compte rendu intégral
Présidence de M. Georges Patient
vice-président
Secrétaires :
Mme Marie Mercier,
M. Jean-Claude Tissot.
1
Procès-verbal
M. le président. Le compte rendu analytique de la précédente séance a été distribué.
Il n’y a pas d’observation ?…
Le procès-verbal est adopté sous les réserves d’usage.
2
Rappel des règles sanitaires
M. le président. Mes chers collègues, pour le respect des règles sanitaires, je vous rappelle que le port du masque est obligatoire dans l’hémicycle, y compris pour les orateurs. Il vous est demandé de laisser un siège vide entre deux sièges occupés.
J’invite chacune et chacun à veiller au respect des distances de sécurité. Je rappelle également que les sorties de la salle des séances devront exclusivement s’effectuer par les portes situées au pourtour de l’hémicycle.
3
Communication relative à des commissions mixtes paritaires
M. le président. J’informe le Sénat que les commissions mixtes paritaires chargées d’élaborer un texte sur les dispositions restant en discussion du projet de loi relatif à la prorogation des chapitres VI à X du titre II du livre II et de l’article L. 851-3 du code de la sécurité intérieure, ainsi que du projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique et financière, ne sont pas parvenues à l’adoption de textes communs.
En conséquence, les lectures des conclusions des commissions mixtes paritaires sur ces textes, préalablement inscrites à l’ordre du jour du mardi 27 octobre et du mercredi 4 novembre, sont retirées de l’ordre du jour.
Il appartiendra au Gouvernement de demander l’inscription de l’examen de ces textes en nouvelle lecture à l’ordre du jour des prochaines séances du Sénat.
4
Prestation de serment d’un juge à la Cour de justice de la République
M. le président. M. Bernard Buis, élu juge suppléant à la Cour de justice de la République le 21 octobre dernier, va être appelé à prêter, devant le Sénat, le serment prévu par l’article 2 de la loi organique du 23 novembre 1993 sur la Cour de justice de la République.
Je vais donner lecture de la formule du serment. Mon cher collègue, je vous prie de bien vouloir vous lever et de répondre, en levant la main droite, par les mots : « Je le jure ».
Voici la formule du serment : « Je jure et promets de bien et fidèlement remplir mes fonctions, de garder le secret des délibérations et des votes, et de me conduire en tout comme un digne et loyal magistrat. »
(M. Bernard Buis, juge suppléant, se lève et dit, en levant la main droite : « Je le jure. »)
M. le président. Acte est donné par le Sénat du serment qui vient d’être prêté devant lui.
5
Certification de cybersécurité des plateformes numériques
Adoption d’une proposition de loi dans le texte de la commission modifié
M. le président. L’ordre du jour appelle, à la demande du groupe Union Centriste, la discussion de la proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (proposition n° 629 [2019-2020], texte de la commission n° 39, rapport n° 38).
Dans la discussion générale, la parole est à M. Laurent Lafon, auteur de la proposition de loi. (Applaudissements sur les travées du groupe UC.)
M. Laurent Lafon, auteur de la proposition de loi. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, lorsqu’il lança en 2007 le Grenelle de l’environnement, M. Jean-Louis Borloo, alors ministre de l’écologie, prit une mesure majeure, qui ne retint sans doute pas suffisamment l’attention des observateurs de l’époque : la généralisation du diagnostic de performance énergétique, le DPE.
Peu à peu, ce système d’information coloriel s’est généralisé, de sorte que toute personne qui souhaite acheter sa résidence principale ou louer un nouvel appartement en prend désormais connaissance. Chacun peut ainsi évaluer de manière immédiate et lisible, sans être un spécialiste du sujet, quelle sera sa consommation énergétique.
Chacun, surtout, peut mesurer son impact sur le réchauffement climatique, grâce à l’estimation des émissions de gaz à effet de serre annuelles que fournit le diagnostic.
Le DPE illustre à merveille le rôle fondamental que le pouvoir politique peut jouer pour engager des changements majeurs, sans attendre un grand soir normatif et réglementaire.
L’information reste une priorité dans ce processus. Les consommateurs doivent disposer d’emblée d’éléments clairs, lisibles et factuels, grâce auxquels ils pourront lancer les transformations nécessaires.
Le monde de la recherche a ouvert la voie depuis plus de vingt ans, lorsque, en 2001, George Akerlof reçut le prix Nobel d’économie pour ses travaux sur l’asymétrie d’information. Selon les économistes, il ne peut y avoir de marché libre et efficace si l’État n’intervient pas pour imposer des mécanismes de certification.
Des millions de Français se disaient prêts à agir face à l’urgence climatique, mais restaient impuissants faute bien sûr de pouvoir estimer les émissions annuelles de CO2 par mètre carré de leur logement. Nous leur avons donné une information claire et lisible pour agir.
De même, des millions de Français souhaitaient améliorer la qualité nutritionnelle de leur alimentation, mais butaient sur les subtilités des étiquettes d’emballage, impossibles à déchiffrer dans les rayons d’un supermarché. Grâce aux travaux remarquables du professeur Serge Hercberg et de son équipe, ainsi qu’à la généralisation du logo Nutriscore, nous leur avons donné une information claire et lisible pour agir.
Des millions de Français s’inquiètent des trop grandes failles en matière de cybersécurité, mais manquent d’une information claire et lisible pour agir. Cette proposition de loi veut y remédier.
Les pouvoirs publics, en particulier le Sénat, se sont saisis du sujet depuis plusieurs années. En 2016, la Haute Assemblée a voté la mise en place d’un commissariat à la souveraineté numérique, sur le modèle du Chief Technology Officer de la Maison-Blanche. Plus récemment, elle a créé une commission d’enquête sur la souveraineté numérique.
Une enquête d’opinion menée par la Commission nationale de l’informatique et des libertés (CNIL) a montré combien nos concitoyens restaient préoccupés par le piratage bancaire, les actes malveillants, les risques associés à la confidentialité des données personnelles, à la possibilité de leur fuite ou de leur vente, ou bien encore à leur traitement automatisé. Tous ces sujets d’inquiétude méritaient qu’on leur apporte une réponse.
Cette proposition de loi y contribue, en se donnant pour objectif que les Français disposent d’une information transparente sur le niveau de sécurité garanti par les sites qu’ils fréquentent quotidiennement. Elle entend mettre en place un Cyberscore pour l’ensemble des plateformes numériques, depuis les réseaux sociaux jusqu’aux services de cloud computing, en passant par les marketplaces.
Ce nouveau logo, visible lors de chaque connexion, s’appliquera selon des critères objectifs et techniques définis par arrêté, grâce à l’expertise de l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.
D’une part, il permettra aux Français de privilégier les plateformes dont le niveau de cybersécurité correspond à leurs exigences. D’autre part, et surtout, en offrant une information transparente sur le niveau de sécurité des plateformes, il incitera les opérateurs à changer leurs pratiques.
En effet, quand ils sont mieux informés, les consommateurs peuvent obliger les entreprises à changer de pratiques. J’en veux pour preuve les conséquences qu’a pu avoir la généralisation du dispositif Nutriscore, dont l’usage a été amplifié par des applications comme Yuka : la composition nutritionnelle de milliers de produits alimentaires vendus dans les grandes enseignes a désormais évolué. Il en ira de même – j’en suis profondément convaincu – pour la cybersécurité et la protection des données personnelles.
Quand il s’agit de faire évoluer les plateformes, la réglementation reste moins efficace qu’un consommateur averti et bien informé, une fois levé le voile de l’ignorance ou de la complexité technologique. Par conséquent, je suis très attaché à ce que Cyberscore ne se limite pas à un diagnostic abscons et incompréhensible.
Tout l’objet de cette proposition de loi est de renforcer l’information des citoyens. Il est donc essentiel que le diagnostic de cybersécurité aboutisse à un dispositif coloriel, présenté aux Français lors de chaque connexion au service. Le Cyberscore ne doit surtout pas être relégué dans les abîmes des conditions générales d’utilisation, ce qui reviendrait à vider la proposition de loi de sa substance. J’ai déposé un sous-amendement en ce sens.
À ce stade de mon propos, je veux saluer les travaux conduits par notre collègue Anne-Catherine Loisier, rapporteure de la commission des affaires économiques : ils ont enrichi le texte de manière significative. Le champ d’application de cette proposition de loi en sort renforcé.
La commission a maintenu l’application du Cyberscore aux services de communication au public en ligne et souhaité l’élargir aux services de cloud et aux outils de visioconférence, ce qui est essentiel à mes yeux. En effet, durant le confinement, une plateforme californienne de visioconférence, mondialement connue, a vu le nombre de ses utilisateurs exploser, alors même que le portail France Num du Gouvernement en déconseillait fortement l’utilisation… À l’ère du télétravail, il serait impensable que cette catégorie de services soit exemptée du diagnostic de cybersécurité.
Je me réjouis de voir que le Gouvernement souscrit à notre démarche. Cependant, monsieur le secrétaire d’État, je m’interroge sur la limitation du dispositif à un contrôle a posteriori, plutôt que le contrôle a priori que je proposais initialement : cette modification laissera aux plateformes la possibilité d’autocertifier leur niveau de cybersécurité.
Il faudra aussi que le Gouvernement donne de réels moyens humains, budgétaires et technologiques à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), pour que celle-ci soit en mesure de contrôler la véracité des logos affichés par les plateformes. À défaut, la proposition de loi perdra toute efficacité : les Français seraient induits en erreur par un Cyberscore factice et trompeur, quand bien même il bénéficierait de la bénédiction de l’État.
Je tiens également à préciser que ce dispositif s’inscrit avec cohérence dans le cadre de la politique européenne, qu’il vient même renforcer. En effet, le schéma de certification européen, défini dans le Cybersecurity Act et appelé à se déployer progressivement d’ici à 2023, restera facultatif et ne portera que sur un nombre limité de services.
Pour éviter toute superposition ou parallélisme des textes, je souhaite que les experts de l’Anssi veillent à définir des indicateurs conformes aux exigences du schéma de certification européen : on évitera ainsi la création de procédures concurrentes.
Cette proposition de loi – si vous l’adoptez– ne pourra que donner plus de poids au Cybersecurity Act. Elle le rendra de facto obligatoire. Elle garantira sa diffusion auprès des Français. Elle étendra son champ d’application aux plateformes que nos compatriotes utilisent quotidiennement.
En tant que membre de la commission d’enquête sur la souveraineté numérique et comme président de la commission de la culture, de l’éducation et de la communication, je souhaiterais développer brièvement une réflexion prospective sur ce sujet fondamental des données personnelles et de la filière numérique en Europe. Catherine Morin-Desailly y est très attachée, son excellent travail l’a montré.
À l’ère de la data, l’absence de géant du numérique européen reste un enjeu de souveraineté majeur, car les données sont le pétrole de demain : elles nourrissent le développement de l’intelligence artificielle, dont les implications économiques, éducatives et médicales seront bouleversantes.
La certification que prévoit ce texte répond aux attentes formulées par les acteurs économiques français du numérique. Rassemblés autour de la plateforme Mailo, ils ont signé en juillet dernier une tribune appelant à la création d’un label Numérique souveraineté France, ou label NSF, pour valoriser les entreprises qui œuvrent en faveur de notre souveraineté numérique.
Le Cyberscore peut être un levier utile qui contribuera à faire émerger plus rapidement des services alternatifs aux géants du numérique américains et chinois. Chaque utilisateur qui se connecte à ces plateformes leur livre une matière première dont il ne perçoit pas nécessairement la valeur économique. L’émergence d’une filière numérique européenne est donc indispensable.
Dans son rapport, Anne-Catherine Loisier rappelle à juste titre les mots du directeur général d’OVHcloud, lors de son audition par la commission d’enquête sur la souveraineté numérique : « Choisir un acteur américain ou chinois est lourd de conséquences pour la viabilité à long terme de la filière numérique en Europe. »
Nos concitoyens doivent être conscients que les choix qu’ils font en tant que consommateurs ne sont jamais anodins, qu’il s’agisse de souveraineté numérique ou de cybersécurité. Sur ces sujets complexes, il revient au pouvoir politique de leur apporter a minima des clés de lecture lisibles et factuelles. Tel est l’objet de cette proposition de loi. (Applaudissements sur les travées du groupe UC, ainsi que sur des travées du groupe Les Républicains. – M. Franck Montaugé applaudit également.)
M. le président. La parole est à Mme la rapporteure. (Applaudissements sur les travées du groupe UC.)
Mme Anne-Catherine Loisier, rapporteure de la commission des affaires économiques. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, La proposition de loi que nous examinons appelle notre attention sur la cybersécurité, un sujet crucial que nos concitoyens, les acheteurs publics et les entreprises ne prennent pas encore suffisamment en compte. Elle s’intéresse tout particulièrement à la sécurité des données, personnelles ou non, c’est-à-dire à l’ensemble des traces que nous laissons sur internet.
Le commissaire européen, Thierry Breton, que nous avions reçu en audition pendant la période de confinement, nous disait alors, en substance, que nous avions malheureusement perdu la bataille de l’internet, mais que nous devions rester vigilants pour gagner celle des données.
En effet, le cyber a vocation à envahir chaque jour davantage nos vies personnelles et professionnelles. Ainsi, le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par nos concitoyens, d’ici mai à 2022. La crise du covid a certes amplifié les fractures numériques, sociales, territoriales ou financières qui isolent près de 13 millions de nos concitoyens, mais elle a aussi fait exploser certains usages, dont les commandes en ligne et les visioconférences, à des fins tant professionnelles que personnelles.
L’accroissement de ces usages ne va malheureusement pas de pair avec le développement des précautions nécessaires à prendre. Certes, les failles de sécurité à répétition et les scandales qui ont affecté de grandes entreprises du numérique, comme celui de Cambridge Analytica, ont sensibilisé nos concitoyens aux enjeux de la cybersécurité.
Selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses et qu’elles devraient être davantage protégées. Ils sont aussi conscients qu’elles sont convoitées par les géants du Net. Pour autant, cette prise de conscience n’entraîne pas systématiquement de changement dans les pratiques.
Or, en recourant à des plateformes plus ou moins sécurisées, les consommateurs s’exposent à des risques, dont la liste est longue : enregistrement vidéo à l’insu des participants, utilisation de la reconnaissance vocale, attribution de propos qu’on pense oubliés, espionnage, deepfake… Les pouvoirs publics sont eux aussi la cible grandissante d’attaques, en particulier les collectivités territoriales et le secteur de la santé.
Par conséquent, au-delà de la menace permanente des cyberattaques dont il faut se protéger, il est devenu essentiel pour les pouvoirs publics et pour nos concitoyens de pouvoir déterminer si les entreprises auxquelles ils ont recours pour opérer certains de leurs services présentent les garanties nécessaires de sécurisation des données qu’elles traitent.
J’en veux pour preuve la récente polémique relative au contrat passé par l’État avec Microsoft pour prendre en charge le Health Data Hub, plateforme qui centralise les données de santé des Français en vue de favoriser la recherche et l’innovation. Monsieur le secrétaire d’État, pourriez-vous nous éclairer sur la manière dont le Gouvernement souhaite traiter ce dossier, étant donné que de la Cour de justice de l’Union européenne a invalidé le Privacy Shield au cours de l’été dernier ?
La proposition de loi que nous examinons aujourd’hui comporte deux articles, dont le premier concerne l’information des consommateurs, et le second celle des acheteurs publics.
L’article 1er prévoit de créer un dispositif nommé Cyberscore, par référence au Nutriscore. Il a pour objet d’informer les consommateurs, de manière simple et transparente, sur le niveau de sécurisation des données qu’offre la solution numérique à laquelle ils ont recours.
Cette disposition comble un vide dans les textes qui encadrent actuellement la cybersécurité des solutions numériques. Elle devrait être compatible, voire complémentaire, de la stratégie de cybersécurité en cours d’adoption au niveau européen.
Nous avons adapté le dispositif aux services les plus utilisés, selon des seuils à déterminer par le pouvoir réglementaire. Il ne pèsera donc pas sur l’innovation et ne sera pas non plus un frein au déploiement de jeunes pousses du numérique. Il se veut souple et réactif aux évolutions technologiques, en renvoyant au pouvoir réglementaire le soin de définir des indicateurs de mesure pertinents, étape déterminante pour que la loi soit efficace.
Ces indicateurs pourront être objectifs, comme la soumission du service à une loi de portée extraterritoriale qui autorise une autorité étrangère à requérir des données – on pense bien sûr au Cloud Act. Ils pourront aussi prendre en compte le nombre de condamnations prononcées par la CNIL, ou bien les failles de sécurité qui ont entraîné des pertes de données au cours de la dernière année.
D’autres indicateurs auront un caractère plus technique, comme le chiffrement des données de bout en bout.
L’article 2 vise à ce que les acheteurs publics intègrent les impératifs de cybersécurité dans la détermination des besoins des marchés publics ; autrement dit, il tend à ce qu’ils prennent mieux en compte les paramètres de cybersécurité dans leurs achats. L’enjeu est essentiel, car il s’agit non seulement de garantir la confiance des citoyens dans les services publics numérisés, de plus en plus nombreux, mais aussi de soutenir les efforts des acteurs vertueux.
Sur ce point, la commission des affaires économiques a toutefois émis des réserves, car le code de la commande publique a vocation à s’appliquer à tous les marchés publics, pas seulement à ceux qui seraient soumis à un critère de cybersécurité. Il serait inapproprié d’inclure un impératif particulier dans un dispositif à vocation générale, car la création d’un précédent ne pourrait que favoriser la multiplication des cas, ce qui ne manquerait pas d’affaiblir la portée juridique du code.
D’autres moyens existent pour fournir aux donneurs d’ordres publics l’appui dont ils ont besoin, comme la rédaction d’un vade-mecum spécifique, ou encore une assistance en ingénierie pour les marchés publics numériques des collectivités locales les plus petites.
En résumé, la création d’un Cyberscore, telle que le texte la prévoit, a pour intérêt d’être simple et évolutive. Elle constitue un progrès indéniable en matière d’information des consommateurs sur la sécurité des solutions numériques qu’ils utilisent. Les indicateurs fournis pourraient même aller jusqu’à intégrer des paramètres de lutte contre la haine en ligne. Avec l’accord de Laurent Lafon, nous proposerons quelques amendements pour enrichir le texte.
Monsieur le secrétaire d’État, je souhaite vous remercier du travail réalisé en bonne collaboration avec vos services et vous réaffirmer, comme mon collègue, notre volonté de voir prospérer ce texte dans les étapes à venir. La réflexion sur ces sujets, aussi techniques soient-ils, doit évoluer. Il y va en effet de l’éthique du numérique et du développement d’une société de confiance.
Nous comptons sur vous pour obtenir une inscription rapide de cette proposition de loi à l’ordre du jour de l’Assemblée nationale. Sans attendre le vote définitif de la loi, nous restons disponibles, vous l’aurez compris, pour travailler avec vous et les différentes parties prenantes sur les mesures d’application réglementaire qui seront nécessaires à son entrée en vigueur. (Applaudissements sur les travées du groupe UC, ainsi que sur des travées du groupe Les Républicains. – M. Franck Montaugé applaudit également.)
M. le président. La parole est à M. le secrétaire d’État.
M. Cédric O, secrétaire d’État auprès du ministre de l’économie, des finances et de la relance et de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques. Monsieur le président, mesdames, messieurs les sénateurs, je suis heureux d’examiner, aujourd’hui, avec vous, cette proposition de loi qui porte sur la mise en place d’une certification de cybersécurité des plateformes destinées au grand public.
Déposé par M. Laurent Lafon le 15 juillet dernier, ce texte a été examiné, la semaine dernière, par la commission des affaires économiques. Sa version amendée conserve fidèlement, je crois, l’esprit de la proposition initiale. Elle témoigne de l’importance que revêtent désormais les sujets de la cybersécurité et de la protection des données, en général.
La place du numérique ne fait que croître dans notre société : je le sais, sans doute, mieux que personne. Ce secteur nous a permis de tenir et de continuer d’avancer durant la crise sanitaire, notamment grâce au télétravail et à l’enseignement à distance. Partout, il a démontré son utilité. Pour autant, nous ne pouvons pas faire preuve de naïveté : notre vie numérique comporte aussi des risques.
Ces risques, inhérents à notre vie numérique, ne sont pas tout à fait semblables aux risques que nous prenons dans notre vie physique quotidienne.
Tout d’abord, ils sont moins tangibles : la violence d’un vol de données, par exemple, ne saurait être comparée à celle d’un vol à main armée.
De plus, ils sont souvent plus difficiles à comprendre et revêtent une sophistication qui dépasse parfois notre capacité de représentation.
Enfin, ils sont moins bien connus, car ils restent jeunes : si cela fait des siècles que l’on braque les diligences, les attaques aux logiciels malveillants n’ont tout au plus que quelques dizaines d’années derrière elles, ce qui les rend peu familières…
Cependant, force est de constater que les choses évoluent et que ces risques sont de mieux en mieux appréhendés. Les scandales de fuites de données chez des géants du numérique, tels que Facebook, Uber ou Yahoo, font ainsi régulièrement la une de l’actualité. De même, les piratages d’entreprises sont désormais partie intégrante de notre quotidien : plus un mois ne passe sans que l’une d’entre elles, et parmi les plus grandes, soit victime d’une attaque informatique !
J’en profite d’ailleurs pour saluer le travail des équipes de l’Anssi, qui luttent quotidiennement contre ces menaces et qui réalisent un travail de grande qualité.
Les risques numériques sont dans notre vie, au même titre que le numérique participe de notre quotidien. Pour s’en protéger, deux réponses s’imposent : l’une, systémique, doit être portée au niveau européen, comme pour le règlement général sur la protection des données, le RGPD ; l’autre réside dans le changement des usages et des comportements.
Apporter une réponse systémique – je le dis –, c’est le sens des travaux que mène la France, mais aussi de ceux qui sont en cours au niveau européen. Ils visent à faire émerger des lignes fortes, solides et transnationales, de nature à assurer au mieux notre souveraineté numérique.
Comme pour le RGPD, l’Europe doit se montrer à la hauteur des enjeux et définir ses propres standards, qui doivent s’imposer à tous les acteurs. De tels changements ne pourront se faire qu’à cette échelle. Nous devons les accompagner ; la France ne doit pas manquer ce rendez-vous important.
La deuxième réponse que nous devons apporter au risque en matière de sécurité numérique doit passer par l’information des utilisateurs, laquelle constitue, avec la transparence, un levier essentiel du changement. Des exemples désormais bien connus permettent de mesurer l’impact de ces deux critères sur les comportements de nos concitoyens et des acteurs économiques.
Le plus emblématique d’entre eux, déjà mentionné, concerne le secteur de l’alimentation. En quelques années, la situation est passée d’opaque à lisible, de sorte que les consommateurs peuvent désormais faire leur choix de manière éclairée, et que le comportement des industriels a évolué.
Il a suffi de mettre à la disposition des consommateurs une information claire et transparente pour que les acteurs économiques en viennent à modifier leur comportement et à adapter leurs recettes et leurs préparations, pour produire une alimentation de meilleure qualité. La transparence et l’information ont enclenché un cercle vertueux. Nous souhaitons reproduire la même dynamique dans le domaine du numérique.
Mesdames, messieurs les sénateurs, si vous me permettez de poursuivre encore l’analogie, en matière d’alimentation, la progression s’est faite par étapes. L’obligation d’affichage des ingrédients, par exemple, a été un premier pas pour renforcer l’information des consommateurs. Cependant, le processus ne pouvait pas s’arrêter là, car l’information n’implique pas forcément la visibilité ni la transparence.
Vous savez comme moi, mesdames, messieurs les sénateurs, qu’une information non hiérarchisée ou bien trop abondante n’est pas utile, non plus que celle qui serait trop technique et impossible à analyser.
L’affichage des ingrédients utilisés pour produire les aliments constituait cette information utile, mais non hiérarchisée, et parfois trop technique. Il a fallu la simplifier dans un symbole clair, lisible et transparent, même si des marges d’amélioration subsistent : le Nutriscore. Ce logo simple, clair et transparent, je le répète, a permis d’influencer des industries entières.
Nous pouvons nous inspirer de cet exemple, riche d’enseignements, car si la plupart des informations sont aujourd’hui accessibles sur internet, elles restent encore trop souvent noyées dans la masse de celles qui sont disponibles.
J’en veux pour preuve les conditions générales d’utilisation, ou CGU, qui contiennent déjà une grande partie des informations qu’un consommateur avisé pourrait vouloir rechercher. Pourtant, elles restent largement inexploitables en pratique, car elles sont trop souvent noyées parmi d’autres, ou bien formulées dans des termes techniques qui les rendent inutilisables ou inaccessibles à nos concitoyens.
Voilà ce à quoi nous devons remédier pour que les industriels progressent vers des pratiques plus vertueuses, comme ils l’ont fait dans le secteur de l’alimentation.
Dans cette perspective, il nous faut garder pour objectif l’établissement d’une symbolique qui garantira aux consommateurs une compréhension claire des conditions d’hébergement de leurs données, de leur assujettissement à des lois extraterritoriales et de leur exploitation à des fins commerciales.
Pour toutes ces raisons, le Gouvernement soutient la proposition de loi déposée par M. Lafon et souhaite compléter le texte issu des travaux de la commission par quelques modifications, présentées dans un esprit constructif. En effet, le sujet est important, et nous partageons le même objectif.
Ces aménagements portent principalement sur la mécanique de diagnostic : elle ne peut reposer que sur l’entreprise elle-même, car les plateformes changent très souvent d’algorithmes, à un rythme souvent hebdomadaire, de sorte qu’un système d’audit ou de diagnostic par un tiers serait inopérant en pratique.
Par conséquent, les opérateurs doivent être considérés comme responsables des informations qu’ils affichent et s’assurer qu’elles restent exactes à chaque mise à jour de leur logiciel.
Les ajouts proposés par le Gouvernement concernent également le champ d’application du dispositif, afin de le restreindre, dans un premier temps, aux plateformes de taille mondiale, soit les acteurs auprès desquels il est le plus important d’intervenir.
Enfin, ces changements concernent l’inscription dans le code de la commande publique, qui ne me semble pas être la voie la plus efficace pour agir : j’y reviendrai.
Cela dit, je souhaite vous redire la volonté constructive du Gouvernement sur ce texte. Celui-ci traite d’un sujet important et ouvre les perspectives prometteuses d’une meilleure information du consommateur et d’une plus grande transparence. Il pose ainsi les bases d’un cercle vertueux qui a fait ses preuves et qui serait, je le crois, très utile pour favoriser une plus grande cybersécurisation des opérateurs.
Je souhaite que nous puissions avancer sur le sujet, non seulement dans le cadre des débats qui vont suivre, mais aussi au cours de la navette parlementaire.
Pour finir, je me permets cette brève remarque, madame la rapporteure, puisque vous m’avez interpellé au travers d’une question précise. Comme je l’ai déjà indiqué voilà deux semaines devant une commission d’enquête du Sénat, le Gouvernement a pris la décision de faire migrer, prochainement, le Health Data Hub sur une plateforme européenne, afin de tenir compte, notamment, de la décision de la Cour de justice de l’Union européenne invalidant, au travers de son arrêt du 16 juillet 2020, Schrems II, la décision relative au Privacy Shield. (Applaudissements sur les travées du groupe RDPI, ainsi que sur des travées du groupe UC.)