Le devoir de souveraineté numérique

C. PRÉSERVER NOTRE ORDRE JURIDIQUE EN RENFORÇANT NOTRE MAÎTRISE DES DONNÉES ET NOTRE CAPACITÉ À RÉGULER LES PLATEFORMES

1. La souveraineté de l'État remise en cause par la « révolution des données »

a) Les données, matière première du cyberespace

Les données, et tout particulièrement les données personnelles, sont la matière première de la société de l'information . À ce titre, elles représentent un enjeu économique stratégique et forment désormais, non pas le « pétrole » ^{126 ( * )} mais bien un « terreau » - selon l'image reprise devant notre commission par Mme Marie-Laure Denis, présidente de la CNIL - pour l'activité de tous les grands acteurs de l'économie numérique ^{127 ( * )} .

C'est en effet la nature particulière des données qui fait toute la singularité de la révolution numériqu e : contrairement aux précédentes grandes transformations industrielles fondées sur la découverte et l'exploitation de ressources physiques nouvelles mais limitées, les gisements de données ne se tarissent pas avec le temps ou l'usage qui en est fait .

D'une part, la numérisation croissante et la dématérialisation irréversible de pans entiers des secteurs des biens et services contribue à alimenter constamment une production exponentielle de données : cette dernière est le fruit de l'activité des individus eux-mêmes (les citoyens par leur activité sur les réseaux sociaux, les consommateurs par leurs achats en ligne), mais aussi des entreprises et des institutions (à travers leurs activités de production, de gestion ou d'administration), et elle découle même passivement des capteurs analysant de façon routinière et automatisée notre environnement quotidien (objets connectés, « véhicules intelligents »...)

D'autre part ces données constituent un bien « non rival » , au sens économique du terme : le fait qu'elles soient utilisées - analysées, recoupées - une fois par un acteur n'empêche normalement pas une utilisation simultanée, voire ultérieure, par un autre acteur.

La valorisation de ces données résulte essentiellement de leur traitement et de leur mise en relation : agrégation, rapprochements de jeux de données de sources diverses, analyses, extrapolations. Prise isolément, une donnée ne génère en effet généralement que très peu de valeur.

Aux capacités de recueil et d'accumulation de données désormais sans précédent correspond ainsi le développement de nouvelles technologies de traitement par les grands acteurs du numérique : agrégation à très grande échelle et traitements massifs ( big data ), algorithmes comprenant des mécanismes d'apprentissage automatique ( machine learning ), recours à l'intelligence artificielle... Or l 'exploitation massive de données est permise par la diminution du coût de traitement déjà décrite dans le rapport de la mission commune d'information sur l'Europe au secours de l'Internet ^{128 ( * )} . Comme l'a souligné M. Thierry Breton, président-directeur général d'ATOS, lors de son audition, le coût du stockage des données et de la puissance de calcul continuent à diminuer drastiquement grâce aux progrès technologiques ^{129 ( * )} .

La valeur générée par la « révolution des données » tient aux nouvelles possibilités offertes aux acteurs économiques :

- création de nouveaux services numériques , mais également, même pour les secteurs traditionnels de l'économie, gains d'efficacité dans la production de biens ou la prestation de services (par l'amélioration de l'allocation des ressources et la réduction des coûts de transaction) ^{130 ( * )} ;

- possibilité de personnalisation extrême des services afin d'en accroître la qualité ou la rentabilité (adaptation et ciblage de l'offre, profilage publicitaire), analyse prédictive visant à étayer la prise de décision ou l'investissement...

- accentuation des positions dominantes et constitution de barrières à l'entrée de nouveaux acteurs ; renforcement des effets de captivité du consommateur (en réduisant la mobilité des utilisateurs d'un service qui possède toutes leurs données).

b) Les défis de la « révolution des données » pour notre ordre juridique

Les modèles économiques des grands acteurs dominants (gratuité d'accès, collecte massive, utilisation et valorisation des données personnelles, vente de publicités ciblées) passent aujourd'hui par la mise en oeuvre de stratégies d'évitement leur permettant d'échapper aux contraintes traditionnelles de notre ordre juridique .

Leur développement, fondé sur la recherche du plus grand nombre d'utilisateurs (pour ses effets de réseau), a en effet tout intérêt à se faire indépendamment des frontières nationales : l'interconnexion des réseaux de communication et les technologies le permettent désormais naturellement, et la gratuité apparente de ces nombreux services renforce leur attractivité , comme le relève justement M. Bernard Benhamou : « [la gratuité] a été conçue comme la meilleure manière de créer le plus rapidement possible un auditoire qui soit le plus large et le plus captif possible ».

Votre rapporteur note que l'absence de paiement entraîne des addictions extraordinairement fortes à certains services, usages contre lesquels ni les cadres juridiques ni les volontés politiques nationales ou européennes ne pèsent plus grand-chose . Cette véritable torsion du capitalisme classique vers une « économie de l'attention » ^{136 ( * )} a d'ailleurs fait l'objet de travaux spécifiques du Conseil national du numérique comme Mme Annie Blandin, universitaire qui en est membre, en a alerté votre commission lors de son audition.

En outre, ces acteurs établis pour l'essentiel à l'étranger peuvent résister par des complexités administratives aux tentatives de légiférer des Etats dans lesquels ils opèrent. Ces « entreprises souveraines » créent ainsi des normes propres (leurs conditions générales d'utilisation - CGU ; certaines incorporant une définition autonome des « standards de la communauté » véritable charte encadrant la liberté d'expression sur les réseaux sociaux), au point, comme le relève Me Olivier Itéanu ^{137 ( * )} , qu'invoquer une violation des CGU sur certaines plateformes est souvent plus efficace qu'attendre le traitement d'une plainte formelle par les autorités nationales compétentes.

Certains acteurs du numérique sont même susceptibles d'être en France les vecteurs - consentant ou non - d'ordres juridiques étrangers : les géants américains sont tenus à l'application des régimes de sanctions extraterritoriales ou des règles d'accès aux preuves électroniques (comme le Cloud Act ) et de grands acteurs industriels du numérique chinois restent marqués par une certaine porosité avec les intérêts militaires de leur pays.

Enfin, pour nos concitoyens, c'est un véritable défi démocratique dans l'expression de la volonté générale que pose parfois le déploiement généralisé des outils numériques. Ils peuvent en effet venir troubler le jeu politique en facilitant de nouveaux modes d'actions pour des tentatives d'ingérence ou de manipulation spécifiques et ciblées : le vol de données d'un « QG de campagne » et leur dissémination publique lors de l'élection présidentielle de 2017 a pu en témoigner en France. À l'échelle mondiale, l'affaire dite « Cambridge Analytica » montre le danger de méthodes peu scrupuleuses de recueil massif, d'analyse et de recoupement des données aux fins d'influence sur les choix politiques. Lors de son audition devant notre commission, M. Christophe Castaner, ministre de l'intérieur, a souligné que, sous réserve de l'achèvement des analyses et retours d'expérience, aucun dysfonctionnement n'avait été constaté ni aucune attaque significative identifiée lors des élections européennes. Notre vigilance, soutenue par l'expertise de l'Anssi (Agence nationale de la sécurité des systèmes d'informations) en la matière, reste pour votre rapporteur une impérieuse nécessité.

Quel Gouvernement, fût-il libéral, pourrait s'accommoder d'un système qui risque à terme de rendre sans effet les prescriptions de son ordre juridique ?

2. Développer l'identité numérique garantie par l'État

Exemple frappant de cette remise en cause de l'ordre juridique, l'authentification des personnes , privilège de l'État, est de plus en plus contestée par des entreprises privées , au premier rang desquelles Facebook et Google. Leurs solutions d'identification, ensuite réutilisables sur d'autres sites internet privés, généralement pour des utilisations non sensibles, sont devenues le premier moyen de prouver son identité sur internet . Les acteurs concernés nient toute volonté de supplanter les États et affirment simplement fournir à leurs utilisateurs les services dont ils ont besoin.

Ces solutions présentent à terme le risque de devenir des identités numériques d'usage ^{138 ( * )} , d'autant qu'il a été souligné devant votre commission qu' aucun outil proposé par l'État ne saura s'imposer s'il n'est pas au moins aussi facile d'utilisation, aussi efficace et aussi pratique que ceux proposés par les entreprises du numérique . Henri Verdier, ambassadeur pour le numérique, estime pourtant « qu'à l'avenir, l'un des grands rôles des États pourrait être de garantir les `communs' », dont fait partie l'identité numérique ^{139 ( * )} .

Cependant, la France a jusqu'ici moins proposé de solutions qu'elle n'a tenté d'encadrer les initiatives privées . La loi pour une République numérique ^{140 ( * )} dispose qu'une identité numérique fournie par le secteur privé est fiable si et seulement si elle répond au cahier des charges établi par l'Anssi. Au niveau européen, le règlement eIDAS ^{141 ( * )} instaure un cadre juridique pour l'utilisation des services de confiance en distinguant les niveaux de sécurité requis en fonction de ces services et en imposant l'interopérabilité des méthodes nationales d'identifications numériques ^{142 ( * )} . Des pays tiers ont demandé à en faire partie et à partager les normes européennes. Dans la compétition qui les oppose aux acteurs privés, cette capacité à dire le droit demeure un atout pour les États, concurrencés dans l'exercice de cette prérogative souveraine.

Les instruments d'identification aujourd'hui proposés par l'État ne constituent pas à proprement dit une « identité numérique » . FranceConnect, conçue par la direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), est un agrégateur d'identités : l'usager utilise l'identité numérique d'un fournisseur (ex. impots.gouv.fr) pour s'authentifier auprès de fournisseurs de services intégrant le bouton FranceConnect.

Complémentaire, le projet AliceM ^{143 ( * )} (Authentification en ligne certifiée sur mobile), développé par le ministère de l'intérieur et actuellement en phase de test, est encore loin, dans sa première version, de répondre aux ambitions d'une identité numérique souveraine . Son objectif est de permettre aux usagers de « prouver » leur identité en ligne et de pouvoir accéder, grâce à leurs téléphones, à certains services publics habituellement accessibles par FranceConnect. L'authentification s'appuie sur une reconnaissance faciale statique (photographie du passeport) et dynamique (vidéo). L'objectif du ministère de l'intérieur est de proposer un parcours unique d'authentification afin d'offrir, à terme, une carte d'identité numérique ^{144 ( * )} . Toutefois, aucune date de lancement n'a encore été précisée, d'autant plus que l'application suscite certaines réticences quant à sa gestion des données personnelles ^{145 ( * )} .

Dans ce domaine, votre rapporter relève que la France accuse un retard certain vis-à-vis de ses partenaires européens , 23 d'entre eux ayant mis en place une identité numérique. Devant votre commission, le ministre de l'intérieur, M. Castaner, a lui-même reconnu que « nous n'étions pas en avance sur ce sujet » et que « d'autres pays pourraient nous donner des leçons dans ce domaine ». L'exemple le plus fréquemment cité est celui de l'Estonie, où les cartes d'identité numériques peuvent également être utilisées pour signer des contrats, ouvrir un compte en banque, voter, utiliser les transports en commun, envoyer des mails sécurisés... Or, FranceConnect n'est pas obligatoire et n'offre qu'un niveau de sécurité standard. Il ne pourrait donc par exemple pas servir d'élément de connexion au vote électronique, qui nécessite une authentification forte des personnes. On est donc encore loin, comme M. Nadi Bou Hanna, directeur de la Dinsic, le souhaite, de faire de l'utilisation de FranceConnect « un réflexe pour les Français » ^{146 ( * )} .

Dans ce contexte, 2021/2022 ^{147 ( * )} , c'est-à-dire demain, doit constituer l'horizon de l'action publique dans ce domaine . En effet, toutes les cartes d'identité seront alors renouvelées : un premier pas serait de proposer une carte d'identité électronique . En effet, si l'identité numérique s'incarne principalement par un identifiant unique et par un mot de passe sécurisé, le règlement eIDAS impose de recourir à un objet tiers, comme une carte d'identité électronique, pour certains services nécessitant une vérification supplémentaire. En Estonie, elle est obligatoire depuis 2002. La Belgique l'a quant à elle imposée en 2003 et a développé, depuis 2016, une application facilitant l'authentification sur smartphone (« itsme » ). Votre rapporteur ne peut que regretter le retard de la France sur un sujet sur la table depuis les années 1970, avec pas moins de cinq projets infructueux, à l'image d'IDénum, lancée en 2010 avec La Poste.

Au regard de la sensibilité et de la masse des données traitées , il est crucial que l'État se saisisse enfin de ce sujet . Les entreprises peuvent utiliser les données transmises par les utilisateurs pour les revendre aux services de publicité ciblée, révéler des habitudes de consommation, tracer les individus... Une solution d'identification portée par l'État pourrait non seulement lui permettre de réaffirmer sa souveraineté sur ce monopole régalien historique , mais elle redonnerait aussi aux citoyens la maîtrise de leurs propres données . L'utilisation de ces données à des fins de politique publique ne devrait être possible qu'à la seule condition que les usagers y aient librement consenti.

3. Renforcer les moyens des régulateurs à la hauteur du défi numérique plutôt que créer un unique régulateur du numérique

a) Éviter de bouleverser une architecture administrative qui fonctionne

La piste consistant à créer un régulateur unique du numérique est régulièrement évoquée dans le débat public . Il s'agirait ainsi d'adapter une supervision exercée par la puissance publique de façon jusqu'alors sectorielle (réseaux télécoms, contenus audiovisuels, données personnelles, contrefaçon en ligne) aux conséquences de la convergence entre services et réseaux provoquée par la révolution numérique ^{148 ( * )} .

Récemment encore, le ministre de l'économie et des finances, le ministre de la culture et le secrétaire d'État chargé du numérique ont confié à MM. Jean-Yves Ollier et Godefroy Beauvallet une mission sur les rapprochements éventuels entre les régulateurs du numérique. Le sujet pourrait ainsi être débattu au Parlement à l'occasion de l'examen de la prochaine loi audiovisuelle, dont le Gouvernement a annoncé la présentation à l'automne. Selon le Premier ministre, en effet : « pour tenir compte de l'évolution de l'environnement des médias et ce qui ressemble à une "extension du domaine de la lutte", la loi dessinera également le futur paysage de la régulation . Il faut sans doute, à tout le moins, rapprocher le CSA et l'Hadopi, et approfondir les coopérations entre le CSA et l'Arcep ». ^{149 ( * )}

Le Sénat s'est lui déjà emparé de ce débat et mène depuis plusieurs années ^{150 ( * )} des réflexions approfondies sur le périmètre optimal de la régulation du numérique et sur le rôle des autorités administratives indépendantes partageant une compétence en la matière. A cet égard, votre rapporteur fait pleinement sienne la position prudente dégagée au sein des commissions permanentes de notre assemblée et qui voit dans une fusion Arcep/CSA, sur le modèle britannique de l'Ofcom, « une fausse bonne solution ».

Interrogés sur ce sujet par votre commission, les présidents respectifs du CSA et de l'Arcep ont d'ailleurs émis des réserves.

Lors de son audition, M. Roch-Olivier Maistre, président du CSA, a notamment rappelé, reprenant l'exemple de l'Ofcom, que la fusion qui l'avait vu naître s'était embourbée dans un chantier de conduite du changement administratif plutôt que de se focaliser sur les sujets de fond à traiter, faisant perdre près de quatre années à la régulation proprement dite. Votre rapporteur note en revanche que les deux autorités, Arcep et CSA, se sont dites ouvertes à un rapprochement plus approfondi de leurs compétences sur certains sujets connexes.

Votre rapporteur rejoint cette analyse et estime préférable de ne pas bouleverser une architecture administrative qui fonctionne .

En revanche, il soutient l'idée d'un renforcement des compétences spécialisées dans le numérique, en particulier des capacités d'audit et de contrôle des algorithmes. Ce renforcement pourrait s'accompagner de leur mutualisation .

b) Renforcer les moyens humains des régulateurs et approfondir leur mutualisation

Les autorités de régulation apparaissent plus que jamais confrontées à un déficit de moyens et à une asymétrie d'information face aux grands acteurs du numérique , au risque de les paralyser. Ce diagnostic est partagé par toutes les autorités entendues par votre commission.

Ainsi, comme sa présidente en a fait la démonstration lors de son audition devant notre commission, la CNIL est notoirement sous-dimensionnée . Au 31 décembre 2019, les effectifs de la CNIL étaient de 215 postes et, malgré les 15 créations de postes consenties en 2019 pour faire face au nouveau contexte de mise en place du RGPD, votre rapporteur regrette que les effectifs de la CNIL demeurent ainsi bien en-deçà de ceux des régulateurs européens des autres Etats membres comparables ^{151 ( * )} .

Ce manque de moyens met gravement sous tension l'activité d'un régulateur pourtant crucial pour la préservation de notre souveraineté numérique :

- sur le traitement des plaintes , dont certaines concernent l'activité de géants du numérique capables de mobiliser de larges équipes de juristes chevronnés, la CNIL indique ainsi que, malgré une série de mesures tendant à soulager la charge de travail interne (partenariats sur le spam , montée en puissance des délégués à la protection des données, incitation au développement de mécanismes de médiation), le ratio actuel de plaintes par agent traitant (supérieur à 600 !) n'est pas soutenable compte tenu de la complexité juridique et technique croissante des dossiers ;

- lors de son audition, Mme Marie-Laure Denis a également donné comme exemple les possibilités trop limitées de traitement par la CNIL des notifications des violations de données, qui est pourtant un enjeu majeur de cybersécurité (« nous recevons sept notifications de failles ou de violations de données par jour - sans pour autant disposer de moyens supplémentaires pour prendre en charge cette nouvelle compétence ») ;

- alors que la France avait été parmi les pays pionniers de la protection des données il y a 40 ans, avec sa loi « Informatique et libertés » dès 1978, le faible nombre de personnes de la CNIL pouvant être mobilisées pour participer aux instances de coopération et sa taille modeste comparée à celle de ses homologues européens remet en cause la capacité d'influence de la France et de sa conception en matière de protection des données à caractère personnel en Europe, alors que d'autres modèles sont mis en avant ( compliance à l'anglo-saxonne, recentrage sur une défense des seuls droits du consommateur...)

S'ajoutant à ces insuffisances quantitatives, en termes d'effectifs, le défi à relever est également qualitatif. La présidente de l' Autorité de la concurrence relève ainsi devant votre commission que « les régulateurs peinent à recruter des experts dans ces secteurs, comme des data scientists ». Elle estime, elle aussi, que « l'État doit renforcer ses autorités de régulation, en leur octroyant plus de moyens humains et techniques ».

À cet égard, comme le note le récent rapport d'inspection sur la politique de la concurrence à l'échelle européenne ^{152 ( * )} à propos des services de la Commission européenne en charge de l'application du droit de la concurrence (direction générale de la concurrence, ci-après DG concurrence) : « la présence des algorithmes rend les comportements opaques et complexes à analyser et (...) la taille des acteurs et l'explosion des échanges digitaux nécessitent de collecter et de traiter un nombre colossal de données : 5,2 téraoctets de données regroupant 1,7 milliard de recherches dans le cadre du dossier Google Shopping par exemple ».

Dans ce contexte, il est critique et indispensable à la crédibilité de leur action que les autorités de régulation disposent de compétences de pointe pour analyser les comportements des géants du numérique . Le prochain budget annuel de l'Union Européenne prévoit une ligne de crédits spécifique visant à recruter au sein de la DG concurrence des data scientists et à doter la direction de moyens en adéquation avec les enjeux numériques. Le Gouvernement serait bien avisé de faire de même dans le prochain projet de loi de finances.

Un tel recrutement serait sans doute favorisé par la mutualisation de ces experts entre différentes autorités de régulation , qui serait par ailleurs justifiée par la similitude des problématiques d'ordre technique à résoudre, comme la compréhension d'un algorithme ou d'une grande base de données.

4. Mieux responsabiliser certaines plateformes en affinant le régime de responsabilité aménagée des intermédiaires techniques ?

Plusieurs réflexions sont en cours sur l'opportunité et les modalités d' actualisation de la directive européenne de 2000 dite « commerce électronique » ou « e-commerce » ^{153 ( * )} face aux imperfections du régime de responsabilité atténuée qu'elle octroie à certains intermédiaires techniques.

Le Sénat a récemment pris position sur ce sujet, en adoptant à l'initiative de notre collègue Catherine Morin-Desailly une résolution européenne ^{157 ( * )} en faveur d'une révision de la directive « e-commerce ». Cette dernière appelle à faire émerger un « troisième statut », à côté de celui des hébergeurs et des éditeurs. Il doit être défini au niveau européen, et ménager la liberté d'expression et la compétitivité des acteurs du secteur.

Votre rapporteur reconnaît également le caractère désormais daté de la directive de 2000 : l'évolution technologique a permis la création d'acteurs numériques d'un genre nouveau, rendant obsolète la dualité hébergeur/éditeur (plateformes interactives, réseaux sociaux, tri et mise en avant algorithmique de contenus) qui occupent désormais une place sociale et économique bien plus importante qu'il y a 20 ans. Ces nouveaux acteurs numériques sont aujourd'hui au centre du processus de circulation de l'information pour les citoyens, dotés d'un modèle économique propre fondé sur la gratuité, l'exploitation des données, et la diffusion toujours plus rapide de contenus sans obligations de contrôle préalable.

Interrogé par notre commission, M. Benoît Thieulin, ancien président du Conseil national du numérique, a fait part de l'évolution de sa position sur ce sujet, appelant désormais lui aussi à revoir la directive sur le commerce électronique (« Il faut réfléchir à un nouveau statut pour les plateformes, en leur imposant un cahier des charges contraignant : aujourd'hui, les règles de droit classiques mises à part, elles assument trop peu de responsabilités . »).

À l'échelle de l'Union européenne, il est particulièrement significatif que, dans son programme de candidature à la présidence de la Commission européenne ^{158 ( * )} , Mme Ursula Von der Leyen ait mentionné l'adoption d'un nouveau Digital services Act , qui viendrait modifier la directive dite « e-commerce ».

Le secrétaire d'État chargé du numérique, M. Cédric O, a cependant fait preuve d'un certain pessimisme sur le sujet. Selon lui, « la question du tiers-statut est très intéressante, mais elle est inacceptable pour les pays nordiques. Doit-on mener le combat pendant quelques années ou se concentrer sur certains secteurs - la culture, les atteintes à la vie privée... - et réussir à s'affranchir de la dichotomie « hébergeur-éditeur » pour gagner des batailles à plus court terme ? » ^{159 ( * )} . Si la prudence est donc de mise sur la faisabilité d'une telle réforme européenne, votre rapporteur estime que le Gouvernement ne devrait pas s'interdire de poursuivre la réflexion sur la création d'un statut tiers pour certains intermédiaires techniques, notamment ceux ayant atteint une taille ou un volume d'activité importants.

5. Localisation des données et extraterritorialité des lois : assumer un rapport de force international

a) L'obligation de localisation géographique : une solution imparfaite

Si promouvoir, voire dans certains cas imposer, une obligation de localisation des données sur un territoire précis (en France ou en Europe) est une idée qui peut paraître intéressante au premier abord, l'utilité réelle en termes de souveraineté numérique d'une telle démarche doit aujourd'hui être largement nuancée .

Votre rapporteur note certes, comme plusieurs personnes auditionnées, que ces initiatives pourraient présenter un intérêt limité dans certains cas :

- avant tout pour protéger certaines données particulièrement sensibles (traitements publics souverains, données privées financières ou commerciales stratégiques) ; à ce titre, lors de son audition, Mme Claire Landais, secrétaire générale du SGDSN, ne défend le recours à un cloud « interne » géographiquement localisé que pour les données les plus sensibles, dans une logique de cercles concentriques aux exigences de sûreté décroissante. Votre rapporteur considère également que l'on ne saurait imposer un mode de stockage particulier aux entreprises sans leur offrir des solutions industrielles performantes et accessibles répondant à leurs besoins. De telles solutions pourraient ainsi être imposées dans le cadre plus général des régimes des opérateurs d'importance vitale (OIV) ou des opérateurs de services essentiels (OSE) ;

- également pour garantir une accessibilité renforcée , soit du point de vue des entreprises dans une logique de gestion des risques (lorsque les données ne sont plus localisées en France ou en Europe, il est plus difficile en pratique de les contrôler et d'avoir une assurance de l'usage qui a été fait par des prestataires ou des partenaires localisés à l'étranger), soit du point de vue de la puissance publique (pour faciliter l'accès à ces données par la justice ou les régulateurs nationaux dans le cadre de l'exercice de leurs pouvoirs de contrôle sectoriel, comme l'a souligné la présidente de l'Autorité de la concurrence) ;

- et enfin, de façon générale, en stimulant la demande, pour soutenir l'écosystème industriel des acteurs du Cloud et le développement des capacités de traitement des données.

Le Sénat a ainsi pu, par le passé, soutenir des initiatives largement transpartisanes en ce sens : en 2016, lors des débats relatifs à la loi pour une République numérique, notre assemblée avait adopté, sans hélas être suivie par l'Assemblée nationale, un amendement ^{160 ( * )} de notre collègue Eliane Assassi et des membres du groupe communiste républicain et citoyen, avec un avis favorable de la commission des lois, visant à faire figurer dans la loi « Informatique et libertés » l'obligation de stockage des données personnelles des citoyens français sur le territoire européen.

De telles initiatives doivent néanmoins prendre en compte l'évolution récente du droit européen et des systèmes juridiques étrangers, et il apparaît qu'une obligation de localisation des données ne répondrait pas au défi posé par certaines législations à vocation extraterritoriales.

D'une part, s'agissant des données non personnelles, le droit européen limite drastiquement la possibilité d'imposer des exigences de localisation. Elles sont désormais interdites « sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité » ^{161 ( * )} .

D'autre part, et en tout état de cause, les clauses de localisation des données n'offrent pas de garanties face aux nouvelles législations ou pratiques étrangères à portée extraterritoriale (sanctions internationales, « Cloud Act » adopté aux Etats-Unis en mars 2018, etc.) ni contre la porosité entre certains acteurs industriels et leur Gouvernement (certains équipementiers chinois, par exemple). Ainsi, quand bien même des données seraient physiquement localisées sur le territoire français ou européen, les entités qui contrôlent les centres de données ( datacenters ) continueront, en raison de leur nationalité, à être également soumises à des régimes juridiques les obligeant à coopérer avec des puissances étrangères.

b) Défendre nos données stratégiques contre l'extraterritorialité de lois étrangères : un rapport de force qui reste à engager

Pour préserver les données stratégiques de nos entreprises, et devant les limites du recours à la localisation géographique de celles-ci, votre rapporteur partage l' approche réaliste et volontariste du SGDSN. Devant votre commission, sa secrétaire générale, Claire Landais a estimé qu'il ne fallait pas se dérober au rapport de force juridique qui s'engageait actuellement avec certains de nos partenaires tentés par une application extraterritoriale de leur droit ; bien au contraire, dans la perspective de conflits de normes, et pour rester crédibles en vue des négociations internationales appelées à les résoudre, il reste essentiel de pouvoir pour l'instant opposer fermement nos propres textes - européens, comme le RGPD ou nationaux, comme une « loi de blocage », éventuellement rénovée et renforcée.

Ces critiques valent également à l'encontre des géants chinois du numérique, actifs en France, comme l'entreprise Huawei, régulièrement soupçonnée d'entretenir des liens étroits avec le Gouvernement chinois.

Lors des auditions de votre commission, plusieurs solutions juridiques ou techniques ont été esquissées pour préserver notre souveraineté malgré ces dispositions à portée extraterritoriale. Doivent être envisagées :

- la séparation juridique de l'activité dans différentes entités filiales étanches en fonction de l'implantation géographique des services (c'est ainsi la solution retenue par l'entreprise française OVH pour lui permettre d'étendre ses activités aux Etats-Unis ^{180 ( * )} ) ;

- la stratégie de mobilisation contentieuse au cas par cas des entreprises pour contester en justice des demandes de l'administration qui ne passeraient pas par le canal de la coopération judiciaire internationale (c'est l'engagement pris notamment par les représentants de Microsoft France et Europe lors de leur audition ^{181 ( * )} ) ;

- et, surtout, le recours extensif aux technologies de chiffrement robuste des données dont seul le client aurait la clé et non l'intermédiaire technique. Ceci rend impossible le décryptage par les autorités locales, même en cas de coopération forcée de l'entreprise.

Néanmoins, ces solutions n'ont qu'une portée limitée : elles ont un coût et sont tributaires des moyens juridiques et techniques que les entreprises sont prêtes à déployer ou que leurs clients peuvent s'offrir.

Votre rapporteur trouve dès lors plus intéressante la recherche de solutions pérennes dont la responsabilité incomberait à la puissance publique. À ce titre, doivent particulièrement être saluées les analyses et préconisations que de notre collègue député Raphael Gauvain ^{182 ( * )} a présentées au Premier ministre à l'issue de la mission qu'il lui avait confiée :

- le droit étant devenu une arme au service de la guerre économique des États-Unis contre le reste du monde, nos entreprises ne doivent pas être laissées démunies face à l'application d'une panoplie de lois à portée extraterritoriale (législation anti-corruption, sanctions économiques contre des États, lois sur le renseignement, lois permettant la collecte de données dans le cadre de procédures administratives ou judiciaires, comme le Cloud Act de mars 2018) ;

- la France doit y répliquer par une stratégie volontariste, qui implique notamment une modernisation et un durcissement de la loi de 1968, dite « loi de blocage » ^{183 ( * )} (création d'un mécanisme obligatoire d'alerte en amont ; mise en place d'un accompagnement des entreprises ciblées par de telles mesures grâce à une administration dédiée ; augmentation des sanctions prévues en cas de violation de la loi) ;

- une extension des principes protecteurs du RGPD aux données non personnelles des personnes morales permettrait de protéger les entreprises françaises en sanctionnant la transmission indûe par les hébergeurs de leurs données stratégiques aux autorités judiciaires étrangères en dehors des canaux de l'entraide administrative ou judiciaire.

6. Au-delà du RGPD : passer d'un droit à la portabilité à une forme d'interopérabilité ?

a) Une première année d'application du RGPD, outil ambitieux au service des valeurs et de la souveraineté numérique européennes

Comme l'a exposé à notre commission Mme Marie-Laure Denis, présidente de la CNIL, le règlement général sur la protection des données (RGPD) a instauré un cadre juridique ambitieux et puissant et une régulation à la mesure des enjeux de souveraineté numérique.

Son champ d'application territorial et matériel est vaste : le règlement doit être appliqué dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne (« critère de résidence »). Mais il a aussi vocation à s'appliquer hors de l'Union , dès lors qu'un résident européen est visé par un traitement de données (par une offre de biens et de services, ou le suivi du comportement), y compris donc par internet (« critère du ciblage »). Alors que les acteurs du numérique s'intéressent au gisement de profit majeur que représente le marché européen et ses plus de 500 millions de consommateurs, ses règles protectrices trouvent ainsi à s'appliquer même à l'égard des entreprises qui ne disposent pas d'un établissement en Europe ^{185 ( * )} .

Les sanctions sont graduées et considérablement renforcées : outre les mesures correctives classiques ^{186 ( * )} , les autorités nationales ont également le pouvoir de prononcer des amendes atteignant, selon la catégorie de l'infraction, 10 ou 20 millions d'euros , ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Le RGPD prévoit ainsi des sanctions administratives désormais dissuasives, en cas de méconnaissance de ses dispositions, à la hauteur des moyens mobilisés par les géants du numérique et de la gravité des risques que font encourir les traitements massifs de données.

Enfin, parmi les innovations juridiques introduites par le RGPD au bénéfice des particuliers dont les données personnelles font l'objet de traitement, le règlement consacre un droit à la portabilité des données. Son article 20 confère aux personnes concernées le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.

La consécration du droit à la portabilité constitue effectivement un instrument important de souveraineté numérique : il facilite la libre circulation des données à caractère personnel dans l'Union et stimule la concurrence entre les responsables du traitement en limitant la constitution d'écosystèmes numériques fermés et de barrières à l'entrée. Il facilite ainsi le passage d'un prestataire de services à un autre et la mise au point de nouveaux services. Enfin, il encourage l'émergence d'acteurs concurrençant les géants établis du numérique. Comme le résume la présidente de la CNIL : la portabilité « doit permettre aux petits acteurs économiques de défier plus facilement les grands, en attirant les clients qui peuvent désormais leur apporter leurs données, diminuant ainsi le pouvoir de captation des grandes plateformes ».

Dans sa dimension individuelle, la souveraineté numérique peut aussi être présentée comme une capacité d' autodétermination informationnelle ^{187 ( * )} , c'est-à-dire la possibilité pour chaque individu de « rester maître de son destin sur les réseaux » comme l'a exposé à votre commission Mme Pauline Türk.

Le RGPD entend, à cet égard, contribuer à une prise de conscience chez les citoyens-internautes de l'utilisation qui est faite de leurs données : il renforce le droit à l'information et oblige les responsables de traitements de données personnelles à une meilleure intelligibilité des explications fournies sur les finalités poursuivies et l'utilisation qu'ils en font.

Mais dans un univers numérique marqué par une forte asymétrie entre, d'un côté, ceux qui contrôlent données et algorithmes et, de l'autre, ceux qui utilisent les plateformes , imposer le respect de ces droits et les rendre effectifs pour les particuliers reste encore concrètement à accomplir.

Plusieurs représentants de ces grandes plateformes ont d'ailleurs reconnu que les outils développés pour rendre effective et systématique l'information présentée à leurs utilisateurs étaient récents et perfectibles. Interrogé sur ce point par le Président de notre commission, notre collègue Franck Montaugé, le représentant de Google a ainsi mis en avant le « tableau de bord » permettant désormais d'accéder à l'historique d'utilisation des données personnelles fournies, mais il a également reconnu que les internautes s'étaient encore peu saisis du droit à la portabilité et qu'une marge de progression était encore possible, notamment pour améliorer transparence des recommandations faites aux internautes sur la plateforme Youtube .

La collecte de données par les acteurs du numérique repose d'ailleurs principalement sur le recours à des traceurs lors de la navigation des internautes sur le web, notamment les cookies, qui permettent de collecter des données extrêmement détaillées. Celles-ci sont fréquemment utilisées pour créer des profils détaillés à des fins de publicité ciblée, dans des conditions de transparence et de maitrise insuffisantes par l'utilisateur.

Or, ces opérations sont majoritairement réalisées par des acteurs situés en dehors de l'Union européenne, ce qui soulève des enjeux de souveraineté du fait de la nature des données collectées et des usages qui en sont faits. Une étude récente ^{188 ( * )} a ainsi démontré que la régie publicitaire de Google collectait des données sur près de 45% des sites web du panel testé, tandis que le service d'analyse statistique du même acteur était présent sur près de 70% des sites du panel. De façon plus globale, cette même étude indique que, sur plus de 91% des sites du panel, la navigation des internautes est suivie par un acteur tiers.

Ainsi la souveraineté numérique ne peut être assurée que si ces dispositifs, particulièrement intrusifs et encadrés, notamment par la directive vie privée et communications électroniques, sont utilisés uniquement d'une manière permettant aux personnes concernées de garder la maîtrise sur leurs données.

b) Aller plus loin : instaurer une obligation d'interopérabilité ?

La nécessité d'aller plus loin que le droit à la portabilité des données personnelles entre plateformes a été soutenue par plusieurs intervenants devant notre commission, qui souhaitent poursuivre et généraliser le mouvement bénéfique entamé avec le RGPD. Ils appellent de leurs voeux une intervention du législateur qui garantirait une obligation d'interopérabilité à la charge des grandes plateformes du numérique ^{190 ( * )} .

On l'a vu, la portabilité permet à un utilisateur de quitter une plateforme avec une copie de ses données personnelles dans leur état au moment de la demande. Dans son principe, l'interopérabilité garantit, elle, de poursuivre ailleurs l'activité initialement menée sur une plateforme sans perdre les contacts ni les liens sociaux établis. Elle permettrait de communiquer d'une plateforme à une autre, sur le modèle des messageries électroniques : être abonné à un prestataire n'empêche pas de recevoir des courriels de personnes abonnées à d'autres prestataires. Concrètement, l'interopérabilité permet à quiconque de lire depuis un service A les contenus diffusés par ses contacts sur un service B, et d'y répondre comme s'il y était lui-même.

Votre rapporteur note avec intérêt que cette proposition n'émane pas seulement d'universitaires ou d'associations de défense des droits et libertés des internautes, mais qu'elle commence à être débattue au sein des instances européennes : Le rapport Competition policy for the digital era commandé par la commissaire européenne Mme Vestager et rendu public en avril 2019 y consacre de longs développements, distinguant interopérabilité des protocoles et interopérabilité des données. Il fait de l'interopérabilité un vecteur envisageable de promotion de la concurrence adapté, sous certaines conditions, aux spécificités d'une économie des plateformes dominée par des acteurs géants difficiles à contester en raison des forts coûts d'entrée.

En outre, selon les premières orientations officieuses des services de la Commission européenne pour une révision de la directive sur le commerce électronique, « lorsqu'il existe des services équivalents, l'encadrement normatif devrait tenir compte de l'application émergente des règles existantes en matière de portabilité des données et explorer d'autres options permettant de faciliter les transferts de données et d'améliorer l'interopérabilité des services lorsqu'une telle interopérabilité est logique, techniquement réalisable et peut accroître le choix des consommateurs sans entraver la capacité de croissance (en particulier des petites entreprises). De telles initiatives pourraient être accompagnées d'initiatives de normalisation appropriées et d'approches de corégulation » ^{191 ( * )} .

Dès lors, votre rapporteur comprend mal la frilosité du Gouvernement, telle qu'elle ressort des réponses écrites du secrétaire d'État au numérique, M. Cédric O, aux questions de votre rapporteur à ce sujet. Il l'encourage donc, comme il l'indique, à « instruire correctement l'ensemble des aspects quant aux objectifs précisément poursuivis [par l'interopérabilité], à sa faisabilité technique et opérationnelle, à son coût ou à son impact sur l'innovation », et à présenter rapidement au Parlement la position qu'il compte défendre au niveau européen.

---

* ¹²⁶ En ce sens, voir l'introduction du rapport du groupe de travail franco-britannique sur l'économie de la donnée (2016), consultable en ligne à l'adresse suivante : https://www.modernisation.gouv.fr/sites/default/files/fichiers-attaches/rapport_revolution-donnee_juillet2016_vf.pdf

* ¹²⁷ Le rapport sur la fiscalité du numérique précité rappelait que « les données, en particulier les données personnelles sont au coeur de tous les modèles d'affaires de l'économie numérique. Chacun diffère dans les modalités de collecte et de traitement de ces données. Mais tous en font levier pour améliorer leur offre, réaliser des gains de productivité, diversifier leurs activités ou renforcer leur position sur les différentes faces du modèle d'affaires ».

* ¹²⁸ Catherine Morin-Desailly, L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne, juillet 2014. Ce rapport rappelait notamment les deux lois ayant permis, selon Pierre Bellanger, cette explosion des données, à savoir la loi de Moore, d'une part (selon laquelle « à prix égal, la capacité de calcul d'un microprocesseur, matérialisée par la densité de transistors sur une puce, double tous les dix-huit mois - ce qui est également vrai pour la bande passante et pour la mémoire de stockage des données »), et le calcul de Grötschel, d'autre part (selon lequel « la vitesse de calcul des machines, grâce à la croissance de l'efficacité des algorithmes - séquence d'instructions d'un programme informatique - progresse quarante-trois fois plus vite que la loi de Moore »).

* ¹²⁹ « La progression de cet espace [informationnel] obéit également à la Loi de Moore, selon laquelle les capacités des microprocesseurs sont multipliées par deux tous les dix-huit mois, tandis que les coûts en sont divisés par deux ».

* ¹³⁰ Selon l'OCDE, les entreprises utilisant des innovations basées sur l'utilisation de données bénéficient d'une productivité 5 à 10% plus élevée que les autres (OCDE, Big data : bringing competition policy to the digital era, novembre 2016).

* ¹³¹ « Une donnée est une description élémentaire, typiquement numérique pour nous, d'une réalité. C'est par exemple une observation ou une mesure. À partir de données collectées, de l'information est obtenue en organisant ces données, en les structurant pour en dégager du sens. En comprenant le sens de l'information, nous aboutissons à des connaissances, c'est-à-dire à des faits considérés comme vrais dans l'univers d'un locuteur, et à des lois (des règles logiques) de cet univers » Serge Abiteboul, Sciences des données : de la logique du premier ordre à la Toile , leçon inaugurale prononcée le jeudi 8 mars 2012, Collège de France, Chaire d'Informatique et sciences numériques.

* ¹³² Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit « RGPD ».

* ¹³³ En revanche, les bases de données bénéficient d'une protection juridique particulière (en application du code de la propriété intellectuelle), qui permet d'interdire l'extraction ou la réutilisation sans autorisation du contenu de la base. L'article L. 112-3 du code de la propriété intellectuelle définit les bases de données comme « un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ».

* ¹³⁴ Que ce soit par la publicité ou en adoptant un modèle dit « freemium », qui consiste à fournir des services améliorés pour ceux qui sont prêts à payer.

* ¹³⁵ Le « travail du clic » a été étudié par le sociologue Antonio A. Casilli, qui rassemble sous cette notion à la fois le travail gratuit des utilisateurs mais aussi les microtravailleurs payés pour cliquer, depuis leurs domiciles ou dans des « fermes à clic », cf. Antonio A. Casilli, En attendant les robots. Enquête sur le travail du clic , 2019).

* ¹³⁶ Voir notamment Tim Wu, The attention merchants, The epic scramble to get inside our heads , 2016. Les conséquences néfastes ont récemment été décrites par Bruno Patino « La civilisation du poisson rouge, Petit traité sur le marché de l'attention » avril 2019.

* ¹³⁷ Audition du 9 juillet 2019.

* ¹³⁸ Un risque sur lequel a insisté Mme Claire Landais, Secrétaire générale de la défense et de la sécurité nationale, lors de son audition devant votre commission le 23 mai 2019.

* ¹³⁹ Audition de M. Henri Verdier, ambassadeur pour le numérique, devant votre commission le 4 juin 2019.

* ¹⁴⁰ Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, créant l'article L136 du code des postes et des communications électroniques.

* ¹⁴¹ Règlement n° 910/2014 du Parlement européen et du Conseil 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, dit règlement « eIDAS ».

* ¹⁴² Pour un panorama complet des services concernés et de la mise en oeuvre du règlement, voir le site de l'Anssi : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/

* ¹⁴³ Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ». L'association La Quadrature du Net a déposé un recours contre ce texte devant le Conseil d'État. Elle reproche à l'État de ne pas respecter le RGPD en ne laissant pas à l'utilisateur le choix de ne pas recourir au dispositif de reconnaissance faciale pour avoir accès aux services publics dématérialisés via AliceM. L'association appuie son action sur l'avis de la Commission nationale de l'informatique et des libertés, rendu le 18 octobre dernier, dans lequel elle estimait que « le gouvernement ne propos[ait] pas, en l'occurrence, d'alternative à la reconnaissance faciale pour créer une identité numérique (...). Au regard de ces principes, le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l'interdiction posée par l'article 9.1 du RGPD ». Elle proposait la mise en place de solutions alternatives.

* ¹⁴⁴ Audition de Christophe Castaner, ministre de l'intérieur, devant votre commission d'enquête le 2 septembre 2019.

* ¹⁴⁵ Tel que le dispose l'article 7 du décret cité ci-dessus, seront enregistrées de nombreuses données à caractère personnel (état civil, caractéristiques physiques, informations du titre d'identité, photographie et vidéo, historique des transactions associées au compte AliceM). L'article 11 précise que les données conservées sur l'équipement de l'usager seront chiffrées et inaccessibles après la suppression du compte. Les données liées à l'historique des transactions feront l'objet d'un traitement centralisé par l'Agence nationale des titres sécurisés (article 10) et seront supprimées au bout de six ans (article 12).

* ¹⁴⁶ Audition de M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État devant votre commission, le 25 juin 2019.

* ¹⁴⁷ D'après l'information transmise par M. Cédric O, secrétaire d'État chargé du numérique, lors de son audition devant votre commission, le 20 juin 2019, et par M. Christophe Castaner, ministre de l'intérieur, lors de son audition devant votre commission le 2 septembre 2019.

* ¹⁴⁸ Différents réseaux - filaire (câble, cuivre, fibre) ou hertzien - peuvent désormais transporter des services équivalents, et les protocoles informatiques peuvent faire communiquer entre eux les terminaux - télévision, PC, téléphones - comme les différentes applications.

* ¹⁴⁹ Discours de clôture du colloque « Médias, liberté et création » (19 juin 2019).

* ¹⁵⁰ « Dix ans après, la régulation à l'ère numérique » Rapport d'information n° 350 (2006-2007) de M. Bruno Retailleau, fait au nom de la commission des affaires économiques, déposé le 27 juin 2007. Ce rapport est consultable en ligne à l'adresse : https://www.senat.fr/rap/r06-350/r06-350_mono.html

En outre, en janvier 2014 a été organisée au Sénat une « table ronde sur la régulation dans le domaine des technologies de l'information », à l'initiative du groupe d'études « Média et nouvelles technologies » de la commission de la culture, de l'éducation et de la communication, sous la présidence de Mme Catherine Morin-Desailly, et avec la participation de M. Bruno Retailleau, vice-président.

* ¹⁵¹ À titre d'exemple, l'autorité hollandaise compte 138 agents en 2019 pour 17,12 millions d'habitants, l'autorité irlandaise 140 pour 4,84 millions d'habitants, l'autorité polonaise 250 pour 37,98 millions d'habitants, le Royaume-Uni 696 pour 66,19 millions d'habitants, l'Allemagne plus de 700 pour 82,85 millions d'habitants (l'Autorité fédérale, qui compte 253 agents, agissant en réseau avec les 16 autorités fédérées dans chacun des Länder).

* ¹⁵² Rapport d'inspection précité, intitulé « La politique de la concurrence et les intérêts stratégiques de l'UE » .

* ¹⁵³ Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur.

* ¹⁵⁴ À savoir les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne.

* ¹⁵⁵ À savoir les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services.

* ¹⁵⁶ Cette « plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements » est placée au sein de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (Oclctic) qui relève de la sous-direction de la lutte contre la cybercriminalité (SDLC) de la direction centrale de la police judiciaire (DCPJ). La plate-forme Pharos compte une vingtaine d'enquêteurs (policiers et gendarmes) et exploite le portail www.internet-signalement.gouv.fr qui permet depuis 2009 aux internautes et aux acteurs d'internet de signaler les contenus illicites du web. Elle mène également une veille proactive sur internet pour de détecter des contenus illicites ou contribuer à la résolution d'enquêtes.

* ¹⁵⁷ Résolution européenne n° 31 (2018-2019) sur la responsabilisation partielle des hébergeurs de contenus numériques, devenue résolution du Sénat le 30 novembre 2018 https://www.senat.fr/dossier-legislatif/ppr17-739.html

* ¹⁵⁸ Ursula von der Leyen, A Union that strives for more, My agenda for Europe, political guidelines for the next European commission 2019-2024 .

* ¹⁵⁹ Audition par la commission de la culture, de l'éducation et de la communication du Sénat, le 24 juillet 2019.

* ¹⁶⁰ https://www.senat.fr/enseance/2015-2016/535/Amdt_473.html

* ¹⁶¹ Article 4 du règlement européen du 14 novembre 2018 établissant un cadre applicable au libre flux des données non personnelles dans l'Union européenne. Ledit règlement prévoit par ailleurs que les États membres doivent veiller, d'ici au 30 mai 2021, à ce que toute exigence existante de localisation des données établie dans une disposition législative, réglementaire ou administrative de nature générale et qui n'est pas conforme à cette interdiction soit abrogée. L'objectif recherché est ici de favoriser la mobilité des données non personnelles dans le cadre d'un marché intérieur numérique plus intégré.

* ¹⁶² Inséré sous forme de « cavalier » au sein d'un vaste texte budgétaire (« Consolidated Appropriations Act, 2018 »), le « Cloud Act » modifie la loi sur les données des communications électroniques « Stored Communications Act » (SCA) de 1986, qui définit notamment les régimes d'accès et de protection des données de communication traitées ou stockées par certains intermédiaires techniques.

* ¹⁶³ Pour un exposé sommaire de ce contentieux, voir l'audition des représentants de Microsoft France devant la commission, et pour l'état du droit antérieur au CLOUD Act on pourra utilement se référer à l'étude du Pr. Théodore Christakis : « Données, extraterritorialité et solutions internationales aux problèmes transatlantiques d'accès aux preuves numériques » dans USA v. Microsoft : Quel Impact ? Statut des données, souveraineté numérique et preuves dans les nuages (2017).

* ¹⁶⁴ Et notamment l'Accord entre l'Union européenne et les États-Unis d'Amérique en matière d'entraide judiciaire conclu à Washington le 25 juin 2003.

* ¹⁶⁵ « A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. » (§2713. Required preservation and disclosure of communications and records).

* ¹⁶⁶ Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale , juin 2019 ; M. Raphael Gauvain a été entendu par le rapporteur lors d'une audition ouverte aux membres de la commission.

* ¹⁶⁷ Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act ; White Paper, U.S. Department of Justice (avril 2019).

* ¹⁶⁸ Cf. Rapport Gauvain, 1.2.4.2.2 « Les infractions visées » (p. 30).

* ¹⁶⁹ C'est ce que soulignent le Comité Européen de la Protection des Données et le Contrôleur européen de la protection des données, dans leur évaluation du CLOUD Act (« Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence », p. 2).

* ¹⁷⁰ « Nous sommes d'avis qu'actuellement, à moins qu'un mandat pris sur le fondement du Cloud Act ne soit reconnu ou rendu exécutoire sur la base d'un accord international, la licéité de tels transferts de données à caractère personnel ne saurait être établie, sans préjudice de circonstances exceptionnelles dans lesquelles un traitement de données est nécessaire afin de protéger les intérêts vitaux de la personne concernée » (“We are of the view that currently, unless a US Cloud Act warrant is recognised or made enforceable on the basis of an international agreement, the lawfulness of such transfers of personal data cannot be ascertained, without prejudice to exceptional circumstances where processing is necessary in order to protect the vital interests of the data subject” ), courrier sur l'impact du Cloud Act américain sur le cadre juridique européen en matière de protection des données à caractère personnel émanant du Comité Européen de la Protection des Données et du Contrôleur européen de la protection des données en réponse à une demande de la commission LIBE du Parlement Européen (10 juillet 2019).

* ¹⁷¹ Proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, dite « e-evidence ».

* ¹⁷² « L'Union a décidé de s'engager dans la négociation d'un accord bilatéral sur le recueil de preuve numérique avec les États-Unis, car le Cloud Act peut mettre en échec les demandes des magistrats européens lorsqu'ils souhaitent obtenir des preuves numériques auprès des principaux fournisseurs mondiaux de communications électroniques. Cette négociation sera menée par la Commission au nom des Etats membres. Ceux-ci sont néanmoins étroitement associés et la France a tout particulièrement veillé à ce que le mandat de négociation confié à la Commission le 6 juin dernier soit le plus exigeant possible. »

* ¹⁷³ Dont on peut trouver une traduction en anglais sur le site internet chinalawtranslate.com.

* ¹⁷⁴ Chen & Co. Law Firm, Note générale sur les demandes d'accès gouvernementales, 29 avril 2019.

* ¹⁷⁵ Financial Times, Is Huawei compelled by Chinese law to help with espionage ?, 5 mars 2019.

* ¹⁷⁶ Voir, par exemple, l'article du cabinet suédois Mannheimer Swartling, Applicability of Chinese National Intelligence Law to Chinese and non-Chinese Entities , janvier 2019. Cette étude conclut que la loi s'applique aux groupes chinois où que soient implantées les filiales et pourrait être interprétée comme s'appliquant à tout citoyen chinois, quel que soit son lieu de résidence. On peut également citer l'article du Professeur Donald Clark, The Zhong Lun Declaration on the Obligations of Huawei and Other Chinese Companies under Chinese Law , 17 mars 2019. Cet article considère que, dans la mesure où le droit chinois s'applique à la holding de Huawei, il n'y a pas de raison que la holding ne requiert de ses filiales qu'elles lui transmettent des informations si elle y est contrainte en application du droit chinois.

* ¹⁷⁷ Christopher Balding et Donald Clarke, Who owns Huawei ? , 17 avril 2019.

* ¹⁷⁸ Source: présentation du groupe Huawei transmise à votre rapporteur. Ces règles ne sont cependant pas précisées.

* ¹⁷⁹ Cf. https://www.huawei.com/en/about-huawei/corporate-information . Devant votre commission d'enquête, le directeur général de Huawei en France a confirmé, en des termes plus précis, cette affirmation : « Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif ».

* ¹⁸⁰ Selon M. Michel Paulin, directeur général d'OVH entendu par votre commission le 11 juillet 2019 : « Aux États-Unis, notre filiale est régie par le droit américain. À ce titre, elle respecte scrupuleusement la loi américaine. En revanche, nous avons fait en sorte que seule cette filiale soit soumise au Cloud Act et qu'elle ne dispose d'aucun accès aux données situées à l'extérieur des États-Unis : il s'agit d'un bastion isolé. L'accès ne serait tout simplement pas possible d'un point de vue technique : de ce fait, aucun agent américain ne pourra accéder aux données situées en dehors du territoire américain. »

* ¹⁸¹ Selon M. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe : « Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair. »

* ¹⁸² Rapport précité .

* ¹⁸³ Loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères.

* ¹⁸⁴ Sachant que 12 253 plaintes avaient été reçues par la CNIL entre le 25 mai 2018 et le 25 mai 2019, chiffre qui représentait déjà une hausse de 42 % par rapport à la même période en 2017-2018.

* ¹⁸⁵ Les entreprises sont en contact avec un « guichet unique », l'autorité de contrôle de l'État membre où se trouve leur établissement principal. Cette autorité chef de file aura la responsabilité d'organiser des contrôles, voire d'infliger des sanctions en cas de traitements transfrontaliers. La coopération est d'ailleurs renforcée entre autorités de régulation nationales et un Comité européen de la protection des données - CEPD - les rassemble pour veiller à l'application uniforme du droit. Le règlement étend par ailleurs explicitement aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

* ¹⁸⁶ Avertissement, rappel à l'ordre, mise en demeure, limitation d'un traitement, suspension des flux de données, injonction de satisfaire aux demandes d'exercice des droits d'une personne ou de procéder à la rectification, la limitation ou l'effacement des données, retrait de certification.

* ¹⁸⁷ Pour de plus amples développement sur cette notion juridique et la revendication d'un droit en la matière, voir Les droits émergents dans le monde numérique : l'exemple du droit à l'autodétermination informationnelle (in Revue Politeia, N° 31, décembre 2017, Les métamorphoses des droits fondamentaux à l'ère du numérique, par Pauline Türk).

* ¹⁸⁸ Imane Fouad, Nataliia Bielova, Arnaud Legout, and Natasa Sarafijanovic-Djukic, Tracking the Pixels: Detecting Unknown Web Trackers via Analysing Invisible Pixels.

* ¹⁸⁹ « le consentement (...) n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement » (affaire C-673/17, 1 ^er octobre 2019).

* ¹⁹⁰ Lettre commune : Pour l'interopérabilité des grandes plateformes en ligne (21 mai 2019), signée par 75 organisations de défense des libertés, organisations professionnelles, hébergeurs et fournisseurs d'accès Internet associatifs.

* ¹⁹¹ « Where equivalent services exist, the framework should take account of the emerging application of existing data portability rules and explore further options for facilitating data transfers and improve service interoperability where such interoperability makes sense, is technically feasible, and can increase consumer choice without hindering the ability of (in particular, smaller) companies to grow. Such initiatives could be accompanied by appropriate standardisation initiatives, and co-regulatory approaches ».