Proposition de résolution en application de l'article 73 quinquies du Règlement, sur la régulation des objets connectés et le développement de l'internet des objets en Europe

Rapport n° 474 (2017-2018) de M. Jean-Marie JANSSENS , fait au nom de la commission des affaires économiques, déposé le 16 mai 2018

Disponible au format PDF (700 Koctets)

Tableau comparatif au format PDF (226 Koctets)

N° 474

SÉNAT

SESSION ORDINAIRE DE 2017-2018

RAPPORT

FAIT

au nom de la commission des affaires économiques (1) sur la proposition de résolution européenne présentée en application de l'article 73 quinquies du Règlement, sur la régulation des objets connectés et le développement de l' internet des objets en Europe ,

Par M. Jean-Marie JANSSENS,

Sénateur

et TEXTE DE LA COMMISSION

Voir les numéros :

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Conformément à l'article 73 quinquies du règlement du Sénat, votre commission des affaires économiques est chargée d'examiner la proposition de résolution européenne n° 361 (2017-2018) déposée le 15 mars 2018 par Mme Catherine Morin-Desailly sur la régulation des objets connectés et le développement de l'internet des objets en Europe.

Cette proposition de résolution est la troisième étape d'une démarche engagée par son auteure - par ailleurs présidente de la commission de la culture, de l'éducation et de la communication - depuis plusieurs années en vue de renforcer le poids de l'Union européenne et de ses États membres dans l'écosystème numérique mondial. Ainsi, après la publication d'un rapport d'information sur la gouvernance de l'internet ^{1 ( * )} ayant donné lieu à l'adoption d'une première résolution ^{2 ( * )} , Mme Morin-Desailly a été à l'initiative d'une récente résolution du Sénat sur la politique de concurrence face au numérique ^{3 ( * )} .

Sur invitation du président de la commission des affaires européennes, M. Jean Bizet, et de la présidente de la commission des affaires économiques, Mme Sophie Primas, le rapporteur de la commission des affaires européennes, M. André Gattolin, et votre rapporteur ont mené des auditions en commun, afin de pouvoir harmoniser leurs points de vue, qui se retrouvent dans le rapport de la commission des affaires européennes . Aussi le présent rapport revient sur la position adoptée par les rapporteurs tout en éclairant plus particulièrement certains points qui apparaissent intéressants à souligner devant votre commission des affaires économiques.

Comme le remarque le rapport de la commission des affaires européennes, « la proposition de résolution dresse un constat juste et présente des demandes exigeantes ». Ainsi, en termes généraux, les rapporteurs partagent le point de vue selon lequel les enjeux soulevés par la proposition de résolution européenne sont d'une importance absolument majeure , aussi bien pour notre économie que pour la protection de nos libertés publiques. Ces enjeux sont les suivants : émergence d'une industrie européenne, cybersécurité, et protection des données à caractère personnel ^{4 ( * )} . Ils s'appliquent d'ailleurs au secteur numérique dans son ensemble. Mais le fait de consacrer une résolution aux objets connectés permet de souligner que ces enjeux seront amplifiés par l'essor de ces objets.

La proposition de résolution adoptée par la commission des affaires européennes résulte d'une démarche commune aux rapporteurs des deux commissions. En conséquence, votre rapporteur n'a pas souhaité proposer à votre commission d'y apporter d'autres ajustements que le fait d'insister, dans les demandes qu'elle formule, sur l'importance de la mise en place rapide d'une stratégie industrielle européenne incluant l'internet des objets.

LES OBJETS CONNECTÉS : UNE OPPORTUNITÉ POUR L'INDUSTRIE EUROPÉENNE DU NUMÉRIQUE

La proposition de résolution met l'accent, aussi bien dans l'exposé des motifs que dans son dispositif, sur l'importance de développer les filières industrielles liées à l'internet des objets.

Si le sujet des objets connectés en lui-même est particulièrement vaste, il constitue un élément du défi économique que pose l'essor du numérique aux entreprises européennes.

LES OBJETS CONNECTÉS, LEVIERS D'OPTIMISATION POUR LES PROFESSIONNELS COMME POUR LES PARTICULIERS

Les objets connectés sont, selon le livre blanc sur l'internet des objets publié en 2016 par diverses autorités publiques françaises sous l'égide de l'Autorité de régulation des communications électroniques et des postes (ARCEP), des objets physiques qui « possèdent des technologies embarquées de capteurs, d'intelligence et de connectivité, leur permettant de communiquer avec d'autres objets ». En conséquence, le champ des possibles en matière d'objets connectés est infini.

Ce livre blanc précise que l'internet des objets recouvre également deux autres éléments que sont les réseaux de communications électroniques, qui permettent de transporter les données issues des objets, et l'informatique, qui apporte les outils pour le stockage, la corrélation et l'analyse de ces données. La proposition de résolution européenne n'aborde pas le volet relatif aux réseaux de communications électroniques ^{5 ( * )} et n'aborde, que sous certains angles, le volet informatique.

Les objets connectés permettent de réduire des coûts ou d'améliorer des capacités, aussi bien pour les particuliers que pour les professionnels. Pour les particuliers , les premiers objets connectés visaient essentiellement la « quantification » de soi : il s'agissait de bracelets ou de petits capteurs de type podomètre, principalement destinés à mesurer le nombre de pas, les calories dépensées ou le sommeil, avant que n'apparaissent les montres connectées. La croissance du marché de ce type d'objets est aujourd'hui relativement faible, leur utilité étant diversement appréciée par les consommateurs ^{6 ( * )} . Ont ensuite émergé les objets liés à l'habitat, comme les ampoules ou les thermostats connectés. Aujourd'hui, les enceintes intelligentes se déploient au sein des foyers. Elles sont capables de répondre à des questions, à la manière d'un moteur de recherche, mais également d'effectuer des achats en ligne, ou encore de commander les autres objets connectés de la maison. Selon une étude du cabinet GBH Insight publiée par USA today en fin d'année dernière, après les téléphones intelligents iPhone et Samsung Galaxy S8 et Note 8, ce sont les enceintes connectées Amazon Echo et les montres Apple Watch qui se sont le plus vendues parmi les produits technologiques de grande consommation en 2017 aux États-Unis ^{7 ( * )} .

On trouve également de très nombreux exemples d'objets connectés dans tous les secteurs d'activité professionnelle . Il s'agit alors principalement de développer des réseaux de capteurs sans fils qui communiquent des données afin qu'elles soient analysées et transformées en informations utiles pour la production. Les chaînes de logistique et de distribution ont été les premières à intégrer des puces électroniques dans les produits afin d'en assurer la traçabilité et d'optimiser leur activité, notamment les opérations de maintenance et les consommations d'énergie.

On peut également citer l'exemple du secteur agricole , dans lequel les objets connectés dotés de capteurs permettent la surveillance permanente d'une constante en vue de donner l'alerte en cas de problème : c'est notamment le cas des sondes thermiques qui avertissent d'un échauffement dans un stock de paille. Surtout, les capteurs permettent de répondre aux besoins de l'agriculture de précision, à travers un suivi régulier des cultures ^{8 ( * )} . On peut, par exemple, imaginer des capteurs de suivi d'humidité communiquant avec un pivot qui piloterait au plus juste les apports d'eau selon les besoins réels des différentes zones d'une parcelle. Un rapport commandé en 2015 par le Gouvernement soulignait d'ailleurs l'importance du développement des objets connectés pour améliorer l'efficacité comme l'impact environnemental de l'agriculture française ^{9 ( * )} . De même, le rapport du think tank Renaissance numérique sur l'agriculture connectée reste un document de référence pour se renseigner sur le sujet, notamment en ce qui concerne les entreprises qui fournissent des services numériques aux agriculteurs ^{10 ( * )} .

Des études conduites par l'entreprise OnFarm, qui commercialise une plateforme d'objets connectés pour l'agriculture, estiment que l'utilisation de l'internet des objets augmente en moyenne le rendement de 1,75 %, réduit le coût de l'énergie de 7 à 13 dollars par acre et diminue le volume d'eau utilisé pour l'irrigation de 8 % ^{11 ( * )} . L'Organisation des Nations Unies pour l'agriculture et l'alimentation a également publié des exemples d'utilisation de l'internet des objets en agriculture et promeut l'agriculture connectée ^{12 ( * )} . Enfin, comme le montre l'encadré ci-dessous, l'Union européenne a fait de l'internet des objets en matière agricole un axe de recherche et de développement.

On soulignera également que les objets connectés concernent aussi les collectivités territoriales, en ce qu'ils constituent l'une des briques technologiques essentielles des villes intelligentes ^{16 ( * )} , aussi bien pour la gestion de l'espace public que pour les applications liées à des services publics. La ville d'Oslo a, par exemple, installé 10 000 lampadaires connectés capables d'ajuster le niveau d'éclairage selon l'heure du coucher du soleil, la luminosité et le trafic routier ^{17 ( * )} .

DES ENTREPRISES EUROPÉENNES INSUFFISAMMENT PRÉSENTES SUR CE MARCHÉ ?

Quelle que soit la source, l'ensemble des experts s'accorde sur le constat selon lequel les perspectives économiques du marché des objets connectés sont impressionnantes . En 2020, entre 20 et 35 milliards d'objets connectés devraient être en circulation dans le monde. Alors qu'environ 750 milliards de dollars auraient été dépensés dans l'internet des objets en 2018, ce montant atteindrait 1 100 milliards en 2020 selon le cabinet IDC ^{18 ( * )} . Il estime également que les objets physiques constitueront, en 2018, le premier poste de dépenses de l'internet des objets (239 milliards de dollars).

En France, le cabinet A.T. Kearny a estimé, en 2015, à 3,6 % d'ici 2020 l'impact positif potentiel sur le produit intérieur brut du déploiement des objets connectés ^{19 ( * )} . Et si le marché des objets connectés y est encore relativement peu développé, il progresse néanmoins rapidement (il serait passé de 153 millions à 281 millions d'euros entre 2015 et 2016 ^{20 ( * )} ).

Or, le positionnement des acteurs économiques européens apparaît actuellement sous-optimal . Cela peut se constater en examinant les dépenses consacrées à l'internet des objets : le cabinet IDC ^{21 ( * )} estime que l'Asie Pacifique (hors Japon) dépensera 312 milliards de dollars dans l'internet des objets en 2018, menée par la Chine, qui investira à elle seule 209 milliards de dollars. L'Amérique du Nord se place en seconde position avec 203 milliards, suivie par l'Europe, l'Afrique et le Moyen-Orient réunis (171 milliards de dollars).

En témoigne également, par exemple, le segment de marché des enceintes intelligentes. Aux États-Unis, même si les estimations varient selon les études, la pénétration du marché est déjà importante ^{22 ( * )} , et celui-ci croît à un rythme soutenu : le cabinet Gartner estime qu'il atteindra 3,5 milliards de dollars en 2021, contre 700 millions en 2016 ^{23 ( * )} . Alors que l'entreprise Orange doit lancer à la fin de cette année son enceinte connectée dotée de son assistant « Djingo » et que certaines start-ups, telle que Snips, déploient des assistants vocaux respectueux de la vie privée, toutes les enceintes qui font actuellement leur entrée sur le marché français ont été conçues par des entreprises américaines : l'enceinte « Google Home » est commercialisée depuis août 2017, l'« Amazon Echo » ^{24 ( * )} et l'« Apple HomePod » devraient être disponibles d'ici peu.

Il existe donc un risque que l'essor des objets connectés conforte la position de faiblesse des entreprises européennes dans l'économie de la donnée relativement aux géants américains et chinois . En effet, la création de valeur issue des objets connectés ne proviendra que marginalement des objets physiques en eux-mêmes. Elle résultera surtout de l'utilisation du très important flux de données qu'ils produisent, à travers des capacités toujours plus grandes de stockage, de traitement et d'analyse de ces données. Autrement dit, la valeur du service rendu sera concentrée par la couche informatique de l'internet des objets, pas dans les objets en eux-mêmes ^{25 ( * )} . Ainsi, selon le cabinet A.T Kearney, 56 milliards d'euros devraient revenir d'ici 2025 aux activités liées au traitement des données, quand les revenus associés à la connectivité des objets seraient de 15 milliards d'euros et ceux liés aux objets physiques en eux-mêmes, de 10 milliards d'euros ^{26 ( * )} .

Or, sur l'ensemble de la couche informatique, les « GAFAM » (Google, Apple, Facebook, Amazon et Microsoft) et autres « BATX » (Baidu, Alibaba, Tencent, Xiaomi, auxquels on peut ajouter, s'agissant de l'internet des objets, Huawei) occupent déjà une position dominante. Le récent rapport de Cédric Villani sur l'intelligence artificielle ^{27 ( * )} emploie les mêmes termes que notre collègue Catherine Morin-Desailly pour décrire le risque encouru : celui que l'Europe devienne une « colonie numérique » ^{28 ( * )} .

Il convient néanmoins de remarquer que, bien qu'elle ne dispose pas de « géants numériques », l'Europe participe d'ores et déjà à la course aux objets connectés . En France, de nombreux acteurs économiques se sont positionnés sur la chaîne de valeur de l'internet des objets, en tant que concepteurs ou fabricants des objets (les composants de ST Microelectronics, Gemalto ou Eolane, les objets de la maison connectée de Netatmo, Awox, Legrand ou Somfy, les objets connectés dédiés à la santé et au bien-être de Withings, les compteurs intelligents de Sagemcom...), de solutions de connectivité (Sigfox, Actility, Kerlink, opérateurs de télécommunications engagés dans l'alliance LoRa, Matooma, Connit...) ou de solutions informatiques (Thalès, Dassault Sytèmes, Atos, Inside secure, Intent technologies, Craft AI, Tellmeplus ...). Orange, déjà évoquée à propos des enceintes connectées, fait également de l'internet des objets un des leviers de sa croissance, en s'impliquant sur une grande partie de la chaîne de valeur ^{29 ( * )} .

Au-delà de ces exemples concrets, c'est aussi ce que montre l'étude de l'Office européen des brevets sur les demandes de brevet européen relatives à des objets connectés intelligents ^{30 ( * )} . L'Office remarque que 29 % des demandes déposées en 2016 proviennent d'inventions d'origine européenne ^{31 ( * )} . L'étude remarque que « l'Allemagne se démarque dans les domaines d'application (véhicules, infrastructure et fabrication), tandis que la France est en tête dans les technologies complémentaires, telles que l'intelligence artificielle, la sécurité, les interfaces utilisateur et les systèmes 3D. La région parisienne (Île-de-France) et la région de Munich (Haute-Bavière) seraient les régions en pointe au niveau européen dans les technologies » d'objets connectés.

LES DEMANDES DE LA PROPOSITION DE RÉSOLUTION

La proposition de résolution fait état de ce que la « souverai neté numérique » de l'Europe passe par le développement d'un « écosystème numérique industriel », lequel sera stimulé par « la mise en oeuvre d'un niveau élevé de protection des consommateurs en matière d'objets connectés ».

Elle formule, en conséquence, plusieurs demandes afin de favoriser le développement d'objets connectés sécurisés, qui utilisent les données conformément à la réglementation européenne, et une participation accrue des industriels européens à ce marché. On notera que la Commission européenne s'est emparée de nombreux sujets abordés par la proposition de résolution dès 2009, à travers sa communication portant plan d'action pour l'Europe en matière d'internet des objets ^{32 ( * )} .

METTRE EN PLACE UNE CERTIFICATION DES OBJETS CONNECTÉS

La proposition de résolution demande, dans sa version initiale, « l'adoption d'un outil réglementaire de reconnaissance et d'autorisation des objets connectés à destination des consommateurs prenant la forme d'une certification » , celle-ci devant garantir « un haut niveau de protection et de sécurité pour les données personnelles » . Elle demande que soient posées certaines exigences minimales, telles que le « droit au silence des puces », l'obligation de rendre possibles les mises à jour de sécurité, des exigences accrues pour les objets permettant la collecte de données particulièrement sensibles, et une conformité au droit européen.

Ces demandes font notamment écho aux failles de sécurité découvertes sur de nombreux objets connectés ^{33 ( * )} . Selon un rapport d'Hewlett Packard security research, 70 % des objets connectés utilisés le plus fréquemment présentaient, en 2014, des vulnérabilités ^{34 ( * )} . Le cas de la poupée connectée Cayla, dont la Commission nationale de l'informatique et des libertés (CNIL) s'est saisie en décembre dernier, est illustratif. La Commission a mis en demeure le fabricant de la poupée pour atteinte grave à la vie privée en raison d'un défaut de sécurité, constatant que chacun pouvait se connecter à la poupée par Bluetooth pour écouter les conversations de l'enfant et, pis, communiquer avec lui. Plus récemment, l'entreprise israélienne de sécurité Checkmarx a développé une application exploitant une faille de sécurité de l'Amazon Echo en vue de prolonger la séquence pendant laquelle le micro de l'assistant virtuel enregistre, et de recueillir une transcription écrite de l'enregistrement ^{35 ( * )} . Au demeurant, le problème ne se pose pas que pour les consommateurs : le rapport au Premier ministre de Luc Bélot sur les villes intelligentes remarquait d'ailleurs « que les enjeux de sécurité de ces nouveaux outils sont mal perçus et mal compris des collectivités territoriales » ^{36 ( * )} .

On rappellera également que cette demande tend à répondre aux inquiétudes des consommateurs : selon un sondage, 91 % des consommateurs français se diraient inquiets de l'utilisation de leurs données à caractère personnel à travers les objets connectés ^{37 ( * )} .

Prenant acte de ce que des initiatives récentes de l'Union européenne permettront de mettre en place des mécanismes exigeants de certification des objets connectés tant en matière de protection des données à caractère personnel qu'en matière de cybersécurité , la commission des affaires européennes n'a pas estimé utile de prévoir un nouveau règlement spécifique pour assurer une certification exigeante de l'internet des objets. En revanche, elle appelle à une mise en oeuvre rapide des outils de certification figurant dans ces nouveaux instruments .

La proposition de résolution adoptée par la commission des affaires européennes précise également qu'un haut niveau de sécurité devrait exiger la possibilité d'une désactivation sélective ou totale de l'objet connecté, la possibilité de mises à jour de sécurité et l'usage de la cryptographie pour les données sensibles. Il convient en effet de souligner que tant en matière de cybersécurité que de protection des données à caractère personnel, un traitement uniforme de l'ensemble des objets connectés ne paraît ni pertinent ni souhaitable . Le niveau de sécurité exigé ne saurait être le même pour une pompe à insuline que pour un capteur de température. Il reviendra donc aux autorités publiques en charge de définir le processus de certification d'adopter une approche au cas par cas .

ÉTUDIER L'OBLIGATION DE LOCALISATION ET DE TRAITEMENT DES DONNÉES SUR LE TERRITOIRE EUROPÉEN

Afin, d'une part, de garantir la protection des citoyens et, d'autre part, de permettre le développement d'une industrie numérique européenne, la proposition de résolution demande, dans sa rédaction initiale, « que soit introduite une obligation de localisation et de traitement des données personnelles des consommateurs européens sur le territoire de l'Union » . Elle fait écho à un amendement adopté au Sénat, à l'initiative du groupe CRCE, lors de l'examen de la loi pour une République numérique ^{42 ( * )} , qui ne fut finalement pas retenu dans le texte adopté.

Comme le montre le rapport de la commission des affaires européennes, les auditions menées par vos rapporteurs ont permis d'identifier les risques associés à l'introduction d'une telle obligation. En conséquence, la résolution adoptée par la commission des affaires européennes appelle plutôt à étudier « l'opportunité de cette localisation (...) de manière approfondie afin d'en mesurer toutes les conséquences, tant juridiques qu'économiques et techniques ».

RENFORCER LA PRÉSENCE DES ACTEURS EUROPÉENS EN MATIÈRE DE NORMALISATION

La proposition de résolution demande, dans sa version initiale, « que l'Union européenne développe sa présence dans les enceintes internationales d'élaboration des normes et des standards de sécurité en matière numérique, et particulièrement l'internet des objets » . Cette orientation rejoint celle de la résolution européenne adoptée le 30 juin 2015 par notre Assemblée pour une stratégie européenne du numérique globale, offensive et ambitieuse ^{43 ( * )} , qui insistait « sur l'enjeu pour l'Union européenne d'être présente et impliquée dans les enceintes techniques internationales où s'élaborent les normes et protocoles qui dessinent l'avenir » .

Un ajustement de la rédaction initiale est apparu nécessaire dans la mesure où, comme le rapport de notre collègue Élisabeth Lamure l'a décrit ^{44 ( * )} , le système de normalisation repose sur le principe « un État = une voix ». En conséquence, ce n'est pas la présence de l'Union européenne au sein des organismes de normalisation en substitution des États européens qu'il faut accroître, mais bien celle de l'ensemble des acteurs européens - Union européenne, Etats membres, organismes de normalisation. On rappellera néanmoins que l'Union européenne est très engagée dans les actions de normalisation, à travers un système de normalisation régi par un règlement ^{45 ( * )} , la définition de programmes annuels de travail en matière de normalisation et un soutien financier apporté aux entreprises afin qu'elles participent aux actions de normalisation.

Par ailleurs, les auditions menées par les deux rapporteurs ont souligné le manque d'investissement des acteurs économiques français dans la normalisation . C'est pourquoi la commission des affaires européennes a inséré, dans la proposition de résolution, un alinéa qui appelle tant les entreprises que les administrations publiques à se mobiliser pour assurer leur présence dans les organismes européens et internationaux de normalisation.

LA PROMOTION, PAR L'UNION, DE NORMES EXIGEANTES DANS LA CONDUITE DE SA POLITIQUE COMMERCIALE

La proposition de résolution exigeait, dans sa version initiale, « que la politique commerciale de l'Union inclue la normalisation et la standardisation en matière numérique » . Or, le système de normalisation ne fait pas partie de la politique commerciale des États, qui s'entend comme l'ensemble des moyens dont dispose un État pour orienter les flux d'échanges avec un pays étranger. En conséquence, la proposition de résolution issue des travaux de la commission des affaires européennes appelle l'Union à promouvoir, dans la conduite de sa politique commerciale, des normes exigeantes dans le secteur numérique, notamment en matière de sécurité des systèmes d'information et de protection des données à caractère personnel. Autrement dit, il s'agit de ne pas permettre une libre circulation totale des données dans les accords commerciaux sans obtenir en contrepartie la garantie que les normes européennes en matière de sécurité informatique et de protection des données à caractère personnel seront respectées.

Enfin, la commission des affaires européennes a souhaité, à l'initiative du rapporteur André Gattolin, appeler le Gouvernement à renforcer les moyens de la CNIL, afin que celle-ci puisse exercer ses compétences de façon satisfaisante, sans quoi le fait de demander un niveau d'exigence élevé en Europe ne serait pas crédible.

LA POSITION DE VOTRE COMMISSION

Lors de la réunion de la commission des affaires européennes du 12 avril dernier, votre rapporteur a déjà eu l'occasion d'exprimer son accord avec les positions de la commission des affaires européennes.

C'est ainsi qu'il soutient le fait de ne pas prévoir d'outil réglementaire nouveau : la mise en oeuvre rapide et efficace du cadre actuel et à venir serait déjà une étape capitale vers la meilleure protection des consommateurs sur notre continent. Au demeurant, ajouter des contraintes supplémentaires ferait courir le risque de créer des rentes de situation au bénéfice des entreprises déjà fortement présentes sur le marché de l'internet des objets, au détriment d'entreprises innovantes qui ne l'ont pas encore pénétré.

Il soutient également le fait d'appeler à étudier de façon approfondie l'opportunité d'introduire une obligation de localisation des données sur le territoire de l'Union européenne . En effet, cette question n'a pas encore fait l'objet d'une véritable tentative d'objectivation au niveau européen, qui prendrait en compte à la fois l'exigence de protection des données à caractère personnel et celle du développement d'une industrie numérique européenne. À ce sujet, un rapport d'inspection ^{46 ( * )} rendu en 2016 faisait état de ce que l'Union « dispose d'une capacité de stockage suffisante sur son territoire pour assurer l'hébergement et le traitement des données à caractère personnel des citoyens européens circulant actuellement à destination des États-Unis » et que, « si les conséquences macroéconomiques d'une localisation des données restent difficiles à appréhender », « l'impact d'une localisation se concentrerait principalement sur les fournisseurs de service de cloud public ^{47 ( * )} », quand « les acteurs français et européens de l'hébergement voient dans la localisation une opportunité de se différencier de l'offre dominante américaine », alors que « les start-up du numérique (...) ne s'estiment pas menacées par une éventuelle relocalisation de certains traitements ». Seules « les entreprises consommatrices de ces services numériques apparaissent opposées à la localisation des données aux motifs qu'elle engendrerait des contraintes techniques et financières ». L'enjeu industriel de cette question ne doit pas être négligé : a priori, on peut estimer qu'en obligeant à les localiser en Europe, non seulement les données des Européens seront mieux protégées, mais surtout, cela pourrait favoriser l'essor d'acteurs européens du stockage, du traitement et de l'analyse des données, là où ces domaines sont actuellement dominés par les acteurs américains en Europe ^{48 ( * )} . Il convient néanmoins de souligner que cela ne serait en rien suffisant, seuls les investissements dans ces secteurs par les acteurs économiques européens avec le soutien des États pouvant permettre à l'Europe de pallier son retard, tant sur le volet relatif aux infrastructures (supercalculateurs, solutions d'intelligence artificielle...) que s'agissant de nos capacités humaines en la matière.

S'agissant de la politique commerciale , l'ajustement effectué par la commission des affaires européennes apparaissait nécessaire afin de clarifier les propos de la résolution.

Quant aux recommandations en matière de normalisation , celles-ci apparaissent pleinement en accord avec la position émise par votre commission lors de l'adoption du rapport d'Élisabeth Lamure sur ce sujet . Dès 2015, France Stratégie alertait : « l'absence d'entreprises européennes d'envergure fait peser le risque de se voir imposer des normes ne respectant pas les standards européens » ^{49 ( * )} . La normalisation est en effet un sujet stratégique et il convient de le considérer comme tel. Il s'agit d'enclencher un cercle vertueux : plus les Européens seront proactifs pour se lancer sur ces marchés, plus ils parviendront à imposer leurs normes, plus ils seront en position concurrentielle favorable.

Enfin, votre rapporteur considère opportun, en vue d'assurer une plus grande cohérence entre les considérants et les demandes de la résolution, d'ajouter un alinéa demandant à l'Union européenne d'adopter une stratégie industrielle globale et à long terme incluant l'internet des objets. On rappellera en effet que la France a défini, dès 2013, un plan industriel « objets connectés », dans le cadre des plans de la démarche « Nouvelle France Industrielle ». Dans ce cadre, la première réalisation concrète a été la création de la « Cité de l'objet connecté » à Angers, le 12 juin 2015. La même année, suite à une rationalisation des 34 projets de la « Nouvelle France Industrielle », le plan « objets connectés » s'est mué en plan « objets intelligents » ^{50 ( * )} .

Depuis la publication, en septembre 2017, de la communication de la Commission européenne intitulée « une stratégie revisitée pour la politique industrielle de l'Union européenne », le Conseil de l'Union demande régulièrement à la Commission de définir une stratégie industrielle globale et à long terme ^{51 ( * )} . À l'image du dispositif retenu en France, et alors que la Chine a intégré l'Internet des objets à son plan quinquennal dès 2011, cette stratégie pourrait utilement définir un volet relatif à l'internet des objets.

EXAMEN EN COMMISSION

Réunie le mercredi 16 mai 2018, la commission a examiné le rapport et le texte sur la proposition de résolution européenne n°429 (2017-2018) sur la régulation des objets connectés et le développement de l'internet des objets en Europe.

M. Jean-Marie Janssens , rapporteur . - La proposition de résolution que nous examinons aujourd'hui a été déposée par la présidente de la commission de la culture, de l'éducation et de la communication, Catherine Morin-Desailly. Elle travaille déjà depuis au moins cinq ans sur les enjeux, notamment économiques, du numérique.

Un mot de notre méthode de travail. André Gattolin et moi avons mené ensemble les travaux d'instruction de la proposition de résolution. J'ai pu participer aux auditions, qui nous ont permis de recueillir l'avis de la Direction générale des entreprises, de l'Association française de normalisation (Afnor) et de la Commission nationale de l'informatique et des libertés (CNIL).

La définition des « objets connectés » est très simple : il s'agit de n'importe quel objet, dès lors qu'il peut communiquer avec d'autres objets. Pour les particuliers, les objets connectés ont d'abord servi à la « quantification de soi » : mesurer le nombre de ses pas, les calories dépensées, le temps de sommeil. Les montres connectées, apparues plus récemment, comportent de nombreuses fonctionnalités plus sophistiquées et se rapprochent des téléphones intelligents, les smartphones . Les objets connectés investissent aujourd'hui la maison, ampoules ou thermostats connectés en particulier. L'année 2018 sera également celle de la commercialisation en masse dans notre pays des enceintes intelligentes, capables d'effectuer des recherches et des achats en ligne comme de commander d'autres objets connectés de la maison.

Du côté des professionnels, le marché des objets connectés est déjà bien développé. Il s'agit principalement de capteurs sans fils qui transmettent des données, afin qu'elles soient analysées et transformées en informations utiles pour la production.

Par exemple, en matière agricole, les objets connectés peuvent surveiller une donnée constante, en vue de donner l'alerte en cas de problème. Des sondes thermiques avertissent d'un échauffement dans un stock de paille. Les capteurs permettent également de répondre aux besoins de l'agriculture de précision, à travers un suivi régulier des cultures. On peut aussi imaginer des capteurs de suivi d'humidité pour piloter au plus juste les apports d'eau.

Je rappellerai enfin que les objets connectés constituent l'une des « briques technologiques » des « villes intelligentes ». Le sujet concerne donc également les collectivités territoriales.

En somme, Catherine Morin-Desailly fait, avec raison, le constat que les objets connectés seront d'ici à quelques années partout dans nos vies. Les experts prévoient une croissance impressionnante de leur nombre : on parle de 20 à 35 milliards d'objets connectés en 2020, contre 10 milliards environ aujourd'hui. La production de données numériques va, en conséquence, également exploser. En France, une étude a estimé en 2015 à 3,6% d'ici à 2020 l'impact positif potentiel sur le produit intérieur brut du déploiement des objets connectés.

Pour autant, les acteurs économiques européens et français sont-ils bien positionnés pour profiter de la croissance de ce marché ? Selon un cabinet d'étude, l'Asie dépensera, en 2018, 312 milliards de dollars dans l'internet des objets, la Chine représentant à elle seule 209 milliards de dollars. L'Amérique du Nord est à 203 milliards. L'Europe, décomptée avec l'Afrique et le Moyen-Orient, à seulement 171 milliards...

Il existe donc un risque réel que l'essor des objets connectés conforte la situation de faiblesse des entreprises européennes, dans l'économie de la donnée, par rapport aux géants américains et chinois. Certes, chez nous, de nombreuses entreprises de toutes tailles font de l'essor de l'internet des objets un levier de leur croissance. Ainsi, 29 % des demandes de brevets déposées en 2016 auprès de l'Office européen des brevets en matière d'objets connectés proviennent d'inventions d'origine européenne. Toutefois, la création de valeur des objets connectés provient avant tout de l'utilisation des données, par leur traitement et leur analyse. Autrement dit, la valeur du marché provient de secteurs d'activités qui sont d'ores et déjà dominés par les géants américains et chinois du numérique.

J'en viens à la proposition de résolution. Celle-ci constate que la « souveraineté numérique » de l'Europe passe par le développement d'un « écosystème numérique industriel ». Elle formule, en conséquence, diverses pistes d'action.

La première consiste en une certification par les autorités publiques, pour que l'Europe assure à ses consommateurs un niveau élevé de cybersécurité et de protection des données à caractère personnel. Le processus est en cours, dans le règlement général sur la protection des données à caractère personnel, et dans le projet de règlement sur la cybersécurité. La résolution, dans sa rédaction issue de la commission des affaires européennes, vise à demander que ces certifications soient mises en place rapidement.

La version initiale de la proposition mentionnait un outil réglementaire spécifique pour la certification. Cela n'apparaît pas nécessaire. D'abord parce que les normes générales, adoptées ou en préparation, s'appliqueront aux objets connectés. Ensuite, parce qu'une règle spécifique pourrait créer des situations de rentes, bénéficiant aux acteurs déjà bien implantés. Enfin, parce que la sécurité informatique et la protection des données à caractère personnel méritent une approche au cas par cas : le niveau de sécurité nécessaire n'est pas le même pour une pompe à insuline et pour un capteur de température.

La deuxième piste d'action n'est pas propre aux objets connectés : il s'agit de l'introduction, en droit européen, d'une obligation de localisation et de traitement des données à caractère personnel des consommateurs européens sur le territoire de l'Union européenne. Cette question n'a pas fait l'objet d'un examen approfondi à l'échelon européen. Si certains industriels plaident en faveur d'une telle obligation, les auditions nous ont montré certains risques qui y seraient associés. Par conséquent, la proposition de résolution, issue des travaux de la commission des affaires européennes, demande que soit considérée l'introduction d'une telle obligation.

La troisième piste d'action porte sur les normes, professionnelles ou étatiques. La commission des affaires européennes a uniquement apporté des modifications d'ordre technique sur ce volet. Le texte demande que l'Union européenne inclue, dans la conduite de sa politique commerciale, la promotion de normes exigeantes en matière numérique.

Sur les normes professionnelles, la résolution invite les acteurs européens à renforcer leur présence dans les enceintes internationales où elles sont élaborées. Les auditions ayant fait ressortir que les acteurs français ne sont pas suffisamment investis dans la normalisation, un alinéa a été ajouté en commission des affaires européennes pour les appeler à s'engager davantage. Les travaux d'Elisabeth Lamure sur la normalisation ont été à cet égard très utiles !

Enfin, la commission des affaires européennes a, sur l'initiative du rapporteur André Gattolin, introduit un alinéa demandant de renforcer les moyens de la CNIL pour lui permettre de faire face à l'essor des objets connectés.

Puisque nous avons travaillé ensemble, André Gattolin et moi, en vue de faire converger nos positions en amont de l'examen en commission des affaires européennes, j'ai un seul amendement à vous proposer.

En vue d'assurer une plus grande cohérence entre les considérants et les demandes dans le texte, je vous propose d'ajouter un alinéa demandant à l'Union européenne d'adopter une stratégie industrielle, globale et à long terme, incluant l'internet des objets. Deux éléments motivent cet ajout : d'une part, alors que la France a défini, dès 2013, un plan industriel « objets connectés » dans le cadre des plans de la démarche « Nouvelle France Industrielle », il me semble que l'Union européenne serait bien inspirée d'en faire autant ; d'autre part, depuis la publication, en septembre 2017, de la communication de la Commission européenne intitulée « une stratégie revisitée pour la politique industrielle de l'Union européenne », le Conseil de l'Union européenne demande régulièrement à la Commission de définir une stratégie industrielle globale et à long terme. C'est donc le bon moment pour plaider en faveur de l'insertion d'un volet relatif à l'internet des objets !

Cette proposition de résolution fixe au Gouvernement les bonnes orientations à défendre à l'échelon européen. Elle constitue une première base de travail pour ce sujet très vaste.

M. André Gattolin , rapporteur pour la commission des affaires européennes . - Je vous remercie, madame la présidente, de m'avoir invité à participer à votre réunion. Avec Jean-Marie Janssens, nous avons travaillé, je le crois, en bonne intelligence, démarche indispensable à l'examen réussi d'une proposition de résolution européenne. Trop fréquemment, en effet, la commission des affaires européennes et la commission saisie au fond travaillent indépendamment sur un texte, ce qui peut conduire cette dernière à adopter des amendements à visée trop nationale, qui discréditent la position du Sénat français au sein des instances européennes. Dans le cas présent, nous avons mené les auditions conjointement et Jean-Marie Janssens fut parmi les premiers lecteurs de mon rapport !

Je travaille depuis sept ans sur les questions numériques et puis vous assurer que la démarche de votre rapporteur est tout à l'honneur du Sénat, qui, de longue date, défend une position ambitieuse sur ces sujets. Souvenez-vous notamment des initiatives de Catherine Morin-Desailly, présidente de la commission de la culture, de l'éducation et de la communication : elle fut la première à qualifier l'Europe de « colonie du monde numérique », à réclamer l'établissement d'une souveraineté numérique européenne, à prôner l'instauration d'un marché unique du numérique et à réclamer une politique industrielle européenne en la matière. Nous avons ensemble tant martelé les enjeux de l'Europe du numérique que nous aurions pu écrire l'amendement proposé par M. Janssens, qui a le grand mérite de les réaffirmer ! Nous attendons de l'Europe qu'elle se dote des moyens de développer une industrie du numérique : ne nous contentons pas d'être utilisateurs d'objets connectés, soyons en producteurs et, ainsi, créateurs d'emplois !

Je suis convaincu, notamment depuis l'audition de la CNIL, de l'impérative nécessité de renforcer les moyens de l'institution, qui, pionnière de la protection des libertés à la fin des années 1970, fut copiée jusqu'à l'établissement d'instances de contrôle et de régulation similaires dans les différents pays européens. Hélas, alors que ses consoeurs ont vu croître leurs effectifs, notamment dans la perspective de l'application prochaine du règlement général sur la protection des données (RGPD), il n'en fut rien pour la CNIL, pourtant confrontée également à l'élargissant de ses compétences.

Dans le cadre de ses travaux, la commission des affaires européennes a défini plus limitativement le champ de la proposition de résolution de Catherine Morin-Desailly, afin de prendre en considération les modifications du cadre réglementaire introduites par le RGDP et, prochainement, par le règlement européen en matière de cybersécurité présenté en septembre dernier. Il conviendra également de porter attention aux conclusions de plusieurs rapports à venir, notamment celui relatif au bilan de la mise en oeuvre de l'accord dit Privacy schield attendu en septembre.

Je suis enfin convaincu de la nécessité, pour l'Europe, de s'investir dans la définition des procédures de normalisation et de participer, à cet effet, aux travaux des instances concernées. Certes, l'Europe doit légiférer, mais sans perdre de vue l'intérêt de la soft law, via la participation d'acteurs européens au sein des organismes de normalisation. Chaque État y disposant d'une voix, l'Europe gagnerait, en outre, à y siéger unie, afin de promouvoir ses valeurs et protéger ses intérêts.

Mme Sophie Primas , présidente - Vous êtes, comme à votre habitude, aussi passionné que passionnant !

M. Roland Courteau . - Je partage l'analyse de notre rapporteur : les objets connectés représentent, pour l'Europe, un enjeu économique considérable estimé, dans un récent rapport de l'office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst), à plusieurs centaines de milliards d'euros à l'horizon 2027. L'Europe, qui a déjà perdu la guerre de l'ordinateur personnel, du téléphone et du moteur de recherche, doit gagner celle des objets connectés ! Le développement d'une politique industrielle de l'Internet des objets connectés nécessite la confiance des consommateurs en ces technologies. Or, si en 2016, 33 % des personnes interrogées se disaient inquiètes de la récupération de leurs données personnelles, ce chiffre s'établissait, en 2017, à 42 %. Peut-être la mise en oeuvre du RGPD à compter du 25 mai offrira-t-elle aux utilisateurs les garanties nécessaires à la restauration de la confiance ? À cet effet, je suis favorable à la création d'un dispositif de certification des objets connectés afin de protéger les consommateurs. Il est fort dommage que les pratiques sécurisées de conception de ces biens ne soient pas encore généralisées et fassent, dès lors, courir un risque majeur à leurs utilisateurs. J'attire par ailleurs votre attention sur le fait que la saturation du spectre hertzien nécessitera prochainement une nouvelle réglementation. En outre, si l'Internet des objets connectés et des données peut contribuer à la ré-industrialisation de la France, ce n'est qu'à la condition de former et de conserver les talents nécessaires à cette industrie. Je vous alerte enfin, mes chers collègues, sur le risque de fracture numérique, qui pèse sur notre pays.

M. Marc Daunis . - Les objets connectés n'appartiennent pas au futur : ils sont d'ores et déjà présents dans notre vie quotidienne. Compte tenu de notre savoir-faire, le retard européen en la matière est peu compréhensible et j'approuve, monsieur le rapporteur, votre amendement. Pour autant, il convient également, pour alimenter la politique industrielle européenne, de soutenir les initiatives françaises. À l'instar de ma collègue Dominique Estrosi Sassone, je puis vous assurer que nos territoires - je pense notamment à Sophia Antipolis - sont précurseurs dans le domaine de la recherche numérique. Avec l'industrie des objets connectés, le législateur se trouve confronté à une injonction contradictoire : s'il anticipe par trop les usages, il risque, par une réglementation trop contraignante, d'en freiner l'expansion, mais il se doit parallèlement de protéger les libertés individuelles des citoyens et les intérêts économiques des entreprises. Une protection trop faible des objets connectés en raison d'une réglementation a minima ouvrirait ainsi aisément la voie au piratage des données. Il m'apparait à cet égard sage d'adapter progressivement la réglementation aux usages et aux besoins. À cet effet, notre commission des affaires économiques pourrait utilement instituer un groupe de travail en son sein pour observer ces évolutions et proposer, le cas échéant, des modifications législatives.

Mme Sophie Primas , présidente . - J'ai entendu votre demande, mon cher collègue.

Mme Michelle Gréaume . - Je comprends parfaitement l'objet de votre amendement mais je m'inquiète, pour autant, des risques engendrés par l'usage d'objets connectés en matière de cybersécurité. Les informations utilisées sont stockées dans des serveurs dont on ne connaît pas le niveau de sécurité. À titre d'illustration, des anomalies en matière d'utilisation des données personnelles ont pu être constatées dans le secteur de la santé et du bien-être. Ne conviendrait-il pas d'émettre, dans la proposition de résolution, une réserve relative à l'utilisation des données personnelles des particuliers et des entreprises ?

Mme Anne-Catherine Loisier . - Merci, monsieur le rapporteur, pour la qualité de votre présentation. Une expérience vécue récemment dans une start-up m'a fait comprendre combien le secteur numérique était difficile à appréhender car extrêmement mouvant. Imaginez que les données numériques produites sur l'ensemble de l'année 2003 sont équivalentes à celles enregistrées sur une seule journée en 2017 ! Dès lors, légiférer en la matière oblige le législateur à une écoute attentive et à une grande ouverture. Les entreprises sont freinées dans leur développement par l'incertitude liée à la mise en oeuvre prochaine du RGPD. Le législateur se trouve face à un triple enjeu de protection des données personnelles, de développement économique et de positionnement de la France sur le marché international du numérique. Je suis, en conséquence, favorable à l'amendement de notre rapporteur et convaincue de la nécessité de participer activement aux instances internationales en charge de la définition des normes dans le domaine du numérique, afin de protéger nos intérêts.

M. Robert Navarro . - Je remercie à mon tour notre rapporteur et celui de la commission des affaires européennes. Sur le numérique comme sur d'autres dossiers, l'Europe accumule les retards face aux États-Unis et à la Chine ; je suis donc favorable à votre amendement. En revanche, à l'heure où les investissements s'avèrent indispensables dans les secteurs de la formation, de l'éducation, de la défense ou de l'énergie, je ne comprends guère que l'on prône la croissance des moyens de la CNIL. Redéployons plutôt les effectifs entre autorités administratives indépendantes, qui coûtent déjà fort cher à la République !

M. Alain Duran . - Au-delà de l'enjeu économique, l'industrie des objets connectés est confrontée à une crise de confiance, alors que ne cesse de se développer leur usage. De fait, les systèmes d'information qu'ils contiennent, de plus en plus performants, analysent les données personnelles à des fins économiques, voire politiques. Il convient d'éviter que la remise en cause de ces pratiques ne freine le développement de cette industrie. Le cadre européen me semble, à cet égard, le plus pertinent à condition qu'y soit harmonisées les normes. Je me joins également à l'appel de notre collègue André Gattolin en faveur d'un renforcement substantiel des moyens de la CNIL. Soyons cependant conscients que la présente proposition de résolution européenne ne représente qu'une étape. Le monde du numérique change si vite qu'elle sera peut-être obsolète dans quelques heures !

Mme Sophie Primas , présidente . - Dans quelques mois, plus sûrement !

M. Martial Bourquin . - L'Europe, déjà très en retard, doit évidemment mener une politique industrielle du numérique. Malheureusement, lorsque nous nous sommes rendus auprès de la commission européenne, voici quelques semaines, avec Alain Chatillon et Fabien Gay, dans le cadre de la mission commune d'information sur Alstom, nous avons pu constater combien était inexistante la politique industrielle de l'Europe. Dans les années 2000, sous l'influence anglo-saxonne, s'est installé à Bruxelles le dogme de la concurrence, qui empêche désormais l'établissement de champions européens. Lorsque le fleuron allemand Kuka a été racheté par la Chine, l'Allemagne, contrainte par le droit européen de la concurrence, fut impuissante à éviter cette perte ! Elle a, depuis, adopté une sorte de « décret Montebourg » pour mieux protéger son industrie. Souvenez-vous également du démantèlement de la Compagnie générale d'électricité (CGE), dont la branche énergie fut cédée à General Electric et le volet ferroviaire à Siemens. L'Europe n'en a pas encore tiré les leçons : lors de notre entretien, le chef de cabinet du responsable de la politique industrielle de la commission européenne ne nous a entretenus que des bienfaits de la concurrence...

M. Daniel Gremillet . - Je joins mes remerciements à ceux de mes collègues et partage la position de notre rapporteur s'agissant de l'amendement qu'il propose. Une remarque cependant : nous n'avons pas, il me semble, suffisamment mesuré les conséquences du Brexit, qui bouleverse les équilibres économiques en présence, sur la politique industrielle de l'Europe. Il est, en conséquence, fort utile que le présent rapport réaffirme les ambitions françaises en la matière et rappelle la nécessité de protéger l'industrie de certains méfaits de la concurrence.

M. Laurent Duplomb . - Les objets connectés ne cessent d'épier nos faits et gestes, comme, par exemple, le nombre de pas parcourus quotidiennement. Nos données personnelles, stockées dans des serveurs, pourraient-elles un jour être récupérées par une assurance ou une mutuelle pour juger, notamment, de la qualité de notre mode de vie ? Il ressort pourtant de la liberté personnelle d'être ou non marcheur !

M. Martial Bourquin . - En politique également !

M. Laurent Duplomb . - Comment, monsieur le rapporteur, éviter une telle dérive ?

Mme Sophie Primas , présidente . - Votre question rejoint celle de la confiance en la technologie des utilisateurs d'objets connectés. La liberté, inscrite au fronton de la République, ne doit pas être entachée par des manipulations économiques ou politiques ! L'obligation de stockage des données sur le territoire européen, autre sujet majeur, pose parallèlement la question de savoir qui est responsable du stockage, et notamment qui sont les actionnaires de l'entité assurant le stockage. J'essaie, pour ma part, d'installer dans mon département ce qui, à ma connaissance, sera le premier data center intégralement français. Il s'agit d'un enjeu de souveraineté !

M. Jean-Marie Janssens , rapporteur . - Messieurs Daunis et Duran, vous avez raison : il convient d'agir rapidement tant l'Europe a déjà pris du retard dans le domaine du numérique et afin de s'adapter au rythme de l'économie numérique. S'agissant de la France, je rappellerai que, depuis 2013, dans le cadre de la Nouvelle France Industrielle, les objets connectés ont été identifiés comme l'une priorité. Madame Gréaume, un projet de règlement européen traite des enjeux de cybersécurité et vient de faire l'objet d'une autre proposition de résolution européenne. J'entends les craintes de M. Duplomb, mais les inégalités d'accès aux assurances et aux mutuelles ont précédé l'utilisation d'objets connectés... Il est important de communiquer sur les enjeux liés à ces technologies. À titre personnel, en travaillant sur ce thème à l'occasion du présent rapport, j'ai compris combien notre quotidien - pensez, par exemple, à l'équipement domotique d'une maison géré par un smartphone - était imprégné pas les objets connectés et, partant, concerné par les risques de piratage.

M. André Gattolin , rapporteur pour la commission des affaires européennes . - Il est exact, monsieur Bourquin, que l'Europe s'est privée d'une véritable politique industrielle, tout en se dotant d'un arsenal en droit de la concurrence plus restrictif que celui de l'organisation mondiale du commerce (OMC). Prenez l'interdiction des crédits d'impôts sectoriels : quelle erreur alors que l'industrie du numérique nécessite des investissements ! En 2013, j'ai commis avec Bruno Retailleau un rapport commun aux commissions de la culture et des affaires économiques sur l'industrie du jeu vidéo. Depuis plusieurs années, nos principaux concurrents étrangers, Canada en tête, ont créé des crédits d'impôts sectoriels en faveur des studios. La France a pu offrir, en se fondant sur l'argument de l'exception culturelle, des conditions également favorables, sauvant ainsi 2 000 à 3 000 emplois sur le territoire national. Le plan Juncker, bien qu'utile, concernera majoritairement le financement de grands projets d'infrastructures. S'agissant du numérique, il conviendrait donc de laisser aux États membres la possibilité de soutenir les entreprises.

M. Martial Bourquin . - Il faut revoir la loi antitrust pour faire émerger des champions européens !

Mme Sophie Primas , présidente . - Beau programme !

M. André Gattolin , rapporteur pour la commission des affaires européennes . - La commission des affaires européennes a abondamment travaillé sur le droit de la concurrence, dont elle a conscience des limites. Il serait utile de prendre, avec d'autres pays - je pense particulièrement à l'Allemagne - des initiatives visant à son assouplissement. Quant aux agences de régulation, monsieur Navarro, je partage l'analyse du rapport de notre ancien collègue Jacques Mézard...

Mme Sophie Primas , présidente . - Et de Marie-Hélène des Esgaulx.

M. André Gattolin , rapporteur pour la commission des affaires européennes . - Il y a trop d'autorités administratives indépendantes en France, ce qui ne signifie pas que toutes soient inutiles. Je m'étonne cependant que le conseil supérieur de l'audiovisuel, avec 400 salariés, dispose d'un effectif deux fois supérieur à celui de la CNIL. Certes, la régulation de l'audiovisuel représente un enjeu important, mais les effectifs des deux instances devraient à tout le moins être équivalents.

Il ne faut pas confondre la gestion des données personnelles, que le RGPD rendra plus rigoureuse, et le risque de piratage. Il serait effectivement utile, sur ce second sujet, de former les informaticiens et les programmeurs à la cybersécurité. Certains créent, en effet, imprudemment des « backdoors », ou portes dérobées, dans les programmes destinés aux objets connectés, qui facilitent leur piratage. Le règlement européen relatif à la cybersécurité est particulièrement attendu compte tenu des enjeux.

M. Jean-Marie Janssens , rapporteur . - S'agissant enfin, madame la présidente, du stockage des données sur le territoire européen : la piste suggérée par la proposition de résolution pourrait participer à l'essor d'acteurs européens du stockage de premier plan, mais cela ne remplacera pas l'investissement des entreprises et des États.

Mme Sophie Primas , présidente . - Venons-en à l'examen de l'amendement.

M. Marc Daunis . - Je suis en désaccord avec les propos de certains de nos collègues mettant en cause, sans nuance, le retard français ou européen en matière numérique. Notre recherche se place parmi les meilleures du monde ! Renault a ainsi installé son software lab à Toulouse et à Sophia Antipolis, qualifiée par l'entreprise de lieu de création unique au monde. N'ayons donc pas de sentiment d'infériorité face aux États-Unis ou à la Chine ! En revanche, nous devons améliorer le passage, encore trop fragile, de la recherche à la production.

Mme Sophie Primas , présidente . - L'amendement COM-1 de notre rapporteur invite l'Europe à se doter d'une stratégie industrielle commune.

L'amendement COM-1 est adopté.

La proposition de résolution européenne est adoptée à l'unanimité dans la rédaction issue des travaux de la commission.

LISTE DES PERSONNES AUDITIONNÉES

(en commun avec le rapporteur de la commission des affaires européennes)

- Ministère de l'économie et des finances - Direction générale des entreprises :

M. Loïc DUFLOT , Sous-directeur des réseaux et usages numériques.

M. Olivier Rouxel , Chargé de mission RFID, Internet des objets, French Tech

- AFNOR :

Mme Nathalie LOCHET , Directrice de la communication.

M. Rémi REUSS , Responsable de projets Consommation - Collectivités territoriales - Innovation.

- Commission nationale de l'informatique et des libertés (CNIL) :

Mme Tiphaine HAVEL , Conseillère pour les questions institutionnelles et parlementaires.

M. Matthieu GRALL , Chef du service de l'expertise technologique

Mme Clémence SCOTTEZ , Cheffe du service des affaires économiques.

PROPOSITION DE RÉSOLUTION EUROPÉENNE

TEXTE DE LA COMMISSION

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu les articles 3, 16, 26 et 114 du traité sur le fonctionnement de l'Union européenne,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 94/46/CE (règlement général sur la protection des données),

Vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union,

Vu la proposition de règlement COM(2017) 10 final concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques ») et la proposition de règlement COM(2017) 477 final relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l'information et des communications en matière de cybersécurité (règlement sur la cybersécurité),

Vu le livre blanc conjoint du groupe consultatif Union européenne - République populaire de Chine sur l'internet des objets de janvier 2016, intitulé « EU-China Joint White Paper on the Internet of Things » ,

Vu la communication COM(2016) 180 final de la Commission européenne au Parlement européen, au Conseil, au Conseil économique et social européen et au Comité des régions du 19 avril 2016 intitulée « Passage au numérique des entreprises européennes : tirer tous les avantages du marché unique numérique »,

Vu le document de travail SWD(2016) 110 final de la Commission européenne intitulé « Advancing the internet of things in Europe » assortissant la communication COM(2016) 180 final de la Commission européenne au Parlement européen, au Conseil, au Conseil économique et social européen et au Comité des régions du 19 avril 2016 précitée,

Vu le rapport d'information du Sénat « L'Union européenne, colonie du monde numérique ? » (n° 443, 2012-2013) - 20 mars 2013 - de Mme Catherine Morin-Desailly, fait au nom de la commission des affaires européennes,

Vu le rapport d'information du Sénat « L'Europe au secours de l'internet : démocratiser la gouvernance de l'internet en s'appuyant sur une ambition politique et industrielle européenne » (n° 696 tome I, 2013-2014) - 8 juillet 2014 - de Mme Catherine Morin-Desailly, fait au nom de la mission commune d'information sur la gouvernance mondiale d'internet,

Vu le rapport d'information de l'Assemblée nationale sur les objets connectés (n° 4362, quatorzième législature) - 10 janvier 2017 - de Mmes Corinne Erhel et Laure de La Raudière, fait au nom de la commission des affaires économiques,

Vu la résolution européenne n° 122 (2014-2015) pour une stratégie européenne du numérique globale, offensive et ambitieuse, devenue résolution du Sénat le 3 juin 2015,

Considérant que la souveraineté numérique constitue un enjeu politique majeur pour l'Union européenne,

Considérant qu'il ne sera possible de promouvoir cette souveraineté numérique qu'en développant un écosystème numérique industriel puissant et diversifié sur l'ensemble du territoire européen,

Considérant que la mise en oeuvre d'un niveau élevé de protection des consommateurs en matière d'objets connectés favorisera l'émergence d'objets connectés conformes aux droit et principes européens et qu'elle stimulera le développement d'une filière industrielle de l'internet des objets en Europe ainsi que l'utilisation d'objets connectés européens par les industries traditionnelles,

Considérant la part croissante que représente l'internet des objets dans la production de données à caractère personnel et dans la production des données issues des activités industrielles et commerciales des opérateurs économiques,

Considérant que le risque de surveillance, par des entités non européennes soumises à des régimes juridiques autorisant les intrusions gouvernementales dans leur système d'information en est de fait accru,

Considérant l'importance que revêt l'internet des objets dans le développement économique de l'Union, notamment par la mise en oeuvre de nouvelles générations d'objets industriels connectés dans les secteurs stratégiques pour l'économie européenne que sont la santé, la maîtrise de l'énergie, la protection de l'environnement ou encore les transports,

Considérant que l'objectif de construction d'un marché unique doit être appuyé par une stratégie industrielle européenne audacieuse dans le domaine de l'internet des objets et que la mise en oeuvre de cette politique passe à la fois par le développement de technologies qui répondent aux principes de protection des données et de sécurité des systèmes d'information, et par le soutien à l'édification d'un marché unique numérique porteur de croissance et acteur de l'économie numérique européenne,

Appelle en conséquence l'Union européenne à se doter rapidement d'une stratégie industrielle ambitieuse, globale et à long terme, incluant l'internet des objets ;

Demande la mise en place rapide d'une certification des objets connectés qui garantisse un haut niveau de sécurité informatique et de protection des données à caractère personnel, incluant notamment le libre consentement des personnes ;

Estime que ce haut niveau de protection doit notamment inclure :

- la possibilité d'une désactivation sélective ou totale de l'objet connecté ;

- la possibilité de mises à jour de sécurité ;

- l'usage de technologies cryptographiques pour la protection des données sensibles ;

Demande que soit considérée l'opportunité d'une obligation de localisation et de traitement des données à caractère personnel des consommateurs sur le territoire de l'Union européenne ;

Demande que l'Union européenne inclue dans la conduite de sa politique commerciale la promotion de normes exigeantes en matière numérique ;

Demande que les acteurs européens renforcent leur présence dans les enceintes internationales d'élaboration des normes et des standards de sécurité en matière numérique, et particulièrement l'internet des objets ;

Appelle les acteurs français de l'internet des objets à élaborer des normes au niveau national et européen pour les proposer ensuite dans ces enceintes ;

Demande le renforcement des moyens de la CNIL pour lui permettre de faire face à l'essor des objets connectés.

---

* ¹ L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne, Rapport d'information de Mme Catherine Morin-Desailly, fait au nom de la MCI sur la gouvernance mondiale de l'Internet, n° 696 tome I (2013-2014) - 8 juillet 2014

* ² Résolution européenne du Sénat en date du 30 juin 2015 pour une stratégie européenne du numérique globale, offensive et ambitieuse.

* ³ Résolution européenne du Sénat en date du 8 septembre 2017 pour une réforme des conditions d'utilisation des mesures conservatoires prévues par le règlement (CE) n° 1/2003 du Conseil relatif à la mise en oeuvre des règles de concurrence.

* ⁴ C'est-à-dire liées à une personne identifiée ou identifiable : selon l'article 4§1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE on entend par données à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable (...) »

* ⁵ Le livre blanc précité retrace de façon exhaustive l'ensemble des enjeux qui lui sont relatifs.

* ⁶ Selon une étude du cabinet eMarketer publiée en décembre dernier sur l'adoption des « wearables » par les américains, moins de 20% d'entre eux utiliseront un « wearables » au cours de l'année 2018.

* ⁷ https://www.usatoday.com/story/tech/talkingtech/2017/12/29/iphone-once-again-top-tech-best-selling-product-2017/987850001/

* ⁸ Selon une étude (Christophe Castro, « Les agriculteurs ont l'oeil... numérique », Inrialty, 27 février 2012), les capteurs Libelium, implantés chez des vignerons espagnols, ont ainsi permis une réduction de 20 % des pesticides utilisés et une amélioration de 15 % de la production.

* ⁹ Mission gouvernementale « Agriculture Innovation 2025 », 30 projets pour une agriculture compétitive et respectueuse de l'environnement, octobre 2015.

* ¹⁰ Renaissance numérique, Les défis de l'agriculture connectée dans une société numérique, novembre 2015.

* ¹¹ http://www.businessinsider.fr/us/internet-of-things-smart-agriculture-2016-10.

* ¹² Organisation des Nations Unies pour l'agriculture et l'alimentation, E-agriculture in action, 2017

* ¹³ Les programmes cadres européen de recherche et développement constituent le principal instrument européen de financement de la recherche et de l'innovation en Europe. S'étalant sur plusieurs années, l'actuel programme, intitulé « Horizon 2020 », est en vigueur depuis 2014 jusqu'à 2020.

* ¹⁴ Une cartographie de ces cas d'utilisation est disponible à l'adresse suivante : https://www.iof2020.eu/trials.

* ¹⁵ https://cordis.europa.eu/news/rcn/128553_fr.html.

* ¹⁶ Pour quelques exemples en la matière, voir le rapport d'information fait au nom de la délégation aux collectivités territoriales et à la décentralisation du Sénat par MM. Jacques Mézard et Philippe Mouiller sur les nouvelles technologies au service de la modernisation des territoires, n° 509 (2016-2017), 19 avril 2017.

* ¹⁷ http://www.strategie.gouv.fr/actualites/smart-cities-faut-partir-besoins-usages-citoyens.

* ¹⁸ IDC, Worldwide spending on the Internet of Things, décembre 2017.

* ¹⁹ A.T. Kearney pour l'Institut Montaigne, dans le rapport publié par l'Institut en avril 2015 intitulé « Big data et objets connectés ». Ce potentiel de création de valeur de 74 milliards d'euros à horizon 2020 proviendrait de l'augmentation de la productivité, de gains de pouvoirs d'achat et d'économies de temps monétisées. Les secteurs qui en bénéficieraient le plus seraient le logement, la mobilité, ou la santé.

* ²⁰ Selon les données disponibles sur le site statista.com. Si les études retiennent des périmètres divers, ce qui conduit à des estimations non concordantes, il convient de retenir que toutes les études concluent à une forte croissance du marché, y compris en France. Ainsi, une récente étude du cabinet GFK a estimé à 1 milliard d'euros le chiffre d'affaires généré par le marché français des objets connectés en 2017, un chiffre en croissance de 33%. Sur les 5,2 millions d'objets vendus en 2017, 57% seraient dédiés à la maison, segment porté par l'essor de l'électroménager connecté, 16% correspondraient aux « wearables », comme les montres connectées, puis les drones (9%) et la santé connectée (3,5%).

* ²¹ IDC.com, IDC forecasts worldwide spending on the internet of things to reach 772 billion dollars in 2018, décembre 2017

* ²² Selon une étude menée par NPR et Edison Research et publiée en janvier dernier, 16% de la population américaine posséderaient une enceinte connectée.

* ²³ Gartner, Forecast snapshot : VPA-Enabled Wireless Speakers, 2017.

* ²⁴ D'après le cabinet CIRP, la part de marché d'Amazon attaint, aux Etats-Unis, 69 % en décembre 2017 (Geek Wire, New data: Google Home faring better against Amazon Echo, grabbing 40% of U.S. holiday sales).

* ²⁵ Par exemple, la qualité de service des enceintes connectées provient surtout de la qualité du logiciel d'assistant personnel qui l'accompagne (Alexa pour Amazon, Siri pour Apple, Google Assistant pour Google, Cortana pour Microsoft, Bixby pour Samsung...).

* ²⁶ A.T. Kearny, The Internet of Things : A new path to European prosperity, janvier 2016.

* ²⁷ L'internet des objets, du fait de la forte croissance de la production de données qu'il va engendrer, est profondément lié à l'essor de l'intelligence artificielle : les données produites seront amenées à nourrir les IA, qui augmenteront leurs performances et rendront des services de meilleure qualité.

* ²⁸ Catherine Morin-Desailly, L'Union européenne, colonie du monde numérique ?, Rapport d'information n° 443 (2012-2013), fait au nom de la commission des affaires européennes, déposé le 20 mars 2013.

* ²⁹ Par exemple, Orange Business Services et Siemens ont annoncé, le 18 avril dernier, former un partenariat dédié à l'élaboration de solutions dans l'internet des objets tournées vers la performance industrielle. Le 23 avril dernier, Siemens a également signé un accord de partenariat portant sur la solution Mindsphere avec Atos.

* ³⁰ Office européen des brevets, Patents and the Fourth Industrial Revolution (4RI), décembre 2017. Pour un recensement des entreprises ayant déposé des brevets en France au cours de l'année 2016 dans le domaine des objets connectés, on pourra se référer à l'étude consultable sur ce lien : https://fr.linkedin.com/pulse/analyse-et-dataviz-des-acteurs-fran%C3%A7ais-du-march%C3%A9-objets-sylvestre.

* ³¹ Néanmoins, d'une part, les Européens sont suivis de près par les Américains (25%) et les Japonais (18%), d'autre part, la croissance des demandes coréennes et chinoises est plus importante que celle des autres pays, alors que la plupart des 25 entreprises représentant environ la moitié de toutes les demandes de brevet déposées entre 2011 et 2016 sont situées en Asie...

* ³² Communication COM(2009) 278 final de la Commission européenne au Parlement européen, au Conseil, au Conseil économique et social européen et au Comité des régions du 18 juin 2009 intitulée « l'internet des objets - un plan d'action pour l'Europe ».

* ³³ On rappellera que la question de la sécurité et de la protection des données à caractère personnel a été posée, parmi d'autres sujets, par l'association UFC-Que choisir, qui a assigné au début de l'année la Fnac et Amazon devant le tribunal de grande instance de Paris pour défaut d'information des consommateurs sur leurs plateformes de commerce en ligne au titre de l'article L. 111-1 du code de la consommation. Cela fait suite à son enquête sur les objets connectés pour le logement de juin 2017.

* ³⁴ HP Fortify on Demand (2014), « Internet of Things State of the Union Study ».

* ³⁵ https://info.checkmarx.com/wp-alexa . Il convient de souligner qu'Amazon a depuis résolu la faille.

* ³⁶ Luc Bélot, Rapport au Premier ministre, De la smart city au territoire d'intelligence(s), avril 2017

* ³⁷ Sondage Opinionway, mars 2017.

* ³⁸ Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

* ³⁹ G29, avis relatif à l'internet des objets, 16 septembre 2014.

* ⁴⁰ Proposition de résolution n°455 (2017-2018) du 20 avril 2018 présentée par M. René Danesi et Mme Laurence Harribey pour une cybersécurité robuste en Europe.

* ⁴¹ Considérant 3 de la proposition de règlement.

* ⁴² http://www.senat.fr/amendements/2015-2016/535/Amdt_473.html.

* ⁴³ Résolution européenne citée en introduction, pour une stratégie européenne du numérique globale, offensive et ambitieuse, 30 juin 2015.

* ⁴⁴ Rapport d'information fait au nom de la commission des affaires économiques par Mme Elisabeth Lamure, Où va la normalisation ? En quête d'une stratégie de compétitivité respectueuse de l'intérêt général, juillet 2017.

* ⁴⁵ Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne.

* ⁴⁶ Inspection générale des finances et Conseil général de l'économie, de l'industrie, de l'énergie et des technologies, Accord plurilatéral sur le commerce des services et partenariat transatlantique pour le commerce et l'investissement : enjeux numériques des négociations, avril 2016.

* ⁴⁷ Cloud dont l'utilisation n'est pas réservée à un acteur unique.

* ⁴⁸ Dans une interview publiée dans le journal Le Figaro le 7 avril dernier, le président-directeur général d'Atos, Thierry Breton, déclare : «  la réglementation européenne sur la protection des données personnelles va dans le bon sens, mais il faut aller plus loin et exiger que les données européennes soient stockées, processées et traitées en Europe ». Il s'agirait de « rétablir une territorialité des données en entrant dans une logique de partenariat avec les Gafa qui le voudront selon des règles qui sont les nôtres ».

* ⁴⁹ France Stratégie, Note d'analyse, Demain, l'internet des objets, 2015

* ⁵⁰ Selon un document publié par le Gouvernement en 2016, 60 projets auraient reçu un soutien public depuis 2012 en matière d'objets connectés ( https://www.economie.gouv.fr/files/files/PDF/dp-indus-futur-2016.pdf ).

* ⁵¹ Voir, par exemple, les conclusions du Conseil « compétitivité » qui s'est tenu le 12 mars dernier.