au moins deux agents de liaison qui s'ajouteraient aux experts nationaux détachés déjà mis à disposition auprès de l'ENISA par les États membres. Dans un contexte de pénurie de main d'oeuvre qualifiée dans ces domaines d'expertise technique, cela fait beaucoup ! Nous jugeons contestable l'idée de renforcer à un point tel l'expertise humaine au sein de l'ENISA, au détriment du renforcement de la main d'oeuvre compétente dans les États membres.
Mme Audrey Linkenheld, rapporteure. - Notre second point d'attention majeur en termes de subsidiarité porte sur la certification en matière de cybersécurité. Ce point a également été soulevé en audition par l'Anssi. Il ressort aussi très clairement de l'avis rendu le 6 mai par la Commission supérieure du numérique et des postes (CSNP), dont j'ai le privilège d'être membre, sur la proposition de règlement sur la cybersécurité 2. Les mesures proposées par la Commission européenne en matière de certification pourraient emporter des effets sur des données ou des secteurs qui peuvent relever de la défense et de la sécurité nationale. Cela renvoie très directement à notre souveraineté.
Les évolutions proposées pourraient, par exemple, limiter la possibilité pour la France de maintenir sa qualification SecNumCloud. Or, le projet de schéma européen de certification de sécurité des services cloud est dans une impasse. Il y a déjà eu des tentatives dans le Cyber Resilience Act 1, finalement contestées. La Commission propose aujourd'hui un nouveau schéma, et, à moins d'aboutir à un schéma européen de certification offrant un niveau de protection équivalent, notamment en termes d'immunité aux législations non européennes à portée extraterritoriale, la qualification SecuNumCloud française pourrait être affaiblie.
C'est un point qui nous tient à coeur. Nous considérons que les évolutions proposées en matière de certification relèguent au second rang l'expertise des États membres et de leurs agences nationales compétentes, alors même que ce sont elles qui disposent de la connaissance des enjeux de terrain et que l'on touche potentiellement, là aussi, à des questions de sécurité nationale.
C'est la raison pour laquelle nous vous proposer d'adopter cette proposition de résolution européenne portant avis motivé.
Après une relecture attentive, alors que nous avons travaillé dans des délais très serrés, nous vous proposons qu'au paragraphe 11, où il est fait mention du rapport de 2017, nous fassions aussi mention du rapport de 2023 que nous avons rédigé avec Catherine Morin-Desailly et Cyril Pellevat.
Mme Catherine Morin-Desailly, rapporteure. - Je voudrais partager avec vous une forme de consternation : nous en sommes à travailler sur une directive NIS 2 bis (Network and Information Security) alors que la NIS 2 n'est même pas encore transposée. Nous avons voté sa transposition il y a plus d'un an et le texte n'est toujours pas inscrit à l'ordre du jour des travaux de l'Assemblée nationale ! C'est incroyable.
On peut s'émouvoir que les données s'éparpillent, mais tant que nous ne nous sommes pas mis en conformité avec des dispositions permettant notamment d'harmoniser les pratiques et d'organiser la formation des entreprises, des administrations et des collectivités, tant qu'il n'y a pas de plan Marshall sur ces questions, on en restera à déplorer que l'Anssi ne parvienne pas à juguler ces cyberattaques. Il faut être formé et informé pour pouvoir s'organiser.
Les directives NIS 2 et NIS 2 bis entraînent des changements pour les entreprises. Elles se sont mises en ordre de marche pour obéir à des normes qui seront amoindries dans le nouveau paquet. Il ne faut pas s'étonner, ensuite, que les citoyens européens soient en colère contre l'excès de normes dans l'Union européenne.
La commission adopte, à l'unanimité, la proposition de résolution européenne portant avis motivé sur la conformité au principe de subsidiarité, disponible en ligne sur le site du Sénat.
La réunion est close à 14 h 50.