Mardi 9 juillet 2019

- Présidence de M. Franck Montaugé, président -

La réunion est ouverte à 15 heures.

Libertés numériques - Audition de Me Alexis Fitzjean O Cobhthaigh, avocat, et de M. Axel Simon (La Quadrature du Net), de M. Étienne Gonnu, chargé affaires publiques (April - Promouvoir et défendre le logiciel libre) et de Me Olivier Iteanu, avocat (ISOC France)

M. Franck Montaugé, président. - Mes chers collègues. Nous recevons maintenant les représentants de plusieurs associations de défense des droits et libertés des citoyens sur Internet :

- pour La Quadrature du Net, Maître Alexis Fitzjean O Cobhthaigh, avocat, et Monsieur Axel Simon ;

- pour l'association April - Promouvoir et défendre le logiciel libre, Monsieur Etienne Gonnu, chargé des affaires publiques ;

- et pour l'Internet Society France, Maître Olivier Iteanu, avocat.

Cette audition sera filmée et diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM Alexis Fitzjean O Cobhthaigh, Axel Simon, Étienne Gonnu et Olivier Iteanu prêtent successivement serment.

M. Franck Montaugé, président. - Avec des différences de sensibilités et certaines nuances, vos associations sont toutes résolument engagées sur les enjeux de régulation des géants d'Internet, qui intéressent tout particulièrement les travaux de notre commission. Vos associations ont ainsi pris des positions remarquées sur la protection des données personnelles, parfois même en engageant des actions en justice contre les Gafam, ou pour la promotion d'outils alternatifs à ceux développés par les grandes entreprises dominant le marché du numérique.

Maître Alexis Fitzjean O Cobhthaigh, avocat. -Notre association existe depuis une dizaine d'années. Elle peut se prévaloir d'une expérience importante dans les sujets évoqués ici, et notamment sur le plan contentieux. À titre d'exemple, je peux citer notre action collective menée à l'encontre de Google devant la CNIL, qui a abouti à la condamnation de cette entreprise à une amende de 50 millions d'euros. D'autres dossiers similaires sont en cours, ils ont été renvoyés devant l'équivalent irlandais de la CNIL.

Une autre thématique qui nous est chère est celle de l'interopérabilité des plateformes numériques. Cette notion est aisée à comprendre : lorsque nous sommes abonnés à un opérateur téléphonique donné, aucun obstacle ne s'oppose à ce que nous communiquions avec une personne abonnée auprès d'un autre opérateur. Il en est de même pour les messageries électroniques : rien n'empêche le titulaire d'une adresse email fournie par un prestataire donné d'échanger des courriels avec une adresse relevant d'un autre gestionnaire. Il s'agit à chaque fois de standards ouverts et interopérables. À l'inverse, lorsque vous ouvrez un compte sur Facebook ou sur Twitter, vous ne pouvez pas interagir avec un utilisateur d'une plateforme extérieure alternative. Ainsi, au moment où vous clôturez votre compte, l'ensemble des contacts créés par ce biais est perdu. Notre objectif est donc d'imposer à ces plateformes l'utilisation d'un standard ouvert, commun, , permettant d'assurer l'interopérabilité de celles-ci avec leurs alternatives.

Cette interopérabilité constituerait d'ailleurs un moyen efficace de lutter contre les causes - et pas simplement contre les symptômes - des dérives haineuses auxquelles nous sommes confrontés sur Internet.

M. Franck Montaugé, président. - En quoi l'interopérabilité à laquelle vous aspirez pourrait-elle contribuer à lutter contre la haine sur Internet ?

M. Alexis Fitzjean O Cobhthaigh. -Le modèle économique des grandes plateformes repose désormais sur une économie de l'attention. Les géants de l'Internet exploitent de manière publicitaire l'intérêt des utilisateurs. Ils recherchent donc à capter l'attention d'un maximum d'internautes le plus longtemps possible. Or ce sont justement les contenus polarisés qui attirent le plus de visiteurs, et génèrent donc le plus de profits. C'est un cercle vicieux auquel il faut mettre un terme.

Mettre en place l'interopérabilité constitue une solution à ce problème. En effet, la seule raison qui pousse les utilisateurs de Facebook ou d'autres réseaux sociaux à ne pas clôturer leur compte est la peur de perdre tous les liens qu'ils s'y sont créés. On parle ainsi d' « effet de réseau » : ce n'est pas la plateforme en tant que telle qui les attire ou les retient, mais bien les liens qu'elle permet de nouer.

À ce jour, les quelques offres alternatives à ces géants ne parviennent à attirer qu'un nombre minime d'utilisateurs. L'interopérabilité permettrait de casser ce modèle. Elle remettrait en cause la stratégie de ces géants. L'architecture même de ces plateformes joue sur l'économie de l'attention. Leurs algorithmes repèrent justement les contenus les plus clivants - voire violents - et s'efforcent de les mettre en avant en raison de leur caractère viral particulièrement lucratif.

M. Franck Montaugé, président. - Votre proposition suppose qu'il existe bien une alternative et une contre-offre de plateformes « éthiques »...

M. Alexis Fitzjean O Cobhthaigh  -Elle existe déjà ! D'ailleurs, au sein de La Quadrature du Net, nous avons une telle plateforme, utilisée par 13 000 personnes et d'ores et déjà interopérable avec l'ensemble de ceux qui recourent à la même technologie. Ce n'est pas une technologie de niche, elle est labellisée par World Wide Web Consortium (W3C), l'organisme de régulation et de normalisation du Web. Plusieurs centaines de milliers de personnes utilisent par exemple Mastodon. Les moyens technologiques sont donc bien déjà disponibles, mais ce sont des effets de réseau qui freinent actuellement leur développement.

M. Axel Simon. - N'oublions pas à quel point les grandes plateformes privées du web sont devenues énormes en termes de nombre d'utilisateurs.. C'est cette échelle qui les rend inhumaines : le volume des contenus rend impossible un contrôle sérieux de ce qui est mis en ligne - plusieurs dizaines d'heures de vidéos sont mises en ligne sur Youtube chaque minute, c'est tout bonnement impossible à superviser humainement et ces plateformes ont nécessairement recours à d'autres méthodes automatisées et intrinsèquement limitées.

Revenir à des plateformes d'une taille plus réduite permettrait de mieux superviser leur activité. Le contrôle en serait donc simplifié. Selon nous, l'interopérabilité est un moyen qui rendrait possible l'existence d'alternatives sérieuses : il s'agit simplement de donner le choix aux usagers de préférer d'autres plateformes, par exemple celles avec les conditions de modération des contenus mieux adaptées à leurs attentes. À titre de comparaison, considérons les modèles de gestion des foules : face à une foule énorme dans laquelle seraient signalés des individus dangereux, une méthode éprouvée de gestion est d'abord simplement de scinder la foule - dans certains concerts une barrière centrale vient ainsi scinder en deux l'assistance pour prévenir les mouvements de foule. Ce changement d'échelle, à lui seul diminue automatiquement la capacité de nuisance.

D'après nos observations, le cantonnement des personnes tenant un discours de haine produit des effets positifs et permet de ramener les conversations dans un registre acceptable - cela ouvre d'autres débats, notamment sur la formation de bulles informationnelles ou le risque de vase clos, mais c'est une première solution.. Cette nouvelle approche conduirait à réintroduire un véritable choix pour les utilisateurs, qui sont aujourd'hui enfermés dans les réseaux actuels.

M. Alexis Fitzjean O Cobhthaigh. -Nous avons d'ailleurs déjà procédé de la sorte il y a un siècle contre les conglomérats du chemin de fer, du pétrole...Il s'agissait alors de s'élever contre certaines industries en situation de monopole dont la taille finissait par nuire à l'intérêt général. De ces réflexions est né le droit de la concurrence. Ce que nous proposons, c'est la transposition de cet exemple au monde du numérique.

M. Axel Simon. - Parmi les sujets fondamentaux, j'aimerais insister sur la volonté des GAFA de s'introduire au fur et à mesure dans toutes les différentes couches de nos relations humaines. Ils ont commencé à faire de l'intermédiation dans l'information - à travers leurs annuaires ou moteurs de recherche -, puis dans nos contacts - imposant de passer par eux pour entrer en relation avec nos proches -, puis dans notre identité - nous sommes devenus dépendants d'acteurs tiers pour prouver sur Internet qui nous sommes, et de nombreuses plateformes nous proposent désormais de nous connecter grâce à notre compte chez eux -, et même désormais dans la monnaie. Ces différentes évolutions démontrent clairement une stratégie d'être omniprésents.

Cela doit nous pousser à réfléchir sérieusement à la nécessité d'utiliser des alternatives et des logiciels libres. À l'heure actuelle, nous dépendons entièrement du travail d'autres personnes à qui nous sommes contraints d'accorder notre confiance.

Toutes les questions relatives à la vie privée et à la confidentialité - préalables à d'autres droits et libertés comme la liberté d'expression ou de réunion - doivent être reliées à celle du chiffrement de bout en bout. L'accès à des techniques de chiffrement fort pour l'ensemble de la population est la seule garantie fiable de protection pour nos données personnelles. D'ailleurs, sans cette protection de la vie privée, nous perdons tout droit de nous tromper. La protection est la clé qui permet d'évoluer et de changer en tant qu'êtres humains.

La vie privée reste un pilier essentiel de notre Droit. De ce fait, la question du chiffrement de bout en bout doit être l'un de nos combats.

M. Franck Montaugé, président. - Le chiffrement de bout en bout existe-t-il d'ores et déjà ?

M. Axel Simon. - Tout à fait. Certaines applications le proposent, à l'instar de Whatsapp ou des établissements bancaires. L'ensemble du commerce en ligne repose également sur cette technologie.

M. Alexis Fitzjean O Cobhthaigh. - Les logiciels libres et les standards ouverts sont particulièrement importants en ce qu'ils permettent de voir ce qui est fait. À l'inverse, les logiciels fermés rendent opaque l'information, le code est inaccessible. Confrontées à des logiciels fermés, les analyses menées dans le cadre de nos travaux ont été fortement complexifiées. En effet, l'observation d'un logiciel fermé est nécessairement extérieure et peut donc difficilement aller dans détails.

M. Etienne Gonnu. -Je représente l'association April, qui promeut les logiciels libres dont l'utilisation revêt une dimension éminemment politique. Notre association a été fondée en 1996 et comporte actuellement 4 000 membres, à la fois des particuliers et des personnes morales de droit privé ou de droit public.

Notre activité n'est pas technique, mais vise à défendre les libertés informatiques. De ce fait, nous menons des actions de sensibilisation destinées au grand public et portons un plaidoyer politique fort.

April n'a souscrit aucun engagement auprès de ses membres. Il s'agit uniquement de partager une certaine conception de l'intérêt général. À ce titre, nous considérons que la priorité doit être donnée au logiciel libre tant à l'échelle individuelle qu'au sein des administrations publiques : c'est un enjeu de souveraineté fort. Pour reprendre les propos tenus par les représentants de La Quadrature du Net, je tiens à rappeler que l'utilisateur d'un logiciel fermé ne peut pas avoir accès au code source. Dans ce contexte, comment pourrait-il lui accorder sa confiance ?

Qu'est-ce qu'un logiciel libre ? Il ne s'agit pas d'une caractéristique technique ni d'un mode de développement particulier. En réalité, c'est une manière d'appréhender le logiciel, la technologie et l'innovation, en partant du point de vue des utilisateurs pour leur garantir la pleine maîtrise de leurs outils, mais aussi la certitude que le logiciel sert effectivement leurs propres intérêts et non ceux d'un tiers.

Est qualifié de « logiciel libre » le logiciel qui permet d'assurer quatre libertés fondamentales : la liberté d'utilisation sans restriction d'usage, le droit d'étudier ce logiciel et de le modifier pour qu'il réponde à nos besoins - y compris en en corrigeant les erreurs -, le droit de redistribuer le logiciel et le droit d'en partager les versions modifiées. Si l'une de ces quatre libertés fait défaut, le logiciel n'est pas considéré comme libre. Dans ce cas, c'est un logiciel dit « privateur ».

L'oeuvre fondatrice du logiciel libre, Code is Law, a été écrite par Lawrence Lessig en 1999. Avocat et professeur de droit constitutionnel à Harvard, Lawrence Lessig est parti d'un constat simple : chaque époque possède son propre régulateur. Selon lui, dans l'ère du cyberespace, c'est le code informatique qui va réguler et conditionner l'ensemble de nos interactions sociales et l'exercice de nos libertés individuelles. La question qu'il a posée prend une importance d'autant plus grande que les outils informatiques occupent un rôle central dans nos sociétés actuelles. En réalité, les développeurs qui écrivent du code informatique créent du Droit, car leur logiciel interagit avec d'autres utilisateurs et façonne les conditions d'expression et l'exercice des libertés fondamentales sur les réseaux informatiques.

À ce titre, les entreprises du net que sont Facebook, Twitter ou YouTube agissent de plus en plus comme des États en ce qu'ils régissent, au sein de leur silo technologique, la liberté d'expression des citoyens utilisant leurs outils.

Dans cet environnement, nous considérons que le logiciel libre peut incarner un rapport démocratique à la technologie : il garantit d'une part la connaissance des procédures d'élaboration de ces règles et d'autre part la capacité des utilisateurs à y participer voire à les remettre en cause. Selon nous, le logiciel libre doit être la réponse politique à la question de la souveraineté numérique.

La souveraineté numérique peut être définie de différentes manières. Je rejoins la vision de la secrétaire générale de la défense et de la sécurité nationale, Claire Landais. Il s'agit de la capacité à contrôler et à définir les conditions de l'expression des libertés fondamentales sur un réseau numérique. L'enjeu est donc de déterminer les meilleures conditions de garantie de cette souveraineté.

Cette souveraineté ne doit pas constituer une fin en soi, mais plutôt un moyen d'assurer aux citoyens que l'outil informatique est bien à leur service. Du point de vue des pouvoirs publics, le numérique doit être un vecteur de libertés, et en aucun cas un outil de contrôle et d'aliénation. Malheureusement, les potentiels de surveillance résidant dans ces outils font ressortir des intérêts antagonistes.

Il n'existe pas de réponse miracle à ces questions. Au sein de notre association, nous sommes néanmoins convaincus que le logiciel libre est une condition minimale pour atteindre ces objectifs.

Par ailleurs, je tiens à réagir aux propos tenus devant cette commission par Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État(DINSIC). Il donnait l'impression de n'aborder ces questions que d'un point de vue technique. Or il n'est évidemment pas question de forcer les agents à une transition vers le logiciel libre. Ce sont des politiques de transition et d'accompagnement qui méritent plutôt d'être mises en place, et elles pourraient l'être aisément. La compatibilité du recours à des logiciels libres avec le droit de la commande publique a d'ores et déjà été démontrée, le Conseil national du numérique a rendu un avis en ce sens et le Conseil d'État avait validé en 2011 la légalité d'un marché public portant sur un logiciel libre gratuit. Certaines idées reçues sur les logiciels libres doivent être déconstruites.

En outre, Monsieur Nadi Bou Hanna avait récusé une approche « idéologique » du logiciel libre. Nous ne cachons effectivement pas notre conviction politique. Pour autant, cela ne nous empêche pas d'adopter une vision pragmatique de la situation. De notre point de vue, la question de la confiance est centrale et doit être soutenue par des garanties juridiques claires. Or, à l'heure actuelle, la confiance dans le secteur informatique est trop souvent déléguée à des tiers. La question est donc de savoir sur quelle base accorder sa confiance. L'un des critères capital, selon nous, de cette confiance est la possibilité de vérifier ce qui se cache dans le logiciel... et donc de recourir à un logiciel libre.

Nous menons des actions déterminées afin que soit mis un terme aux soi-disant partenariats conclus par l'État avec certains GAFA. Je pense notamment à de l'Éducation nationale déjà évoqué devant vous, ou encore celui annoncé par la Garde des Sceaux avec Microsoft dans le cadre du plan de transformation numérique de la Justice, sans qu'il n'y ait eu aucun appel d'offres. Cette situation est très inquiétante. Un tel cas de figure serait inimaginable dans d'autres domaines économiques, et l'avantage ainsi donné à ces marques n'est pas neutre.

Le problème que nous dénonçons est particulièrement criant avec l'accord-cadre passé depuis 2009 entre Microsoft et le ministère des Armées, revu deux fois depuis et empreint d'une forte opacité. Cet accord « open bar » illustre un contournement massif de l'ensemble des règles relatives à la commande publique et nous faisons nôtres les constatations du rapporteur de la commission des marchés publics de l'État qui allait jusqu'à émettre de fortes réserves sur l'objet du contrat, et à suggérer l'existence de favoritisme.

Au final, ces différents accords sont autant de risques pour notre souveraineté : dans le cas de Microsoft, le groupe d'experts militaires mandaté pour en analyser les risques pointait une situation propice à la création d'une dépendance à l'égard de cette entreprise et à un affaiblissement de l'industrie française et européenne du logiciel. C'est sur la base de ces éléments, comme vous le savez, que votre collègue sénatrice Joëlle Garriaud-Maylam a proposé la création d'une commission d'enquête pour faire la lumière sur cet accord-cadre.

Dernier point, la question de la communauté, essentielle dans le monde du logiciel libre. Le logiciel est une série de connaissances - un commun informationnel - transcrites en langage informatique. Les pouvoirs publics se doivent de soutenir le logiciel libre, ressource commune et enjeu de souveraineté qui peut bénéficier à tous : individus, collectivités publiques, entreprises. Il peut être encouragé par l'État, par exemple au moyen d'appels d'offres, ou en soutenant les contributions des agents publics. Cela passe notamment par l'application effective du référentiel général d'interopérabilité, hélas encore ignoré par un trop grand nombre d'administrations, tout comme le socle interministériel des logiciels libres, catalogue de référence des logiciels libres répondant aux besoins des administrations françaises recommandés par l'État. L'accent doit enfin être porté sur des initiatives promouvant le logiciel libre lors des actions de formation, au-delà de l'apprentissage du code, pour appréhender la dimension tant scientifique que sociale de l'informatique. C'est cela qui permettra véritablement aux jeunes générations de devenir des adultes pleinement informés dans notre société où l'outil informatique et le logiciel sont omniprésents.

Maître Olivier Iteanu, avocat. -J'ai l'honneur de représenter l'association Internet Society France. C'est une association Loi 1901 qui a été créée en 1996 et dont je suis désormais Président d'honneur.

Je suis également l'avocat de cette association, et à ce titre, nous avons engagé une action de groupe à l'encontre de Facebook - non pas devant une autorité administrative, comme l'a fait La Quadrature du Net, dont je salue la démarche - mais directement devant les juridictions judiciaires pour obtenir réparation au nom du millier de plaignants ainsi représentés. Actuellement, nous avons mis en demeure cette entreprise de réagir aux sept griefs que nous avons listés. Nous avons lancé une tentative de conciliation et à défaut, nous saisirons le TGI (tribunal de grande instance) de Paris dès le mois de septembre 2019. J'exerce le métier d'avocat spécialisé dans le numérique depuis 29 ans. J'ai également écrit plusieurs livres sur ce sujet et j'enseigne au sein des universités Paris I et Paris XI.

Tout d'abord, j'évoquerai le refus de ces entreprises de se soumettre à la loi. Ce problème est central. Nous pouvons adopter toutes les réglementations que nous voulons, si ces entreprises s'y soustraient, elles ne produiront aucun effet.

Ensuite, j'expliquerai que ces entreprises veulent appliquer leurs propres concepts. Or la liberté d'expression est une conception française qui ne doit pas être confondue avec les notions américaine de « free speech » ou « hate speech ».

Enfin, je me pencherai sur les causes de cette situation. Je constate en effet que l'Europe est la seule zone géographique dans laquelle il existe des oligopoles dans le monde du numérique. Cette particularité est liée à la notion de souveraineté numérique, ces entreprises considérant qu'elles ne sont pas soumises aux règles européennes. Il ne faut pas dès lors s'étonner de ce qu'il n'existe aucun leader européen dans ce secteur économique.

Premier point : le refus de ces entreprises de se soumettre à la loi. En introduction de l'un de mes ouvrages, je me suis mis dans la peau d'une jeune fille de 15 ans, passant au cours d'une journée type d'un réseau social à l'autre - Facebook, Twitter - et allant sur les plateformes de partage de vidéos telles que YouTube ou Netflix.. J'ai observé les conditions générales de ces services  Elles sont encadrées par les lois et juridictions californiennes ! Dans ces conditions, il apparaît très compliqué de discuter avec un interlocuteur précis en cas de problème. À l'époque où des critiques étaient dirigées contre des entreprises telles que Mac Donald, ce problème n'existait pas : Au moins, il était possible d'interpeller directement le gérant de l'un de ces restaurants. Avec ces entreprises numériques, tout contact requiert de remplir un formulaire en ligne.

Leur refus de respecter la loi peut être illustré par plusieurs exemples. Dans le cadre de la transposition de la directive européenne dite « e-commerce » en 2004, nous avions mis en place un système spécial de responsabilité pour les intermédiaires techniques, comparable à celui mis en place aux États-Unis à l'époque. En effet, le cadre classique appliqué aux organes de presse ne pouvait pas être transposé tel quel aux intermédiaires techniques. Le régime juridique mis en place par cette loi prévoyait donc une responsabilité limitée, applicable uniquement si les plateformes ne retirent pas les contenus illicites dans un délai raisonnable. En contrepartie, elles s'engagent à collaborer étroitement avec les autorités judiciaires, ce qui implique de conserver les données pendant un an pour les communiquer le cas échéant en cas de réquisition judiciaire. La sanction en cas d'infraction à ces règles est un an d'emprisonnement et 75 000 euros d'amende. Le cadre mis en place était donc parfaitement acceptable par eux et équilibré. Toutefois, en 2013, à l'occasion d'une affaire très médiatisée de tweets antisémites, le Parquet a demandé en vain à Twitter les données relatives aux comptes impliqués. Le refus de Twitter a été motivé - je me réfère aux arguments que la société a officiellement présentés devant la juridiction - par le fait que les contenus étaient hébergés aux États-Unis et ne pouvaient donc pas être concernés par la loi française. Face à cette attitude, le Parquet français n'a pas réagi.

Cet exemple démontre bien qu'il existe un réel problème de volonté et de détermination face à ces entreprises.

Un second exemple illustre encore le type de comportement auquel nous faisons face. Alors que Facebook a été condamné par la CNIL en avril 2017 à verser une amende de 150 000 euros -ce qui était alors le maximum encouru - la société a joué la politique de la chaise vide tout au long de la procédure. Est-ce admissible ? Connaissez-vous une autre entreprise européenne qui aurait adopté le même comportement ? Je pourrais vous donner des dizaines d'autres exemples similaires...

Ces entreprises sont présentes sur le marché français et y gagnent beaucoup d'argent. Elles proposent une gamme élargie de services que nous utilisons tous mais dans le même temps elles refusent d'assumer leur responsabilité et de se soumettre à la justice française. Il y a là un problème majeur.

Deuxième point : le problème des concepts importés. Notre liberté d'expression n'est pas assimilable au concept anglo-saxon du « free speech ». En Europe, nous l'encadrons car nous considérons qu'il existe un lien fort entre la parole publique et le passage à l'acte, tel n'est pas le cas aux États-Unis. Quand bien même ces entreprises prendraient des engagements forts en matière de modération interne des contenus, c'est bien la loi qui doit s'appliquer. De la même manière, il convient de distinguer les notions de vie personnelle et de « privacy ».

Considérons les problématiques liées au droit d'auteur. Nous avons harmonisé les droits nationaux en la matière. Aux États-Unis, l'industrie d'Hollywood est très puissante et dans ce domaine, les GAFA prennent réellement au sérieux le droit d'auteur. Je citerai le cas d'un producteur américain qui avait notifié à YouTube que 100 000 vidéos portaient atteinte à ses droits. Dès le lendemain, elles avaient été retirées de la plateforme. Cela démontre bien que les droits sont respectés dès lors que des risques judiciaires sérieux sont encourus.

J'ai d'ailleurs pu le constater à l'occasion d'une affaire dont je m'occupais. Une personne avait vu son image utilisée pour créer un groupe Facebook insultant à son égard. Lorsque nous avons tenté d'argumenter en nous fondant sur l'injure pour obtenir la fermeture du compte, cela n'a eu aucun effet. En revanche, en remplissant le formulaire et en motivant notre demande par une violation du droit d'auteur, le groupe a pu aussitôt être fermé. Cet exemple doit nous convaincre qu'une réelle volonté associée à un risque de sanction porte ses fruits.

Je terminerai en évoquant les causes de cette situation. le courant porté par les libertariens constitue selon moi le cheval de Troie de l'industrie de la Silicon Valley. Comment se fait-il qu'entre l'industrie chinoise et les GAFA, nous ne soyons alertés que des problématiques possibles de la première et laissions les secondes prospérer ? Il me semble que cette différence dans notre perception découle justement des discours avant-gardistes sur la liberté mis en avant par les acteurs américains. Les mots et les concepts qui nous sont vendus ont paralysé la réflexion. Personne ne peut être opposé à la liberté. Toutefois, quand nous analysons leur comportement de plus près, nous ne pouvons que constater à quel point la réalité est éloignée de leurs grands discours, tant la guerre qu'ils mènent à l'encontre de leurs concurrents est rude.

La lecture de The New Digital Age d'Éric Schmidt et Jared Cohen est plaisante, au début - ils nous décrivent le nouveau monde de liberté qui s'ouvre -... jusqu'à ce que les auteurs expliquent qu'il faudra quand même tenir compte du référencement Google pour choisir un prénom à son enfant...

Je pense que notre action doit être menée au niveau de nos valeurs, notamment sur le plan juridique. Pour autant, nous devons prendre conscience que la situation actuelle est aussi une véritable guerre des mots.

M. Gérard Longuet, rapporteur. - Ces propos sont passionnants. La souveraineté est une notion qui implique en premier lieu que nos lois nationales soient appliquées sur l'ensemble du territoire. Se pose alors la question de la définition d'un territoire. J'ai été très sensible aux propos de Maître Olivier Iteanu sur les libertariens. L'idée d'un monde virtuel peut paraître très séduisante.

Au niveau des propositions développées, je souhaiterais revenir sur le droit à la portabilité. Comment l'imaginez-vous concrètement ? Un réseau est une entreprise commerciale, et il tente de se positionner en fonction de sa cible commerciale, en fonction de critères sociologiques. Dans ce contexte, un réseau social connaît-il des cycles dans son existence ? La portabilité est-elle une réponse pour pouvoir passer de l'un à l'autre ?

M. Alexis Fitzjean O Cobhthaigh. -Au niveau terminologique, distinguons bien la notion d'interopérabilité, que nous appelons de nos voeux, de la notion de portabilité, qui existe déjà en droit.

Dans la jeune histoire du web, certains réseaux communautaires ont effectivement disparu qui étaient centrés sur certaines catégories d'utilisateurs. Le cas des réseaux actuels doit être appréhendé différemment. Aujourd'hui, Facebook compte quasiment deux milliards de comptes. Même en écartant les faux comptes de notre analyse, nous sommes forcés de constater que cette plateforme a changé de nature. Elle exerce un pouvoir concret sur nos vies et sur nos États.

En réalité, il ne s'agit plus seulement d'un réseau social, tant les possibilités qu'elle offre sont nombreuses. J'ai été très surpris de constater que la SNCF allait proposer la vente de billets de train via le tchat de Facebook. La SNCF n'avait pourtant pas besoin de recourir aux services de cette entreprise américaine, et cela va créer une forme d'assujettissement à un service tiers. Que se passera-t-il demain si Facebook met fin à ce service, souhaite le monétiser ou met en place des conditions générales déséquilibrées ?

De même, ces géants n'hésitent pas à acquérir à prix d'or les nouveaux réseaux émergents à la mode.

M. Gérard Longuet, rapporteur. - Tout à fait. Leur stratégie de destruction de la concurrence par des acquisitions sélectives à des prix très important pose problème.

M. Alexis Fitzjean O Cobhthaigh. - La qualification d'un cycle est possible, dans une certaine mesure, et certains réseaux sociaux ont aujourd'hui disparu. Toutefois, à l'échelle de ces puissances, ce n'est pas la question principale : aujourd'hui, les plateformes ont acquis une puissance inédite dans l'histoire, elle ne se contentent plus de vendre un service, mais bien de capter une multitude d'informations qui leur permet de développer des modèles prédictifs de comportements et d'offrir des prestations grâce à une granularité des données extrêmement fine sur une masse d'individus.-

À ce titre, ayons à l'esprit le scandale Cambridge Analytica qui a révélé au grand jour la manipulation dont ont été victimes énormément de personnes. Si la publicité et la propagande n'ont rien de nouveau, pour autant, les plateformes Internet les ont portées aujourd'hui à un niveau inédit dans l'histoire de l'humanité.

M. Gérard Longuet, rapporteur. - Et l'interopérabilité peut constituer une solution, selon vous ?

M. Alexis Fitzjean O Cobhthaigh. - Absolument, car l'une des forces de ces plateformes actuellement réside dans la puissance de l'effet de réseaux et la difficulté de pouvoir s'en passer pour beaucoup de personnes. Ces réseaux sont devenus des moyens de communication sans lesquels la population se coupe de ses contacts sociaux. L'interopérabilité permettrait de mettre un terme à cette situation en rendant possible de poursuivre les échanges avec les contacts de son propre réseau tout en changeant de plateformes à sa guise.

M. Olivier Iteanu  - La portabilité des données nous rappelle les débats autour de la notion controversée de propriété des données. Notre conception juridique fermement ancrée en Europe est que les données à caractère personnel ne sont pas cessibles, mais qu'elles constituent bien un attribut juridique de la personnalité des individus, hors commerce. Si un internaute consent à ce que ses données soient collectées, il peut dans la seconde suivante demander qu'elles lui soient restituées.

À l'inverse, les Anglo-saxons tendent à adopter une vision patrimoniale des données. Dans cette logique, la cession des données personnelles aux géants du numérique, au prétexte d'en recevoir un hypothétique et dérisoire bénéfice, va en fait de pair avec une perte de contrôle des individus sur leur utilisation. Selon moi, nous devons donc rester fermement attachés à la conception européenne qui qualifie les données personnelles comme des attributs de la personnalité juridique.

Quand on parle de droit à la portabilité des données, de quelles données s'agit-il ? N'oublions pas qu'outre celles qui ont été renseignées, par exemple lors de l'ouverture d'un compte, il y a aussi celles qui ont été collectées durant l'utilisation du réseau. De même, il faut tenir compte des données issues de croisement et partagées entre les différents réseaux, à l'instar de Whatsapp et Facebook.

Ces données là aussi devraient pouvoir faire l'objet du droit à la portabilité, mais on s'attaque alors ici directement le modèle économique de ces grandes entreprises : leur valorisation boursière repose uniquement sur leur capacité à collecter et exploiter ces données ! Face à cela, nous devons affirmer nos valeurs fondamentales. Nous en avons encore les moyens, car si nous avons certes perdu la guerre technologique, l'accès à un marché convoité de 500 millions de consommateurs nous autorise encore à en fixer les règles.

M. Gérard Longuet, rapporteur. -J'aimerais adopter le point de vue d'un libertaire : de quel droit les autorités publiques priveraient-elles les 500 millions d'Européens de la possibilité d'utiliser Google ?

M. Alexis Fitzjean O Cobhthaigh. - C'est justement tout l'intérêt de l'interopérabilité : elle n'empêche personne d'appartenir à un réseau donné. Le principe est juste d'offrir le choix de leur plateforme à tous les utilisateurs de ces réseaux. Il permet de continuer à communiquer avec l'ensemble de ses contacts, quels que soient leurs réseaux.

M. Gérard Longuet, rapporteur. - Il me semble difficile de restreindre l'utilisation des grands réseaux. Les populations risqueraient de mal comprendre l'objectif d'un tel cadre.

M. Olivier Iteanu. - Notre position vise simplement à s'assurer de ce que les GAFA respectent nos lois, mais aussi à proposer des alternatives aux citoyens.

M. Pierre Ouzoulias. - J'aimerais revenir sur les propos précédemment tenus devant notre commission par M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État. Il nous a expliqué que c'étaient les choix des usagers, la manière dont les fonctionnaires utilisaient leur logiciel, qui était déterminante. À titre personnel, je suis fier de ne recourir qu'à des logiciels libres.

Ce qui m'inquiète profondément est l'absence totale de prise en compte du critère de souveraineté dans le cadre des achats publics réalisés par l'État - à l'exception notable du ministère des Armées dont nous avons entendu les représentants.

Aujourd'hui, lorsque nous achetons un réfrigérateur, nous sommes en mesure de connaître sa dépense énergétique grâce à un affichage obligatoire. Serait-il envisageable d'adopter un système de labellisation comparable en termes de souveraineté et de protection des données personnelles ? M. Etienne Gonnu, votre association April pourrait-elle agir en tant que certificateur d'un tel système ?

À l'heure actuelle, lorsque je recherche un logiciel libre, je me renseigne sur le site Internet de l'Université de Lausanne qui regorge d'informations et de conseils pertinents. Je déplore qu'aucun site français ne dispose de ce type d'informations. Il serait également intéressant d'y songer, pourquoi pas à travers une collaboration entre votre association et le Gouvernement.

M. Etienne Gonnu, chargé affaires publiques (April). - S'agissant d'un système de certification, il me semble que l'association April n'a pas cette vocation-là.

Concernant le manque d'information relative aux logiciels libres que vous regrettez, nous devons porter notre attention vers l'éducation des jeunes. Il faut leur apprendre ce qu'est un logiciel libre, mais aussi insister sur son importance. Toute la population n'est pas constituée d'informaticiens ou d'experts en informatique, mais chacun gagne à être formé sur le principe des logiciels libres, la nécessité d'avoir un recul critique sur l'outil informatique, et la possibilité de collaborer au savoir commun par ces technologies... Prenons l'exemple de la presse : si tout le monde n'a pas vocation à devenir journaliste, la liberté de la presse est un principe qui protège et bénéficie à l'ensemble des citoyens.

La mise en place d'une labellisation me semble une entreprise délicate, en raison de la difficulté à dégager des critères pertinents autres que les quatre critères de base du logiciel libre que je vous ai exposés.

Un autre aspect essentiel en termes de souveraineté est celui de la mémoire et de l'archivage : format ouvert et logiciels libres sont des garanties de pérennité des services.

M. Gérard Longuet, rapporteur. -La mémoire est-elle un atout ou un inconvénient ?

À ce titre, l'Institut National de Recherche en Informatique et en Automatique (INRIA) a lancé le projet Software Heritage visant précisément à archiver l'ensemble des codes sources à l'origine des logiciels produits dans le monde.

M. Alexis Fitzjean O Cobhthaigh. -La mémoire est à la fois un atout et inconvénient, mais surtout le choix doit nous appartenir collectivement et la décision ne doit pas être déléguée à des sociétés privées. Lorsque nous faisons des choix technologiques qui reposent sur des logiciels qui peuvent devenir obsolètes quand leur mise à jour ou leur maintenance n'est plus assurée, la mémoire est un atout.

En revanche, quand il s'agit d'assurer l'exercice du droit à l'oubli ou du droit à l'erreur, la mémoire peut s'avérer dommageable sur Internet...Mais en toute hypothèse, il doit s'agir de choix déterminés par la société, par le Parlement : nous ne devons pas laisser des entreprises commerciales décider par exemple des durées de conservation des données !

M. Gérard Longuet, rapporteur. - Mais les utilisateurs ne préfèrent-ils pas justement bénéficier d'un service gratuit en échange de l'acceptation de l'utilisation de leurs données, plutôt que d'avoir à payer l'opérateur ?

M. Alexis Fitzjean O Cobhthaigh. -Un tel comportement est totalement illégale au regard des dispositions du RGPD En effet, l'utilisateur ne donne pas un consentement libre et éclairé lorsqu'il doit accepter que ses données soient collectées comme condition pour accéder au service. Cette analyse est d'ailleurs partagée les régulateurs et ressort des lignes directrices de la CNIL.

Par ailleurs, les ministères déboursent des sommes colossales pour s'équiper en logiciels fermés... mais à quel prix ? Certes, on l'a dit, la praticité pour l'usager est importante dans les administrations, mais si cet argent était utilisé pour la formation des personnels et pour des logiciels libres, cela serait bien moins coûteux Cela permettrait de modifier ledit logiciel pour l'adapter directement à ses besoins, voire pour changer facilement de prestataire tout en ayant des effets bénéfiques sur l'ensemble du système. En réalité, il s'agit d'un enjeu de nature politique.

J'insiste aussi sur le fait que les logiciels propriétaires fonctionnent sur la base d'un code fermé. Dès lors, nos administrations ne sont pas en mesure de savoir réellement ce qui se cache derrière - conformité aux annonces, voire présence de portes dérobées. Nous ne voyons que ce que l'entreprise est disposée à révéler.

M. Olivier Iteanu. - La question du logiciel libre est intimement liée à celle de la souveraineté. Même au sein de l'association Cigref, qui regroupe les DSI des grandes entreprises et administrations publiques autour de la question du numérique, et dont les membres étaient traditionnellement divisés en groupes de travail selon leur choix de fournisseur - par exemple le groupe Microsoft, le groupe Oracle ou le groupe Google - un groupe spécifique sur le logiciel libre a récemment été mis en place tant cette question est cruciale.

Une illustration personnelle et concrète de l'importance de l'interopérabilité : J'avais moi-même tenté d'organiser mon activité professionnelle sous l'égide d'un logiciel libre. J'ai été contraint d'abandonner l'expérience en raison des dysfonctionnements observés dans ma communication avec certains clients qui ne parvenaient pas à lire mes fichiers. Le logiciel en tant que tel fonctionnait parfaitement bien, mais les interactions avec mes partenaires professionnels étaient parfois délicates.

M. Gérard Longuet, rapporteur. - Il me semble intéressant que les consommateurs se réunissent au sein d'associations afin d'équilibrer les rapports de force entre les vendeurs et les utilisateurs. En se groupant, les particuliers acquièrent un certain poids vis-à-vis des entreprises.

M. Franck Montaugé, président. - Je vous remercie d'avoir ainsi restitué la dimension politique et sociétale forte du sujet qui occupe nos travaux. Nous avons reçu il y a peu le philosophe Bernard Stiegler, philosophe de la technique, qui en appelle à un « web néguentropique ». Selon lui, la direction prise par l'Internet relève plus de la destruction que de l'élévation.

Vos solutions peuvent-elles participer à ce projet de sauvetage du web ?? Est-ce une adaptation du capitalisme 2.0 qu'il faut appeler de nos voeux, qui engloberait en son sein l'ensemble des problématiques universelles auxquelles nous sommes confrontés à l'heure actuelle telles que le climat et les transitions que nous vivons ?

J'ai beaucoup apprécié vos propos sur les plateformes : vous déploriez que leurs échelles actuelles détruisent plus qu'elles ne créent de valeurs intrinsèques, il me semble que vous rejoignez certains des écrits de. Bernard Stiegler qui va même jusqu'à affirmer qu'il faudrait sauver le capitalisme de lui-même.

M. Axel Simon. - Les questions que vous soumettez sont très profondes. Le système économique capitaliste fonctionne sur une capacité à tout absorber pour l'intégrer à son propre fonctionnement. Son but est de réaliser du profit. .

Or, à l'heure actuelle, il semblerait que les limites soient atteintes. J'ai entendu plusieurs acteurs évoquer la notion de capitalisme de surveillance : à son tour, la surveillance devient une source de profits. Cela démontre à quel point les échelles atteintes par certains acteurs du système sont dangereuses. Dans ce contexte, les masses atteintes deviennent critiques à tous les niveaux : pour consommer, pour être manipulées, voire dominées.

Quelle sera l'espérance de vie de ces entreprises ? Un réseau géré par une trentaine de personnes depuis les États-Unis et englobant deux milliards d'utilisateurs a atteint des dimensions inédites et incommensurables dans l'histoire humaine. C'est aussi pour cela que ces acteurs, malgré leur hégémonie, répètent sans cesse, pour nous rassurer, qu'ils sont neutres, qu'ils offrent une simple infrastructure de communication et de rapprochement entre les gens, dont le caractère profitable serait un à-côté heureux mais purement fortuit. En réalité, ce n'est pas le cas. Le nombre, la répétition et l'ampleur des scandales qui les compromettent le démontrent.

Auparavant, le système était moins centralisé et cela donnait lieu à un paysage différent. Malgré tout, les époques sont difficilement comparables tant les technologies ont évolué. Si Internet était aujourd'hui moins dépendant de ces entreprises, le résultat serait sans doute différent de cette époque. Dans tous les cas, nous devons nous interroger sur les moyens de revenir à un système moins centré sur ces grands acteurs centraux, au besoin par la contrainte publique.

M. Olivier Iteanu. - Notre société repose sur trois piliers : la vérité, la justice et la paix. Derrière, le terme de souveraineté, trop souvent connoté politiquement, se situent en réalité des enjeux de paix.

M. Etienne Gonnu. - La question de la centralisation d'Internet est cruciale. Il faut que nous évitions les noeuds de pouvoirs - c'était la promesse fondatrice de l'internet, créé sur une base a-centrée et distribuée. Or je ne peux que déplorer l'attitude qui tend à capituler face à ces grandes plateformes. Antiterrorisme, lutte contre les fausses informations, application du droit d'auteur... Nous devons arrêter d'adopter des textes qui ont pour effet de renforcer la centralisation du système. Nous leur déléguons de véritables prérogatives de puissance publique !

Au contraire, il faudrait leur opposer une réponse judiciaire - et pour cela allouer des moyens suffisants à nos services publics en la matière -, et non pas adopter une attitude de résignation.

M. Gérard Longuet, rapporteur. - Afin de compléter nos travaux, je serais demandeur d'une note de synthèse sur la forme que peut prendre l'organisation internationale des usagers. J'aimerais en apprendre davantage sur le poids des usagers, tant aux États-Unis qu'en Europe. Cela permettrait de prendre la mesure de leur force.

M. Alexis Fitzjean O Cobhthaigh. - La question de l'organisation d'Internet est transversale et occuperait facilement plusieurs thèses.

Elle renvoie d'abord à l'idée que la technologie n'est pas neutre. Ainsi, la conception technologique d'Internet induit des choix dans son utilisation. Le fait de choisir une technologie centrée ou acentrée a effectivement des conséquences réelles. Dans les années 90, la technologie choisie pour le web - l'hyperlien qui permet en un seul « clic » d'être redirigé vers d'autres ressources- a été acentrée.

Par ailleurs, il convient de distinguer le capitalisme et le libéralisme. Le libéralisme est un préalable incontournable lorsqu'une société aspire à la transparence de l'information. C'est dans ce contexte libéral que le droit de la concurrence a pu naître et se développer. Notre association considère que l'interopérabilité aurait pour effet positif la conservation de cette transparence. Elle permettrait d'assurer à chaque utilisateur une réelle liberté de choix entre les opérateurs. Il me semble donc que nos propositions ne sont pas du tout opposées au libéralisme. Bien au contraire, elles apportent une dose de liberté plus élevée.

La réunion est close à 16 h 30.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Mercredi 10 juillet 2019

- Présidence de M. Franck Montaugé, président -

La réunion est ouverte à 14 heures.

Audition de M. Daniel Bursaux, directeur général de l'IGN

M. Franck Montaugé, président. - Mes chers collègues, nous recevons M. Daniel Bursaux, directeur général de l'Institut national de l'information géographique et forestière (IGN), accompagné de MM. Sylvain Latarget, directeur général adjoint, et de Claude Pénicand, délégué à la stratégie de l'établissement.

Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM Daniel Bursaux, Sylvain Latarget et Claude Penicand prêtent serment.

M. Franck Montaugé, président. - L'Institut national de l'information géographique et forestière (IGN) entretient des bases de données multithématiques de qualité maitrisée qui décrivent le territoire et les phénomènes qui s'y produisent afin d'appuyer la définition, la mise en oeuvre ou l'évaluation des politiques publiques.

En s'appuyant notamment sur vos données, ainsi que celles de la Poste, une base des adresses géolocalisées est disponible en open data et permet d'asseoir maintenant des systèmes industriels sérieux sur des informations ne venant pas d'une plateforme privée. Il me semble que, de cette manière, vous contribuez à la souveraineté numérique de notre pays.

Comment définissez-vous la souveraineté numérique ? Comment y participez-vous ?

Identifiez-vous des angles faibles dans votre domaine de compétence ou pensez-vous que la politique menée permet à la France de garantir son autonomie et sa souveraineté ?

M. Daniel Bursaux, directeur général de l'IGN. - Je vous remercie de me donner l'occasion d'exposer en quoi l'Institut national de l'information géographique et forestière constitue un outil essentiel d'information géolocalisée au service de la puissance publique afin que celle-ci préserve sa souveraineté, à l'heure de la transformation numérique de la société.

Dans un monde devenu tout numérique, la géolocalisation joue un rôle tout à fait particulier. Le développement des terminaux mobiles de communication et des moyens de positionnement par satellite, tels les smartphones, les GPS et autres objets connectés, permet la production, la circulation et l'échange au quotidien d'un très grand nombre de données géolocalisées. Chacun d'entre nous est d'ailleurs producteur de telles données, parfois à son insu.

La géolocalisation est ainsi devenue très rapidement l'une des clés principales pour le croisement d'une multitude de données souvent hétérogènes et pour le développement d'applications numériques devenues omniprésentes, au niveau tant de la sphère professionnelle que de la sphère privée.

Pour exploiter cette géolocalisation, il est cependant nécessaire de s'appuyer sur des référentiels géographiques fiables et partagés, qui permettent de rapprocher et de mettre en cohérence ces diverses données. Ces référentiels jouent ainsi un rôle essentiel en termes de croisement et d'exploitation des données et constituent un point de passage obligé pour le traitement d'une très grande variété d'informations.

Les grands acteurs de l'internet, au premier rang desquels les GAFA, ont investi très fortement dans la constitution de fonds géographiques en support de leur stratégie de développement. Leur simplicité d'utilisation et leur gratuité relative - les usages non basiques étant payants -en ont fait des produits de consommation courante pour les citoyens.

Néanmoins, la transformation numérique confronte la puissance publique à un défi inédit en matière d'exercice de sa souveraineté, entendue au sens large. Elle doit en effet garder dans ce contexte très évolutif la capacité d'agir de manière indépendante et d'exercer l'autorité dont elle est démocratiquement investie.

Pour cela, il est indispensable que la puissance publique conserve la maîtrise des données qui fondent ses décisions, au même titre qu'elle conserve celle de ses autres infrastructures essentielles, et ce notamment face aux majors de l'internet qui fondent leur puissance sur l'aptitude à concentrer et exploiter une quantité sans cesse croissante de données.

Cette maîtrise conditionne non seulement l'efficience de l'action publique, qui doit pouvoir se fonder sur des données qualifiées, mais aussi la confiance que les citoyens placent en elle. On se souvient encore, en 2014, de la complaisance de Google vis-à-vis des régimes russe et ukrainien lors de la crise de Crimée : selon le pays dans lequel on se connectait, les frontières n'étaient pas tout à fait les mêmes. On peut également citer la question du Tibet vue par les Chinois ou encore celle du Sahara occidental vue par le Maroc.

Cette maîtrise de l'information géographique contribue également à la souveraineté nationale entendue dans son acception économique, en permettant aux entreprises nationales de ne pas dépendre de grandes plateformes étrangères pour développer leur activité.

La donnée géographique présente donc, plus que n'importe quelle autre, un lien étroit avec la souveraineté.

De fait, la puissance publique mobilise quotidiennement des données géographiques et plus largement des données géolocalisées à l'appui de ses décisions et de son action, dans des domaines aussi variés que la défense nationale, la sécurité, la prévention des risques, la préservation de la biodiversité, l'aménagement du territoire, l'agriculture, la forêt, les transports...

En tant qu'opérateur de l'État, l'IGN, établissement public administratif, produit et entretient, comme cela a été dit, des données géographiques de qualité maitrisée qui décrivent le territoire et les phénomènes qui s'y produisent afin d'appuyer la définition, la mise en oeuvre ou l'évaluation des politiques publiques. Organisées sous forme de référentiels interopérables, ces données multithématiques constituent des données d'autorité qui offrent aux décideurs publics des informations au service de la souveraineté nationale.

L'IGN élabore par exemple des modèles numériques de terrain très précis, qui permettent à la Direction générale de la prévention des risques de réaliser des modèles de prévision de crues. De même, lorsque des crues surviennent, l'institut réalise des prises de vue aériennes en urgence et pour l'appui à la prévision des inondations. Ces photographies constituent des preuves opposables pour la délimitation précise de l'étendue des inondations. Elles servent également de « vérité terrain » pour affiner les modèles de prévision, accroître l'efficacité des mesures de prévention et définir les règles d'urbanisme.

L'IGN est aussi chargé de l'entretien du Registre parcellaire graphique, qui sert de référence pour les déclarations des exploitants agricoles. Il permet à l'Agence de services et de paiement (ASP) de connaître les surfaces pour le calcul des aides versées aux agriculteurs dans le cadre de la politique agricole commune (PAC). Depuis 2014, il s'agit d'une activité soutenue, car la Commission européenne avait menacé la France d'une amende substantielle, lui reprochant de ne pas apporter suffisamment de preuves sur le calcul qu'elle opérait pour le versement des aides aux agriculteurs.

L'IGN entretient également un inventaire statistique permanent des ressources forestières permettant notamment de disposer d'une connaissance objective sur la captation du carbone et sur les ressources en bois mobilisables pour différents usages. Cette connaissance contribue également aux réflexions prospectives pour l'adaptation au changement climatique. Cette activité explique notre nouveau nom depuis 2012, même si nous avons conservé l'ancien sigle.

Par ailleurs, l'IGN s'implique actuellement dans la mise au point d'une méthode de description de l'occupation des sols à partir d'imagerie satellitaire et aéroportée et de technologies d'intelligence artificielle, telles que l'apprentissage profond. Cette méthode doit permettre au ministère de la transition écologique et solidaire de mettre en place un dispositif innovant de suivi de l'artificialisation des sols, en application de l'action 7 du plan Biodiversité. Il s'agit d'un exercice extrêmement complexe.

L'IGN travaille en étroite collaboration avec la Délégation à la sécurité routière. Nous avons mis au point un dispositif qui permet aux autorités de contrôle de prouver une infraction en faisant le lien entre le lieu du véhicule et la vitesse autorisée. Nous construisons également une base de données des vitesses limites autorisées en licence ouverte.

Je citerai encore la base de données hydrographique, dite BD Topage, développée en collaboration avec l'Agence française pour la biodiversité, pour les besoins de la police de l'eau. Ce référentiel hydrographique, en licence ouverte, mettra à la disposition de l'ensemble des acteurs de l'eau une base de données exhaustive, collaborative et interopérable, d'ici à la fin de 2019.

Par ailleurs, les capacités de recherche, de formation, d'ingénierie, d'innovation et de production dont dispose l'IGN lui confèrent un savoir-faire unique en France en matière de maîtrise de l'ensemble des techniques de l'information géographique ainsi que d'une expérience inégalée en termes de précision des données produites. L'expertise de l'institut est reconnue internationalement.

À titre d'illustration, l'IGN est un acteur clé à l'échelle mondiale dans le domaine de la géodésie, la science qui étudie la forme et les dimensions de la Terre. Dans ce cadre, l'institut est chargé de la détermination du système national de coordonnées de haute qualité, indispensable pour pouvoir déterminer des coordonnées géolocalisées d'un point, sous la forme de repères de nivellement. Ces points précis au centimètre près sont utilisés par un grand nombre de professionnels : géomètres, aménageurs, urbanistes, ingénieurs, hydrologues, forestiers... La sécurité publique dépend souvent de la fiabilité de ces informations. Dans ce contexte, les mouvements de certaines zones sensibles sont particulièrement observés, comme l'affaissement des anciens bassins miniers ou les conséquences de l'activité sismique sous-marine à Mayotte.

L'institut a aussi contribué activement à la détermination du système mondial de coordonnées, dit GGRF (Global Geodetic Reference Frame). Il participe également à l'infrastructure de stations de suivi au sol des satellites de positionnement pour Galileo.

D'ailleurs, l'expertise internationale de l'IGN dans ce domaine a trouvé une reconnaissance concrète dans l'élection d'un directeur de recherche à l'IGN en tant que président de l'Association internationale de géodésie.

Face à un nouveau champ de contraintes - l'enjeu croissant que représente la préservation de la maîtrise des données géographiques qui fondent la décision publique, d'une part, le choix gouvernemental d'étendre largement le champ de la mise à disposition gratuite des données publiques, d'autre part -, l'IGN n'est toutefois pas en mesure d'assumer seul l'effort de production et d'entretien de toutes les données utiles, voire essentielles. Il est dès lors nécessaire de mobiliser toutes les énergies, en particulier celles des autres acteurs qui produisent des données géographiques. Les collectivités, les autres établissements publics, mais aussi de simples citoyens peuvent contribuer, au travers de leur usage ou de façon volontaire, à consolider les données.

L'IGN est donc appelé à mettre à profit son expertise pour optimiser le recours aux différentes capacités d'acquisition, gérer l'agrégation et l'intégration des diverses contributions ainsi que leur standardisation, et assurer un certain niveau de maîtrise de la qualité.

L'IGN a déjà exercé ce rôle de coordinateur technique et de tiers de confiance pour répondre aux besoins de certains ministères, notamment du ministère des armées. Celui-ci s'appuie depuis plusieurs années sur l'institut pour gérer l'approvisionnement de données géographiques de précision, nécessaires au bon fonctionnement des systèmes d'aide au commandement et des systèmes d'armes. Dans ce cadre, l'IGN est chargé d'organiser le recours aux capacités de l'industrie afin de couvrir les vastes zones d'intérêt pour les forces armées en territoire extérieur, de qualifier les données produites par des grands opérateurs - Airbus, Thalès -, ainsi que de produire lui-même les données « socle » sur lesquelles s'appuient les productions industrielles.

Ce rôle de tiers de confiance ne concerne d'ailleurs pas uniquement les domaines régaliens où la maitrise de l'État doit être forte. À mon sens, il est essentiel, pour la puissance publique, de disposer d'une capacité d'expertise indépendante lorsqu'elle confie des travaux complexes à un industriel.

Par exemple, dans le cadre de la stratégie nationale pour le développement des véhicules autonomes, le ministère chargé des transports a mandaté l'IGN pour contribuer à l'élaboration d'un standard pour une cartographie haute définition et dynamique utile aux véhicules autonomes, pour réfléchir à la gouvernance globale des données géolocalisées utilisées par ces véhicules et pour définir les moyens dont l'État devrait se doter pour exercer à terme son rôle de police et de régulation.

C'est pourquoi l'institut s'est engagé dans une transformation profonde de sa mission historique, de son organisation, de son modèle économique et de ses méthodes de travail pour renforcer l'appui direct aux politiques publiques.

Cette feuille de route vise à rééquilibrer l'activité de l'IGN. De diffuseur de données, il a vocation à devenir l'architecte référent de l'ensemble des données géographiques nécessaires à l'exercice des politiques publiques. L'IGN se repositionne ainsi au coeur d'un écosystème de partenaires, afin de garantir la disponibilité et la qualité des données importantes pour l'action publique.

Outre ce rôle de garant de la disponibilité des données géographiques souveraines, l'IGN renforce ses activités de formation et de recherche, sa maîtrise des nouvelles technologies ainsi que sa capacité d'innovation. L'objectif est de maintenir notre expertise et notre savoir-faire de pointe, notamment grâce à notre école nationale des sciences géographiques (ENSG) et à ses unités mixtes de recherche. Soixante ingénieurs sont formés par an : tous trouvent un emploi à la sortie de l'école ; une bonne demi-douzaine d'entre eux entre à l'IGN, les autres intégrant le service public ou privé. L'IGN est partie prenante du futur pôle universitaire Gustave Eiffel à Champs-sur-Marne, qui constitue une opportunité d'associer le monde académique, les acteurs publics et les entreprises pour devenir le laboratoire des villes et des transports du futur. Les différents organismes fondateurs qui regroupent leurs capacités pour constituer cette université d'un nouveau mode finalisent actuellement les statuts en vue d'une mise en place effective au 1er janvier 2020.

Il s'agit pour l'IGN à la fois d'entretenir sa propre expertise au meilleur niveau et de jouer un rôle dans la montée en compétence collective des administrations et de la société civile. Cela permettra à la puissance publique de tirer le meilleur profit des données géographiques et de mener les actions qui sont essentielles à la préservation de sa souveraineté. Cela aidera aussi les entreprises nationales à se positionner face à la concurrence internationale.

En réponse à une mission confiée par le Premier ministre sur les données géographiques souveraines, Mme la députée Valéria Faure-Muntian a formulé au mois de juillet 2018 un certain nombre de recommandations qui confortent le nouveau positionnement de l'IGN et réaffirment la nécessité pour l'État de disposer d'un tel opérateur.

L'IGN est bien un outil qui garantit la possibilité pour la puissance publique de prendre un certain nombre de dispositions en vue de préserver son indépendance et sa souveraineté informationnelle dans le domaine des données géographiques. Il est donc plus que nécessaire de maintenir et de développer au sein de l'IGN des compétences clefs pour dominer les nouvelles technologies et une force d'action suffisante. Le ministère des armées a fait le choix de maintenir des compétences indispensables à la conception et à l'entretien de ses capacités militaires, afin de préserver son indépendance d'action. Nous sommes confrontés à des problématiques similaires.

À l'heure où une forte compétition s'exerce entre les entreprises pour recruter les meilleures compétences dans le domaine du numérique, le fait d'avoir un statut d'établissement public et d'être tenu par un recrutement de fonctionnaires peut parfois poser problème : il n'est qu'à voir les salaires proposés à des spécialistes dans le secteur privé.

Dans le contexte de contraintes qui s'imposent à nous en matière de finances publiques, d'effectifs et d'élargissement de l'open data, l'IGN doit relever le défi de maintenir un centre national d'expertise en appui des politiques publiques. C'est tout l'enjeu des prochaines années et le défi du projet d'établissement que j'essaye de conduire avec mes équipes et l'appui des ministères de tutelle.

M. Gérard Longuet, rapporteur. - Monsieur Bursaux, je vous ai connu dans plusieurs autres vies, notamment à l'Agence de financement des infrastructures de transport de France (l'AFITF).

L'open data n'est-elle pas pour vous une source d'inquiétude, voire de frustration ? Il vous faut en effet obligatoirement partager ces données avec d'autres acteurs nationaux et internationaux, qui, compte tenu de leur puissance financière, technologique et commerciale, exploitent la valeur ajoutée de votre patrimoine propre, ce trésor que vous détenez et dont vous devriez être les seuls à tirer les bénéfices pour les usagers publics comme privés. Comment vivez-vous cette situation ? Le législateur ne devrait-il pas réexaminer les règles du jeu ?

Nous nous heurtons à la question du recrutement chaque fois que le secteur public - secteur de souveraineté par définition - est confronté au marché de l'emploi, qui est souvent international, notamment dans le domaine de la recherche. Le civisme et la passion du service public et de l'action collective sont-ils un ressort suffisant et durable pour les jeunes chercheurs ?

Mme Martine Filleul. - Vous avez souligné la fragilisation de la récolte des données, puisque l'IGN doit désormais travailler avec d'autres acteurs pour collecter les données, par exemple les collectivités territoriales et les citoyens. Comment organisez-vous la protection de l'ensemble et l'agrégation des données au regard de la multiplicité des sources ?

M. Franck Montaugé, président. - Vous avez évoqué votre activité dans le domaine de l'agriculture et de la PAC. Ces données ont une importance que l'on pourrait qualifier de souveraine pour notre pays. Comment sont-elles stockées et protégées ? Sont-elles diffusées dans le monde entier ? Comment faites-vous pour que notre pays en conserve la maîtrise ?

M. Gérard Longuet, rapporteur. - Cela m'amène à prolonger ma question : que vous inspirent certains partenariats avec les Gafam d'autres ministères en charge de missions de service public ? Trouvez-vous cela acceptable ?

M. Daniel Bursaux. - La tendance à l'open data n'est pas nouvelle. Elle a été initiée par le précédent Gouvernement et reprise par l'actuel. La consigne que j'ai reçue est de mettre en open data l'ensemble des données produites par l'IGN seul d'ici au 1er janvier 2022, avec une licence de réutilisation totalement gratuite. Or la vente de données brutes générait des recettes d'une dizaine de millions d'euros - plutôt cinq millions d'euros ces dernières années. Il y a donc un problème de modèle économique. Comme dirigeant de l'établissement, je suis là pour appliquer les consignes - et il est assez logique de mettre en open data les données que nous produisons. Du coup, nous nous orientons vers la production de données extrêmement spécifiques pour les ministères. Cela modifie notre modèle économique : on ne produit plus de la donnée pour la vendre mais on construit des partenariats avec les ministères et les établissements publics, qui nous permettent d'obtenir des ressources pour pouvoir produire ces données très spécifiques. En matière agricole, par exemple, les données du référentiel parcellaire sont en open data. Chacun peut consulter les îlots agricoles du pays, que nous avons redéfinis et repositionnés. Les grands opérateurs que vous avez cités nous achetaient nos données, ce qui constituait une partie de nos recettes. Il y a donc un vrai sujet, politique. Bien sûr, dès lors qu'ils seront taxés, la question sera différente.

M. Gérard Longuet, rapporteur. - Si en plus ils ne payaient pas d'impôts...

M. Daniel Bursaux. - Je ne porte pas de jugement sur les décisions du Gouvernement. Nous mettrons à disposition gratuitement nos données génériques. Quand nous travaillons pour la direction de la sécurité routière ou pour le ministère de l'agriculture, ou encore quand nous travaillons sur la base de données pour les cours d'eau de l'Agence française pour la biodiversité (AFB), il y a une compensation au fait que nos données soient mises à disposition gratuitement. Ce sont les intérêts des ministères qui commandent au degré de publicité qu'ils veulent donner.

M. Franck Montaugé, président. - En somme, vous retrouvez les recettes que vous avez perdues par l'intermédiaire des partenariats ou des contrats passés avec les ministères.

M. Daniel Bursaux. - Oui, en travaillant sur des commandes ministérielles pour des données extrêmement spécifiques, que les ministères sont prêts à payer. Les données que nous produisons pour le ministère des Armées ne sont pas en open data, et font l'objet d'un contrat d'environ 30 millions d'euros par an, dont la moitié nous revient. Nous continuerons à produire des données gratuites, bien sûr, puisque nous touchons une subvention de service public. Mais notre modèle économique évolue vers des données fabriquées à façon.

M. Franck Montaugé, président. - Peut-on aller à jusqu'à penser que ce nouveau modèle économique coûtera plus cher au contribuable ?

M. Daniel Bursaux. - C'est équivalent. Mais nos données serviront davantage en appui direct aux politiques publiques. Notre production s'oriente vers une plus grande satisfaction des besoins des ministères, des collectivités ou des établissements publics. Jusqu'à présent, elle était plutôt définie par l'IGN elle-même... Les ministères nous disent ce dont ils ont besoin, nous fournissent un cahier des charges, et nous répondons à cette commande.

M. Sylvain Latarget, directeur général adjoint de l'IGN. - Il ne faut pas s'en tenir au périmètre strict de l'établissement. Si nous définissons avec un ministère ou un établissement public un jeu de données dont il a besoin, cela peut coûter un peu plus cher sur le périmètre de l'établissement, mais celui-ci va faire des économies dans son fonctionnement. Investir dans les données numériques, souveraines ou non, est souvent bénéfique. Globalement, cela ne va donc pas coûter plus cher.

M. Franck Montaugé, président. - Cette politique publique de la donnée géographique, nous ne sommes pas encore en mesure de l'évaluer. Pourtant, toute politique publique devrait faire l'objet d'une évaluation.

M. Daniel Bursaux. - Nous avons un marché avec le ministère des Armées, et je peux vous dire qu'ils regardent de près la qualité de l'exécution ! Pour l'agriculture, il y avait en 2014 la menace d'une amende de la Commission européenne de plus d'un milliard d'euros. Notre travail pour justifier le versement des aides a permis à la France d'économiser une bonne partie de cette somme. Avec le ministère de la transition écologique, nous travaillons sur la prévention des risques, nous faisons des levées pour délimiter les cours d'eau et faire des schémas de prévisions de crue. Cela permet au ministère d'affiner ses modèles.

M. Gérard Longuet, rapporteur. - Je suppose que vous êtes aussi prestataire de service pour le ministère de l'environnement.

M. Daniel Bursaux. - Oui, et pour celui des transports.

M. Gérard Longuet, rapporteur. - Achetez-vous des informations sur Spot Image ?

M. Daniel Bursaux. - Nous avons deux modes privilégiés d'acquisition des données de base. D'abord, le mode aéroporté. L'IGN dispose de quatre avions, qui couvrent à peu près l'ensemble du territoire tous les trois ans, et prennent des orthophotos, qui sont des images à haute résolution : environ 20 à 25 centimètres, et jusqu'à 5 centimètres s'il y a une commande précise, qui nous permette de le financer.

M. Gérard Longuet, rapporteur. - Vous avez votre propre outil.

M. Daniel Bursaux. - C'est historique.

M. Gérard Longuet, rapporteur. - Je me rappelle en effet que, quand j'étais étudiant, vous aviez des avions Hurel-Dubois à ailes longues, qui survolaient la France pour photographier le nombre de vaches dans les champs, après les rationnements de la guerre. À présent, ce sont des Beechcraft.

M. Daniel Bursaux. - Ces photos nous permettent de faire directement le travail pour la politique agricole.

M. Gérard Longuet, rapporteur. - Parcelle par parcelle.

M. Daniel Bursaux. - Ilot par îlot. C'est notre moyen d'acquisition historique, qui permet de tomber à des niveaux de précision très forts. Nous utilisons aussi l'image satellitaire.

M. Gérard Longuet, rapporteur. - Là, vous êtes client.

M. Daniel Bursaux. - Oui. Nous utilisons notamment l'image satellitaire pour nos travaux à l'étranger, pour le ministère des Armées. Nous ne sommes d'ailleurs pas directement clients, puisque c'est le ministère qui nous fournit des images à partir desquelles nous travaillons.

M. Gérard Longuet, rapporteur. - Quand vos avions volent, à partir de quel moment la donnée est-elle ouverte ?

M. Daniel Bursaux. - Nos orthophotos ont vocation à être ouvertes d'ici 2022. Plus de la moitié le sont déjà.

M. Gérard Longuet, rapporteur. - C'est du mécénat...

M. Daniel Bursaux. - Pour l'instant, les avions sont le seul outil disponible pour le niveau de résolution dont nous avons besoin.

M. Gérard Longuet, rapporteur. - Et les drones ?

M. Daniel Bursaux. - Ils sont utiles pour photographier des ouvrages linéaires, ou localisés. Mais pour travailler dans un système complètement référencé, c'est plus compliqué. Le satellite a une moins grande résolution : il vole plus haut et les caméras ne sont pas aussi précises - sans parler des nuages. Pour autant, je n'exclus pas que, dans quelques années, avec le progrès des optiques et des satellites, l'image satellitaire finisse par nous permettre de mener quasiment les mêmes travaux. D'ailleurs, il nous est demandé de réfléchir à l'usage de l'image satellitaire pour recaler la politique agricole.

M. Franck Montaugé, président. - En matière agricole, travaillez-vous avec l'Institut national de la recherche agronomique (INRA) ?

M. Daniel Bursaux. - Sur le référentiel, nous travaillons directement avec le ministère de l'Agriculture. Nous travaillons avec l'INRA sur les forêts.

M. Franck Montaugé, président. - Le processus engagé va-t-il simplifier les démarches PAC de déclaration, de suivi et de contrôle  ?

M. Daniel Bursaux. - Oui, c'est le but. Nos travaux sont envoyés par l'ASP aux agriculteurs, qui peuvent les corriger. Le travail est donc déjà préparé et simplifié et les contrôles pourront sans doute être plus ciblés à l'avenir.

M. Franck Montaugé, président. - Vous n'avez pas répondu à ma question sur la maîtrise du stockage des données.

M. Sylvain Latarget. - Sur la question de l'open data, plusieurs textes ont été pris, puis consolidés, qui amènent à présent le Gouvernement à décider de l'ouverture complète de nos données en 2022. Un certain nombre de jeux de données de référence ont été définis, qui ont vocation à être diffusées largement. Le référentiel parcellaire graphique en fait partie, tout comme un certain nombre de jeux de données que nous produisons, comme le référentiel à grande échelle, qui comprend les informations topographiques, altimétriques, ortho-photographiques, et les adresses. Il en va de même du plan cadastral informatisé tenu par la Direction générale des finances publiques (DGFIP). Ces données sont diffusées sur data.gouv.fr. Actuellement, nos données sont sous licence, et nous avons un système d'enregistrement et de diffusion. On peut acheter les données ou, si l'on bénéficie de la gratuité - c'est le cas de l'ensemble de de la sphère publique - se déclarer et obtenir un lien de téléchargement.

Nos données sont hébergées sur des serveurs et archivées. Nous rendons disponibles les données topographiques en J+1, c'est-à-dire dans l'état dans lequel la base était la veille. Elles sont archivées tous les trimestres et elles sont stockées en double, pour les reconstituer en cas de problèmes informatiques ou d'attaques malveillantes. L'ensemble est accessible par Internet, à travers l'écosystème du Géoportail, et peut être soit consulté, donc affiché à l'écran, ce qui est toujours possible quand les données ne sont pas confidentielles, soit utilisé en flux, en récupérant l'information dont on a besoin pour l'utiliser dans un système client, soit enfin téléchargé pour installation sur un site distant. Notre meilleure sécurité est que nos données sont recopiées en plusieurs endroits. Elles sont chez quasiment tous les clients qui les ont téléchargées, notamment.

M. Daniel Bursaux. - Nous sommes également en lien permanent avec l'Agence nationale de sécurité des systèmes d'information (ANSSI).

M. Sylvain Latarget. - Nous n'utilisons pas les data center des Gafam : nous sommes sur un cloud d'État, depuis le 1er janvier dernier. Il s'agit d'un site opéré par le ministère de l'Agriculture, qui s'appelle « Oshimae » (Offre de Service d'Hébergement Interministériel Agriculture Écologie). Auparavant, nous utilisions un hébergement privé.

M. Franck Montaugé, président. - Pourquoi ce changement ?

M. Daniel Bursaux. - Le ministère de l'Agriculture, qui souhaitait développer ce site, nous y a vivement encouragés, tout comme la DINSIC (direction interministérielle du numérique et du système d'information et de communication de l'État). Pour nous, cela présente l'avantage de nous dispenser d'avoir à relancer un appel d'offre tous les six ans. Et être installé sur le réseau interministériel nous rend plus facilement accessibles aux ministères. Pour autant, il n'est pas évident pour le public internet de passer par le site du ministère. Et cela peut créer une surcharge.

M. Sylvain Latarget. - En 2018, par l'infrastructure Géoportail, nous avons diffusé un peu plus de 1000 téraoctets de données... Nous sommes le site gouvernemental qui consomme le plus de bande passante.

M. Gérard Longuet, rapporteur. - L'IGN est-il un EPIC ?

M. Daniel Bursaux. - C'est un EPA, ce qui nous oblige à recruter des fonctionnaires titulaires : nous ne pouvons avoir recours à des contractuels que si nous prouvons qu'il n'y a pas de fonctionnaire compétent pour les fonctions en jeu. Dans les domaines hyperspécialisés, nous avons des difficultés de recrutement : nous ne pouvons pas offrir à des informaticiens les mêmes salaires qu'Airbus... Or nous avons besoin de personnes très compétentes en matière d'intelligence artificielle et de deep learning.

M. Franck Montaugé, président. - N'avez-vous pas recours à la sous-traitance ?

M. Daniel Bursaux. - Si, et nous avons une collaboration avec le Centre d'études et d'expertise sur les risques, l'environnement, la mobilité et l'aménagement (Cerema). Le maintien de la capacité technique est un vrai sujet pour nous.

M. Gérard Longuet, rapporteur. - Avez-vous des exemples d'applications privées issues d'une utilisation judicieuse de vos données ? Les cartes Michelin, peut-être ?

M. Daniel Bursaux. - Michelin a ses propres systèmes de collecte et de cartographie. L'IGN n'est plus seulement le producteur de cartes routières et de randonnée - même si c'est toujours une activité significative, notamment pour les cartes de randonnée, dont nous avons la quasi-exclusivité et dont le marché se maintient bien. Nous avons complètement abandonné la production de cartes urbaines, et la production de cartes routières est également en chute libre.

Nous avons créé il y a quelques années une sorte d'incubateur d'entreprises, hébergeant sur appel à projets des TPE nous ayant présenté des idées qui nous paraissaient intéressantes. L'une d'entre elles s'occupe de cartographie solaire : elle indique l`intérêt à installer du chauffage solaire sur telle ou telle toiture. Elle a pris son autonomie et fait de la cartographie solaire à Nantes et Saint-Mandé. Elle s'appelle In Sun We Trust.

M. Claude Pénicand, délégué à la stratégie de l'IGN. - Cette entreprise s'est placée sur le créneau de l'installation des panneaux solaires en se positionnant sur un critère de confiance, les usagers privés n'ayant pas toujours obtenu les rendements escomptés. Elle ne propose pas d'installation en propre, mais est en lien avec des installateurs. Elle indique à quel coût l'investissement en panneaux solaires sera rentable ou non. Elle mobilise pour cela des données de précision, que l'IGN lui apporte. Comme notre nom figure sur les simulations, cela inspire confiance au consommateur.

Dans le domaine forestier, une application identifie dans nos données les endroits où la prospection forestière serait la plus intéressante, et propose aux particuliers de mettre à disposition leurs forêts, en se chargeant de trouver un exploitant pour valoriser leurs ressources forestières.

Une société, enfin, travaille sur les risques d'inondations, notamment pour le ministère. Nous avons travaillé avec elle sur les modèles de prévision à partir de modèles numériques de terrain.

M. Franck Montaugé, président. - Intervenez-vous pour Galiléo ?

M. Sylvain Latarget. - Galiléo ne fait pas d'images, il émet des signaux pour faire des calculs de position. Nous avions été associés à sa conception, et participons aujourd'hui au calcul des orbites précises des satellites, ce qui permet, en en temps légèrement différé, des mesures extrêmement fines. Une précision d'un mètre est facile à obtenir pour un GPS. Mais pour un positionnement plus précis, il faut un calcul en temps différé intégrant l'orbite exacte du positionnement du satellite - que nous fournissons gracieusement. Le véhicule autonome, notamment, aura besoin de mieux qu'un mètre de précision pour se positionner. Nous travaillons à un système de PPP (positionnement ponctuel précis) qui permettra, à partir de la position instantanée - à quelques décimètres près - et de la connaissance - quelques minutes voire quelques secondes avant - du positionnement précis, d'interpoler la position où devrait être à peu près le satellite pour obtenir une précision d'une dizaine de centimètres - afin que deux véhicules n'entrent pas en collision !

Nous intervenons comme experts techniques sur les modèles mathématiques, sur les systèmes de référence, sur les processus de calcul et sur le positionnement des points, y compris pour les géomètres. Le réseau ancien de bornes a été complètement dématérialisé et remplacé par des stations qui sont pour certaines opérées par nous mais, pour la grande majorité, sont opérées par des tiers, intégrés dans un réseau global national, ce qui nous permet d'offrir des prestations de qualité et entièrement gratuites.

M. Daniel Bursaux. - L'intégration de données non produites par l'IGN est un vrai changement de pratique, qui est en cours. Nous avons des tiers de confiance : quand une grande métropole ou une région produit des données, nous n'avons pas de raison de penser qu'elles sont de moins bonne qualité que celle de l'IGN. La question est dès lors de voir comment intégrer ces données dans nos bases, et comment vérifier qu'elles correspondent à nos spécifications. Pour les adresses, par exemple, nous avons mis en place un guichet sur lequel les mairies peuvent procéder directement à des mises à jour : nous n'avons pas de raison de penser qu'elles le font moins bien qu'un agent de l'IGN. La mutualisation, avec des tiers de confiance, évite que la saisie des données soit faite deux ou trois fois. Nous réfléchissons aussi à intégrer des citoyens dans le processus.

M. Franck Montaugé, président. - Merci.

Audition de Mme Marie-Laure Denis, présidente de la CNIL, et de MM. Gwendal Le Grand, secrétaire général adjoint, et Mathias Moulin, Directeur de la Direction de la protection des droits et des sanctions

M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de Madame Marie-Laure Denis, présidente de la Commission Nationale de l'Informatique et des Libertés (CNIL). Elle est accompagnée par Messieurs Gwendal Le Grand, secrétaire général adjoint, et Mathias Moulin, Directeur de la Direction de la protection des droits et des sanctions.

Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Marie-Laure Denis, M. Gwendal Le Grand, et M. Mathias Moulin prêtent successivement serment.

M. Franck Montaugé, président. -. -Mes chers collègues, à titre liminaire je souhaite vous rappeler que la CNIL est une autorité administrative indépendante dotée de pouvoirs d'enquête et de sanction. À ce titre, nous aurons bien sûr plusieurs questions importantes à poser à Madame Denis et à ses collaborateurs. Néanmoins, il va de soi qu'aucune de nos questions ne devra les amener à révéler les cibles précises de futures enquêtes de la CNIL ou à fragiliser des enquêtes en cours en révélant des éléments qui porteraient atteinte à l'équité et à l'intégrité de ces procédures.

Madame Denis, vous avez été nommée il y a six mois présidente de la CNIL. Cette autorité administrative indépendante bien connue est en charge, depuis 1978, de la protection des données à caractère personnel. Son champ de compétences est devenu particulièrement vaste en 40 ans, tant les traitements automatisés de données sont courants aujourd'hui. De véritables géants du numérique ont émergé ; par ailleurs, les GAFAM, les plateformes et les usages se sont complexifiés algorithmes, du profilage, du big data, de l'intelligence artificielle, etc.

Le cadre juridique dans lequel le régulateur exerce ses missions a lui aussi profondément évolué avec, en dernier lieu, l'entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD).

Pourriez-vous commencer par nous présenter le cadre général de votre action, vos moyens et les défis que pose cette régulation. Le RGPD a justement été pensé dès l'origine comme un outil de régulation à la hauteur des enjeux de souveraineté numérique, quel bilan dressez-vous de sa première année d'application ?

Mme Marie-Laure Denis, présidente de la CNIL. -. Nous sommes reconnaissants au Sénat d'associer la CNIL à ses travaux sur ce sujet éminemment important. Le foisonnement des innovations a envahi l'ensemble des espaces de la vie quotidienne et publique, mais aussi de la vie privée. Les systèmes d'échanges instantanés bousculent les frontières de ces différents domaines en raison de la vitesse à laquelle circulent les informations.

Dans ce contexte, la souveraineté doit être repensée pour deux raisons.

Tout d'abord, la capacité des États à faire appliquer leurs règles est remise en cause, celles-ci étant plus difficile à ancrer que dans des territoires physiques ; le monde numérique dessine ainsi un vaste territoire au sein duquel les données constituent un élément essentiel par leur collecte, leur croisement, leur enrichissement, leur transfert et leur valorisation. Si certains comparent souvent les données au pétrole de l'économie numérique, je préfère pour ma part utiliser l'image du terreau, plus représentative de leur rôle.

Ensuite, le monde numérique fait interagir plusieurs acteurs qui se comportent différemment des modèles classiques. En nous offrant diverses solutions technologiques, ils ont acquis une puissance inédite sur le plan économique. Cette situation pourrait nous conduire à subir des choix d'organisation sociale, imposés par ces acteurs à notre insu et en dehors de tout cadre démocratique.

L'État, dans toutes ces facettes - expert, stratège, législateur - se trouve donc confronté à plusieurs défis majeurs. L'intervention de la puissance publique doit être repensée autour de leviers forts. Bien que les autorités nationales et européennes disposent de pouvoirs étendus dans le secteur du droit de la concurrence, d'autres cadres doivent être posés dans les domaines de la fiscalité, du droit d'auteur et de la régulation des contenus. Pour ma part, j'aimerais qu'un aspect soit davantage exploré par le législateur, celui de la démultiplication de l'exposition de soi.

Vous m'avez interrogée au sujet du bilan de la CNIL à la suite de l'entrée en vigueur du RGPD. Nous constatons que l'ensemble des publics et des secteurs économiques est concerné par la tendance à vouloir s'approprier ses droits. Ainsi, nous avons relevé plus de huit millions de visiteurs sur notre site internet. Près de 17 000 requêtes électroniques ont été reçues. Notre rubrique questions - réponses a été consultée presque 300 000 fois. Nous avons reçu 200 000 appels téléphoniques.

L'ampleur de ces chiffres démontre à quel point les citoyens recherchent l'information au sujet de leurs droits. Cette tendance va de pair avec la volonté de mieux défendre ses droits en maîtrisant l'utilisation de ses données personnelles. Le nombre de plaintes entre le 25 mai 2018, date de l'entrée en vigueur du RGPD, et le 25 mai 2019, s'élève à 12 500, ce qui dénote une hausse de 42 % par rapport à l'année précédente. Un tiers d'entre elles concerne la diffusion des données personnelles sur internet. Notre bilan au sujet des données personnelles est un enjeu de la souveraineté numérique. La CNIL se doit donc d'être en capacité de répondre aux attentes des citoyens.

Nous partageons généralement bien volontiers nos données privées sur les réseaux sociaux ou les blogs. Or, énormément de personnes s'émeuvent de ce que leurs données soient mises en ligne à leur insu. À l'heure actuelle, les données personnelles dont certaines touchent aux aspects les plus intimes de l'individu, circulent dans des proportions inédites. Le numérique a changé les usages, les pratiques, mais aussi les risques et les enjeux présents dans l'ensemble de la société.

Pour conserver notre souveraineté numérique, nous devons garder comme objectif la préservation de notre autonomie décisionnelle sur le traitement de nos données personnelles, c'est un principe cardinal du RGPD. Outre cet aspect individuel, la protection des données a évidemment une dimension collective : il s'agit de protéger notre contrat social et de défendre notre modèle humaniste et notre conception des droits et libertés.

Le RGPD a instauré un cadre juridique ambitieux et puissant. Il a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent en tant que tel. Il repose sur un cadre juridique novateur qui prévoit, grande nouveauté, une application extraterritoriale même à l'égard des entreprises qui ne disposent pas d'un établissement en Europe dès lors que ce sont les données personnelles d'un Européen qui sont ciblées. L'ensemble du système utilise la notion de risque : les responsabilités varient en fonction du risque représenté par le traitement - volume, sensibilité des données - et les grands acteurs sont donc appelés à être soumis à des obligations particulières.

Le montant des sanctions pécuniaires change d'échelle avec le RGPD : une condamnation peut aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. De plus, elle peut être rendue publique, comme l'a fait la CNIL en janvier dernier contre Google, pour un montant de 50 millions d'euros. Les plaintes engagées en vertu du RGPD peuvent désormais être collectives et c'est sur cette base que la société civile a engagé quelques actions à l'encontre des GAFA.

Un droit nouveau à la portabilité des données est consacré par le RGPD il doit permettre aux petits acteurs économiques de défier plus facilement les grands, en attirant les clients qui peuvent ainsi leur apporter leurs données, diminuant ainsi le pouvoir de captation des grandes plateformes. À l'occasion hier, d'un colloque organisé à Bruxelles sur la régulation numérique auquel participait le président de l'autorité de la concurrence allemande, j'ai été frappée de constater que le droit à la portabilité des données était évoqué comme un levier d'action essentiel.

En outre, le RGPD a introduit un nouveau modèle de gouvernance de la régulation, jusqu'alors inédit au niveau européen : intégré et décentralisé Ainsi, si un traitement de données concerne des individus dans plusieurs États membres, chaque autorité doit agir de concert avec les autres - c'est un mécanisme de guichet unique - pour adopter une décision applicable dans l'ensemble de l'Union européenne. Pour permettre cette coopération, un nouvel organe européen de régulation a notamment été créé, le Comité Européen de Protection des Données (CEPD).

Par ses lignes directrices, le CEPD garantit la cohérence et assure la pédagogie des principes du droit européen de la protection des données. Le CEPD adopte des décisions structurantes visant à répartir les rôles entre les différentes autorités : il distribue ainsi les rôles dans l'instruction des plaintes de dimension transnationale, et c'est lui qui peut être amené à déterminer quelle autorité sera la chef de file pour une action donnée. Le système mis en place repose donc sur les deux principes essentiels que sont la coopération et la cohérence, permettant de combattre toute volonté d'évitement ou de « forum shopping ».

Bien que le RGPD soit rentré en vigueur il y a plus d'un an, il reste très présent dans les agendas politiques et médiatiques. Au sein de l'Union européenne et au-delà, cette tendance est assez inédite. Le RGPD a su rayonner au niveau mondial en proposant une approche nouvelle. D'autres standards sont à l'oeuvre au niveau mondial, ne l'oublions pas, et une véritable diplomatie de la protection des données mérite d'être engagée pour défendre ces valeurs. Certains États ont mis à jour leurs législations pour se rapprocher de nos standards, comme le Japon, la Corée du Sud, le Bénin, l'Australie. On peut également citer les processus en cours en Tunisie, en Suisse ou le Burkina Faso. D'autres ont adopté, pour la première fois, un cadre comparable au RGPD comme la Californie - dont la loi doit entrer en vigueur en janvier prochain et nourrit même des réflexions pour un texte de portée fédérale ou le Brésil, qui a adopté une telle loi en 2019. Les outils de transfert prévu par le RGPD - et en particulier les décisions d'adéquation par lesquelles la Commission peut les autoriser vers des pays tiers - ont contribué à une élévation internationale générale des standards de protection de la vie privée.

J'insiste : l'Europe ne s'est pas enfermée dans une forteresse avec le RGPD, cadre juridique ouvert qui continue bien sûr à permettre la libre circulation des données. J'ai d'ailleurs été frappée de voir que le G20 organisé à Osaka consacrait un paragraphe entier à la protection des données et au principe du « data free flow with trust », la libre circulation dans la confiance.

Il est important de défendre nos outils de régulation et nos standards en parallèle aux négociations commerciales internationales - ; la protection des données ne saurait être intégrée au sein des accords commerciaux conclus par l'Union européenne, un consensus existe sur ce point.

L'application effective du nouveau cadre européen de protection des données permettra également de renforcer notre résilience et notre cybersécurité en Europe, et donc d'affronter les dérives liées aux stratégies de désinformation - qui reposent sur l'exploitation des données et le ciblage des individus - ainsi qu'aux menaces portées contre l'intégrité de nos processus électoraux. Dans ce contexte, le RGPD n'apporte qu'une partie des réponses. Toutefois, c'est du succès de son application que dépendra la réussite de ces enjeux.

Il est également question de souveraineté numérique avec l'accès transfrontalier aux données dans le cadre d'enquête de police ou de procédures judiciaires. Nous discutons ainsi en ce moment avec nos homologues de l'impact du Cloud Act. Cette loi américaine adoptée récemment permet aux autorités américaines un accès direct, en dehors des accords de coopération judiciaire, aux données stockées en dehors des États-Unis, et donc y compris en Europe. La commission européenne a présenté une proposition de règlement en matière d'accès aux preuves électroniques actuellement en discussion. Nous devons certes être en mesure d'apporter des réponses concrètes à des problématiques juridiques pour garantir une certaine efficacité aux enquêtes, mais pas au détriment de la protection de la vie privée des individus.

Pour conclure, je tiens à rappeler que la CNIL a vocation à contribuer à une stratégie globale visant à assurer la souveraineté numérique tant au plan national qu'européen. Tout en restant dans le cadre de ses prérogatives réglementaires, elle se tient à la disposition des pouvoirs publics et des citoyens pour atteindre cet objectif. Pour autant, je ne peux que constater à quel point les ressources dont dispose la CNIL sont inadaptées au regard de l'ampleur des enjeux qui se dressent face à elle.

M. Gérard Longuet, rapporteur. - Je vous remercie, et je tiens tout d'abord à saluer l'ensemble de votre équipe et à souligner la qualité du travail accompli au sein de la CNIL. Cette autorité administrative a su s'imposer au fil des années comme un acteur essentiel.

Vous avez évoqué un manque de ressources. Quelles sont vos attentes en la matière ?

Mme Marie-Laure Denis. - La CNIL rassemble 200 agents. Nous serons 215 en fin d'année, ce qui démontre que les pouvoirs publics sont conscients de la nécessité de renforcer les moyens humains. Pour autant, nous sommes largement en deçà des ressources dont disposent nos homologues européens. Eu égard au nombre d'habitants, nous avons le troisième plus mauvais ratio citoyens/agents de l'Union européenne.

La Grande-Bretagne, qui a une population et un périmètre de régulation comparables, disposera de 900 agents en 2020. Alors que nous avons 20 contrôleurs, la Grande-Bretagne en a 160. Les Britanniques disposent ainsi d'une force de frappe bien plus importante que la nôtre lorsqu'elle est confrontée à une affaire complexe.

De notre côté, nos faibles moyens ne nous permettent pas d'assurer de manière satisfaisante les nouvelles missions confiées par le RGPD. Par exemple, alors même qu'il s'agit d'un enjeu important de cybersécurité, nous recevons sept notifications de failles ou de violations de données par jour - sans pour autant disposer de moyens supplémentaires pour prendre en charge cette nouvelle compétence.

Nous avons démontré notre volonté constante d'accompagner les pouvoirs publics. À ce titre, nous avons rendu 120 avis l'an dernier sur des projets de lois ou décrets et nous avons été auditionnés 30 fois au Parlement. L'accompagnement des entreprises suppose des conseils et des approches spécifiques. Notre présence au niveau européen est essentielle pour porter les valeurs et les points de vue défendus par la France au sein des organes de coopération ou de négociation... Toutes ces missions impliquent de disposer de moyens.

M. Gérard Longuet, rapporteur. - Et par rapport à l'Allemagne ?

Mme Marie-Laure Denis. -L'Allemagne dispose de 700 agents, 250 pour l'autorité fédérale, pour une population de 82 millions d'habitants ; En Pologne, c'est 250 agents pour 37 millions d'habitants soit près de 20 % de plus que la CNIL ! Aux Pays-Bas, 138 agents pour 17 millions d'habitants...

Selon moi, le problème n'est pas le budget, mais bien l'effectif dont dispose la CNIL pour faire face à ses missions, d'autant plus que nous nous devons d'assurer un rôle de pédagogie sur ces sujets auprès du grand public. Il est notamment nécessaire d'envoyer les agents de la CNIL sur le terrain pour faire de l'éducation au numérique, dans les écoles ou les entreprises. Pour mener à bien toutes ces actions, un effectif adapté s'impose.

M. Gérard Longuet, rapporteur. - Vous avez évoqué vos contacts avec les différents acteurs du terrain. Comment les entreprises réagissent-elles face aux obligations découlant du RGPD ? Il me semble que la situation est assez paradoxale : les acteurs les plus puissants sont sans doute les mieux équipés pour répondre à ces obligations. À l'inverse, ceux pour lesquels l'espace numérique est une nouveauté semblent plus en difficulté pour s'adapter à ce cadre.

Comment ressentez-vous les efforts réalisés par les professionnels suite à l'entrée en vigueur du RGPD ? Les organisations professionnelles vous interrogent-elles à ce sujet ?

Par ailleurs, nous avons tous pris l'habitude de cliquer sur « j'accepte » pour la collecte de nos données. Avez-vous des retours d'usagers sur l'évolution des conditions d'octroi du consentement ? N'assistons-nous pas à une forme de standardisation des comportements ?

Mme Marie-Laure Denis. - Notre mission consistant à la fois à accompagner et à sanctionner le cas échéant, cela peut compliquer quelque peu nos rapports avec les entreprises. Celles-ci doivent fournir, c'est vrai, des efforts importants de gouvernance à la suite du RGPD, tant les enjeux juridiques, informatiques, stratégiques voire de réputation sont importants désormais. Pour autant, vous l'avez rappelé, la CNIL a 41 ans. La loi Informatique et Libertés de 1978 portait depuis l'origine des obligations comparables à celles issues du RGPD. Ce règlement n'a donc fait que renforcer ces obligations déjà à la charge des entreprises.

Dans ce cadre nouveau, la CNIL accompagne les entreprises. À cette fin, nous avons mis en place un logiciel en open source, téléchargeable sur notre site. À ce jour, il a été téléchargé 300 000 fois. Initialement disponible dans seulement deux langues, il est actuellement proposé dans dix-neuf langues différentes.

De même, seules les grandes entreprises sont concernées par l'obligation de nommer un délégué à la protection des données. Pour accompagner ce nouveau rôle, nous avons mis en ligne un MOOC (massive open on line courses, c'est-à-dire un cours gratuit en ligne) qui permet de cadrer les missions inhérentes à cette nouvelle fonction.

Notre approche à l'égard des petites entreprises est différente. En effet, nous leur demandons simplement de respecter des obligations de bon sens - registre des traitements, règles de sécurité informatique, etc. Nous avons élaboré un guide à destination des TPE et des PME, et préparons le même type outil pour les collectivités territoriales.

En somme, les retours sont différents en fonction de la taille des entreprises. Dans tous les cas, nous ne devons pas surestimer les coûts induits par le RGPD. Ils sont liés à l'échelle des entreprises.

M. Franck Montaugé. - Si je comprends bien, certaines entreprises n'ont pas du tout été affectées par la mise en place du RGPD.

Mme Marie-Laure Denis. - Je ne voudrais pas minimiser l'impact de cette réglementation parfois perçue comme nouvelle. Pour autant, nous mettons en oeuvre tous les moyens nécessaires afin d'accompagner les entreprises. Bien sûr, nous ne pouvons pas mener un suivi individuel, mais notre site internet regroupe toutes les informations utiles pour se mettre en conformité avec le RGPD.

Concernant les règles de recueil du consentement sur les sites internet, le clic de l'internaute visant à accepter la collecte de ses données doit être relié à la notion de « cookie »s. Ces traceurs ont pour objectif de cibler au mieux l'individu principalement au niveau publicitaire. Le collège de la CNIL a pris ce sujet bras le corps : nous avons décidé de mener un cycle d'auditions au sein de la CNIL avec consultation de l'ensemble des instances professionnelles et des acteurs de la société civile pour rappeler l'état du droit positif en matière de traceurs et élaborer des recommandations claires au sujet des modalités de recueil du consentement de l'internaute. Ce que nous appelons la « fatigue du consentement » est en effet un véritable sujet de réflexion.

M. Gérard Longuet, rapporteur. - La CNIL s'est notamment illustrée par la sanction spectaculaire infligée à Google. Pouvez-vous évoquer cette affaire ?

Mme Marie-Laure Denis. - Cette affaire a été traitée avant que je ne prenne mes fonctions. Elle concernait le sujet spécifique de la création de comptes sur Android. La CNIL, dans sa formation restreinte, à laquelle n'appartient pas la Présidente, a décidé d'une sanction de 50 millions d'euros aux motifs du défaut d'information de l'utilisateur. En effet, pour parvenir à obtenir les informations concernant la collecte et le traitement des données, il fallait effectuer six opérations préalables, ce qui est excessif. Je précise que Google conteste cette sanction, l'entreprise - qui a payé l'amende - a par la suite décidé de déposer un recours encore pendant devant le Conseil d'État.

M. Mathias Moulin, Directeur de la Direction de la protection des droits et des sanctions. -S'agissant du cadre de la sanction infligée à Google, je tiens à préciser qu'elle a été décidée en application du RGPD mais en dehors de la procédure dite du « guichet unique », puisque Google ne disposait pas d'établissement dans l'Union européenne à l'époque de l'action -l'établissement en Irlande n'ayant pas, selon la formation restreinte, de pouvoir d'action sur les traitements de données personnelles. Cette question de compétence a fait l'objet de nombreuses discussions et c'est d'ailleurs l'un des arguments portés par Google dans le cadre de son recours auprès du Conseil d'État.

Nos enquêtes se sont concentrées sur les conditions générales d'utilisation et la politique de confidentialité et nous avons considéré que le consentement ne pouvait pas être valablement recueilli dans ce contexte. Les personnes étaient également insuffisamment ou mal informées, notamment sur les durées de conservation, par conséquent leur consentement n'était pas éclairé.

Au vu de l'ampleur des données traitées, plusieurs millions par minute, l'enjeu en matière de vie privée est essentiel. De ce fait, la formation restreinte de la CNIL s'est prononcée en faveur d'une sanction de 50 millions d'euros, rendue publique.

Je précise que nous avions été saisis par des plaintes collectives portées par les associations La Quadrature du Net, qui rassemblait les réclamations de plus de 10 000 personnes, et None Of Your Business, associations créée par Max Schrems.

Mme Marie-Laure Denis. - A ce jour, nous sommes saisis de sept plaintes collectives sur le fondement du RGPD depuis son entrée en vigueur.

M. Mathias Moulin. -Cette procédure permet de démultiplier notre action.

M. Gérard Longuet. - Madame Denis, vous êtes une juriste éminente et expérimentée. A ce titre, comment appréhendez-vous la coexistence entre le Cloud Act et du RGPD ? Quid du rapport Gauvain ? Pensez-vous qu'il soit possible d'interdire aux entreprises françaises de transmettre des données aux autorités américaines ? Il s'agirait d'une attitude de résistance difficile à tenir...

Le RGPD adopte une approche plus subtile en utilisant le critère de la nationalité de la personne ciblée par l'atteinte à ses données.

Mme Marie-Laure Denis. - L'articulation entre ces différentes dispositions est un sujet très intéressant. Il relève en réalité d'un conflit de lois. Je rappelle que le Cloud Act découle d'une affaire pendante devant la Cour suprême qui avait opposé le gouvernement américain à Microsoft.

Le Cloud Act permet aux autorités américaines, dans le cadre d'une enquête judiciaire, d'exiger des hébergeurs une transmission des données stockées sans passer par les procédures classiques de coopération judiciaire. Les Américains estiment que ce principe accroît l'efficacité des procédures.

Toutefois, les dispositions issues du Cloud Act sont en contradiction directe avec l'article 48 du RGPD qui interdit toute transmission des données aux autorités d'un pays tiers sans un cadre juridique clair.

Le CEPD a adopté ce matin même une position à ce sujet : répondant à une demande d'avis de la commission libertés civiles et justice du Parlement européen, il a réaffirmé la pleine application de l'article 48 du RGPD qui protège les données personnelles contre les transferts ou divulgations non autorisées par le droit de l'Union. En l'absence de traité international, si une demande des autorités américaines visait à obtenir des entreprises européennes la transmission de données sur la base du Cloud Act, elle serait donc illicite au vu du RGPD. Les entreprises ne peuvent se prévaloir pour ce traitement du fondement tiré de l' « intérêt légitime », la seule exception envisageable étant celle destinée à prévenir la survenue d'une menace grave pour l'intérêt vital de la personne concernée.

Dans ce cadre, vous constatez que le RGPD fournit effectivement les moyens d'assurer notre protection - celle des personnes et les intérêts de nos entreprises.- et de préserver notre souveraineté numérique européenne.

La Commission européenne a reçu un mandat pour négocier un traité avec les États-Unis visant à apporter la garantie du respect des droits des personnes. J'ignore quelle sera la forme de ce traité. D'après ce que j'ai entendu, plusieurs hypothèses sont envisageables : peut-être un traité cadre et des accords spécifiques bilatéraux. Dans tous les cas, la position du CEPD est très claire à ce sujet, puisqu'il affirme nettement que l'article 48 du RGPD est pleinement applicable en l'espèce.

Le rapport Gauvain sur la protection des entreprises contre les sanctions américaines a été remis au Premier ministre le 26 juin 2019. Il traite davantage des données non personnelles, c'est-à-dire celles qui ne permettent pas d'identifier des personnes physiques. Il me semble que les sanctions proposées pourraient être appliquées par une autre autorité administrative indépendante que la CNIL. Je n'ai pas d'opinion personnelle à émettre sur ce sujet, si ce n'est que je me réjouis que le RGPD fasse des émules.

M. Franck Montaugé. - Le point soulevé par le rapporteur mérite d'être élargi. Les propositions envisagées par le rapport Gauvain pourraient-elles permettre de rétablir l'équilibre des forces dans le contexte du Cloud Act ? Les préconisations du rapport pourraient-elles nous faire gagner en souveraineté ?

De manière plus générale, quelles seraient vos propositions pour trouver des axes d'amélioration au sujet de la protection de nos libertés individuelles ?

Mme Marie-Laure Denis. - Cette initiative est intéressante car elle présente au moins le mérite de traiter un vrai sujet, celui des entreprises françaises confrontées à des législations étrangères. J'ai pu constater, lors de mes déplacements, à quel point les entreprises américaines étaient intéressées par l'affirmation européenne d'une législation extraterritoriale. Lorsque nous allons en Asie, nous ne pouvons qu'observer les modèles concurrents.

Le modèle américain repose avant tout sur la protection des consommateurs. En Europe, nous prenons le parti de protéger les individus en tant que tels, ne négligeons pas les stratégies d'influence.

Vous m'interrogez sur des modifications législatives souhaitables. Très modestement, il me semble qu'en matière de protection des données, la législation a évolué de manière substantielle récemment avec deux décrets, une réforme de la loi Informatique et Libertés et une ordonnance. Laissons le temps aux entreprises d'intégrer ces évolutions avant d'en envisager d'autres.

M. Gwendal Le Grand, secrétaire général adjoint. - La définition des données à caractère personnel retenue par le RGPD dans son article 4 est très large. Il s'agit de « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Son interprétation permet d'englober énormément d'informations détenues par les entreprises.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Audition de Mme Isabelle de Silva, présidente de l'Autorité de la concurrence, de M. Roch-Olivier Maistre, président du CSA et de M. Sébastien Soriano, président de l'Arcep

M. Franck Montaugé. - Mes chers collègues. Notre commission d'enquête consacrée à la souveraineté numérique poursuit ses travaux avec l'audition de Mme Isabelle de Silva, présidente de l'Autorité de la concurrence, M. Roch-Olivier Maistre, président du Conseil Supérieur de l'Audiovisuel (CSA) et M. Sébastien Soriano, président de l'Autorité de Régulation des Communications Électroniques et des Postes (Arcep).

Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Isabelle de Silva, M. Roch-Olivier Maistre et M. Sébastien Soriano prêtent serment.

M. Franck Montaugé. -Nous vous recevons en tant que présidents des autorités administratives indépendantes que vous représentez.

Mme de Silva, vous présidez l'Autorité de la concurrence, autorité transversale qui a la charge de s'assurer du bon fonctionnement de l'ensemble du marché français au regard des pratiques anticoncurrentielles et des concentrations. MM. Maistre et Soriano, vous présidez deux autorités de régulation dites sectorielles. Il s'agit pour M. Maistre du secteur audiovisuel que le CSA à la charge de superviser et pour Monsieur Soriano du secteur des télécoms et des postes avec l'Arcep.

Vos autorités sont toutes les trois confrontées aux géants du numérique et aux difficultés de réguler l'espace numérique. Si certaines questions vous sont propres, d'autres vous sont communes. C'est sur celles-ci que nous aimerions vous entendre dans un premier temps à la lumière de vos expériences respectives.

Estimez-vous que la régulation des acteurs du numérique est aujourd'hui suffisante en France ? Disposez-vous de moyens humains et techniques suffisants pour remplir vos missions dans le monde du numérique ? Faut-il créer un cadre général applicable aux acteurs systémiques de l'internet et dont l'application serait assurée par un seul régulateur ?

Mme Isabelle de Silva. -Nous vivons actuellement dans une période riche en défis pour l'ensemble des régulateurs. Il s'agit pour nous de la même révolution que traversent les entreprises. Face à cela, il me semble que nous disposons des moyens de réponse adaptés pour y faire face. Je me limiterai à évoquer les outils de la concurrence, qui se sont avérés très plastiques et efficaces.

Sur ce sujet, la France se situe à la pointe de ce qui existe. Malgré cela, il reste encore à renforcer ces outils dans le monde du numérique. En début d'année, nous avons pris des mesures conservatoires à l'encontre de Google dans le cadre de la problématique du déréférencement dont avait été victime une PME française. Cet outil s'avère très utile car il permet une intervention rapide pour mettre un terme à des pratiques nuisibles.

Un autre pan d'action important se retrouve au niveau européen. La Commission européenne mène une action très encourageante qui démontre sa volonté d'affirmer avec rigueur la force du droit de la concurrence. J'aimerais notamment évoquer trois affaires concernant Google dans lesquelles la Commission européenne est intervenue.

L'affaire Google Shopping a donné lieu à une sanction de 2,4 milliards d'euros. Dans sa décision, la Commission prend acte de la position dominante de Google dans le marché de la recherche en ligne. La sanction est liée à l'abus dans le changement intempestif des règles du jeu au niveau du volet Google Shopping. Cela rappelle à quel point une entreprise dominante est soumise à des obligations particulières du fait de cette position.

L'affaire Google Adsense s'est conclue par une sanction de 1,25 milliard d'euros en raison de clauses anticoncurrentielles relevées dans les contrats, ce qui aboutissait au maintien de la position dominante de Google dans le marché de la publicité associée à la recherche en ligne.

L'affaire Google Android a enfin débouché sur une sanction de 4,3 milliards d'euros. La Commission a répertorié l'ensemble des actions et clauses contractuelles qui visaient à préserver la position de Google sur les terminaux équipés du système d'exploitation Android.

L'application du droit de la concurrence est un outil qui doit encore être mobilisé. Face aux problématiques qui découlent de l'utilisation des données, notre interprétation de ce droit doit être plus innovante que par le passé. À cet égard, la décision prise par l'équivalent allemand de l'Autorité de la concurrence peut être citée. Elle a abouti à la condamnation de Facebook pour une utilisation disproportionnée des données des utilisateurs, qui excédait ce qui est nécessaire au bon fonctionnement du réseau social. La captation illégitime des données peut donc être sanctionnée, comme nous le démontre cette décision.

Il me semble nécessaire de renforcer les moyens de notre coopération, tant aux niveaux nationaux qu'à l'échelle européenne. Dans cette lutte, nous disposons d'un atout majeur avec le réseau européen de concurrence, lequel permet une action et un traitement coordonnés des affaires par les autorités nationales de régulation et la Commission européenne. La réussite de ces coopérations implique également d'approcher les affaires de manière convergente.

Parmi nos pistes d'amélioration, je citerai le manque de moyens humains pour nos investigations. Au sein de l'Autorité de la concurrence, nous sommes 400 personnes. Ce nombre est insuffisant pour traiter des dossiers éminemment complexes. En Allemagne, les moyens sont 50 % plus importants que les nôtres, et le Royaume-Uni dispose du double de personnes.

Les dossiers sont très délicats, mêlant des sujets d'ordre stratégique ou technique. Ils requièrent des compétences élevées de la part des rapporteurs. Je rappelle également que les entreprises impliquées disposent quant à elles de moyens colossaux et sont accompagnées par des conseils nombreux. Face à cette situation, l'État doit renforcer ses autorités de régulation, en leur octroyant plus de moyens humains et techniques.

Par ailleurs, je tiens à aborder les adaptations législatives récentes. Une directive adoptée en début d'année 2019 tend à renforcer les autorités nationales chargées du droit de la concurrence en leur donnant la possibilité d'utiliser des mesures conservatoires. Les régulateurs pourront décider de ce type de mesures sans même être saisis par une entreprise. Ils pourront ainsi agir sans attendre une saisine, qui parfois n'arrive jamais tant les victimes d'actes anticoncurrentiels craignent de l'engager.

Parmi les évolutions souhaitables, il faudrait renforcer de façon énergique le contrôle des concentrations. Pour que le marché reste concurrentiel, nous devons accroître notre niveau d'exigence actuel. Les acquisitions réalisées par Google et Facebook limitent fortement la concurrence dans le marché du numérique. Ainsi, lorsque Facebook a racheté Instagram et Whatsapp, il a pu contrôler trois ensembles de services très prisés des utilisateurs. À ce jour, il est donc très difficile d'envisager l'émergence d'un concurrent sur ce secteur. Autoriser ces concentrations sans imposer de contreparties a peut-être été une erreur. Il nous faut donc être plus exigeants.

Or, certaines opérations de rachat, notamment par les géants du numérique comme Google - qui a racheté près de 400 entreprises ces dernières années -, restent en dehors du champ d'application du contrôle tel qu'il est actuellement défini. Nous proposons donc de compléter la loi française pour les entreprises du numérique, en abaissant les seuils de chiffre d'affaires impliquant l'obtention d'une autorisation. Parfois, c'est au moment d'une concentration que le marché se fossilise. Ce serait donc une manière pertinente d'assurer leurs pleins effets aux outils du droit de la concurrence.

Enfin, nous assistons à l'émergence de nouveaux outils de régulation, qui impliquent dans certains cas d'adopter un modèle de régulation ex ante, complémentaire aux outils traditionnels qui interviennent plutôt a posteriori. Serait-il intéressant de disposer de règles dont l'application serait limitée à certains acteurs considérés comme dominants ? Le rapport établi par Jason Furman au Royaume-Uni et celui commandité par Margrethe Vestager pour la Commission européenne ont abordé ces questions ; ils ont émis des propositions en ce sens. De notre côté, nous réfléchissons à l'intérêt que ce type d'outil pourrait avoir dans notre activité.

M. Roch-Olivier Maistre. - Ces débats font écho à l'audition conjointe avec Sharon White, Directrice générale de l'Ofcom, autorité de régulation des médias britannique, organisée hier par Catherine Morin-Desailly. Cela illustre parfaitement à quel point les enjeux du numérique sont présents dans notre réflexion.

Nos diverses discussions démontrent notamment combien la coopération entre les différents régulateurs doit être renforcée. En effet, nous sommes confrontés aux mêmes interlocuteurs et nos actions communes se traduisent par plusieurs travaux. Je citerai l'étude conjointe élaborée par le CSA, l'Hadopi, l'Arcep et l'Autorité de la concurrence à propos des assistants vocaux et des enceintes connectées, ainsi que la note commune sur la régulation par la donnée établie par le CSA, l'Arcep, l'Autorité de la concurrence et d'autres autorités administratives indépendantes.

En tant que régulateur sectoriel, nous sommes pleinement concernés par la transition numérique. En effet, nous assistons au développement de nouveaux opérateurs dotés d'une puissance technologique et financière inédite avec l'irruption des plateformes de type Netflix, Amazon Prime Video ou Disney Fox. À côté de ces plateformes de partage coexistent les réseaux sociaux qui proposent également des contenus médiatiques tels que Facebook, Youtube ou Twitter.

Or, l'irruption de ces acteurs fait apparaître une asymétrie importante au détriment des opérateurs domestiques. Comme l'a signalé un avis rendu par l'Autorité de la concurrence en février 2019, les nouveaux opérateurs échappent totalement aux obligations mises à la charge des opérateurs domestiques. Je rappelle que ces derniers relèvent de la loi de 1986 sur les médias qui leur impose notamment de contribuer au financement du cinéma.

De la même façon, nos modèles d'affaires ont été altérés par cette émergence, notamment sur le terrain publicitaire. En effet, l'essentiel des recettes publicitaires est désormais capté par ces acteurs numériques. Face à cette situation, notre réglementation n'a qu'une portée limitée. Ainsi, l'article 40 de la loi de 1986, qui prohibe la détention de plus de 20 % du capital par un investisseur non européen dans le secteur audiovisuel, n'a aucun effet sur les acteurs du numérique puisqu'il n'est applicable qu'au secteur hertzien.

L'arrivée de ces nouveaux acteurs impose au régulateur des médias que je préside plusieurs enjeux de natures diverses.

Tout d'abord, un enjeu économique. Nos acteurs nationaux sont frappés de plein fouet par l'essor de ces plateformes. Je citerai à titre d'exemple l'annonce faite hier par Canal + d'un plan de départ de 500 salariés. C'est aussi un enjeu démocratique puisqu'il est directement lié à la question du pluralisme sur notre territoire. Plus encore, il s'agit d'un enjeu culturel. Comment garantir le financement de la création alors même que ces nouveaux acteurs n'y contribuent pas ?

Enfin, le dernier enjeu révèle des problématiques sociétales. Notre modèle français a toujours considéré que les médias portaient une responsabilité forte sur des thématiques comme la protection de la jeunesse, le respect de la dignité de la personne ou la juste représentation de la diversité de la société française. À ce jour, les nouveaux acteurs du numérique ne sont pas soumis à ce cadre.

Ces différents enjeux impliquent tous l'intervention de la puissance publique du fait du rôle quasi éditorial que jouent ces plateformes. Dans ce contexte, la mission des régulateurs peut constituer une partie de la solution. Il ne s'agit pas de limiter l'action des régulateurs à de la production de normes et à de la sanction. Il convient de mettre en place des dispositifs permettant d'orienter les opérateurs privés vers l'objectif d'intérêt général défini par le législateur.

D'ailleurs, je suis frappé de constater à quel point les opinions publiques évoluent partout dans le monde en portant l'idée d'une intensification de la régulation. J'en veux pour preuve les débats menés au sein du camp démocrate aux États-Unis, qui pour certains évoquent même l'idée d'un démantèlement de ces plateformes. Cette tendance se retrouve également en Europe, en Australie et en Nouvelle-Zélande. Tous ces États ont à coeur de rentrer dans un schéma de régulation qui permettrait de combattre les phénomènes de désinformation ou de contenus haineux qui, à terme, nuisent aux processus électoraux.

Ce mouvement général qui concerne tant les populations que les États s'est même étendu à ces plateformes elles-mêmes. Elles ne peuvent donc plus se permettre de l'ignorer tant leur modèle économique repose sur leur acceptation par la société. Je vous renvoie aux déclarations publiques de Mark Zuckerberg appelant à plus de régulation.

Par ailleurs, je note que la régulation a franchi récemment des étapes importantes.

Tout d'abord, l'adoption d'une directive concernant les médias audiovisuels étend le champ de la régulation à ces nouveaux acteurs. Il sera possible de leur imposer les règles applicables au sein du pays de destination. Par exemple, Netflix pourra être soumis à l'obligation de contribuer au financement du cinéma. Nous veillerons au sein du CSA à ce que les transpositions de cette directive soient harmonisées dans les 27 États.

Ensuite, la loi du 22 décembre 2018 sur la lutte contre la manipulation de l'information impose à ces plateformes l'obligation de coopérer avec le CSA. Dans ce cadre, le texte émet plusieurs recommandations à l'égard de ces acteurs, dont la mise en oeuvre sera contrôlée par le CSA. Il en rendra compte dans un rapport public, selon une approche reposant sur le principe du name and shame.

Enfin, la proposition de loi relative à la lutte contre les contenus haineux sur internet a été adoptée hier à l'Assemblée nationale. Elle étend le champ d'action du CSA puisqu'il pourra désormais sanctionner les plateformes si elles ne déploient pas leurs moyens de modération dans des délais rapides, par le biais d'une amende pouvant aller jusqu'à 4 % du chiffre d'affaires mondial. Cela nous place au même niveau que les sanctions applicables en droit de la concurrence.

Cet ensemble dessine un nouveau schéma de régulation à la française, qui ne sera ni celui statocratique appliqué en Chine, ni celui du laisser-faire américain. Nous tentons de responsabiliser les plateformes elles-mêmes en veillant à ce que les dispositifs légaux soient appliqués. Cela suppose évidemment que l'ensemble des régulateurs se coordonne. Au niveau du CSA, nous avons vocation à travailler étroitement avec l'Arcep, la Cnil, l'Autorité de la concurrence et le CNC (Centre National du Cinéma et de l'image animée).

M. Sébastien Soriano. - Pour reprendre vos questions et y répondre de manière synthétique avant de les développer, il me semble que la régulation est actuellement insuffisante alors même que ses moyens technologiques sont adaptés. De plus, bien que la régulation des acteurs systémiques soit absolument nécessaire, je ne pense pas qu'il faille mettre en place un régulateur unique.

Je commencerai par m'exprimer sur l'insuffisance de la régulation, en prenant le prisme de l'Arcep. Il me semble que notre situation démontre un échec cuisant de toutes les autorités publiques à créer un véritable jeu concurrentiel entre les plateformes du numérique. Certes ces grands acteurs se comportent entre eux comme des concurrents indirects, mais leurs marchés sont bel et bien différents. Chacun exerce sur son marché un pouvoir économique considérable, inédit à l'échelle de l'humanité. Nous ne sommes pas parvenus à offrir le choix aux utilisateurs. Or, le choix est l'arme absolue qui permet de discipliner les opérateurs en leur insufflant la peur de perdre les consommateurs.

L'absence de cette discipline de marché dans le numérique découle de notre sous-estimation du phénomène. Le numérique s'est développé par un effet de réseau. L'exemple type est celui du réseau social. Si un utilisateur souhaite se créer un compte, il se tournera naturellement vers le réseau sur lequel se trouvent ses amis, indépendamment de toute considération liée à la qualité, à l'ergonomie ou à l'approche respectueuse de sa vie privée. En réalité, le choix est binaire : aller sur ce réseau ou renoncer à tout réseau.

Ce constat explique beaucoup des symptômes que nous identifions, tels que les conditions générales contestables, les risques de fuite de données ou bien la dépendance des entreprises à l'égard des places de marché d'Amazon ou de la publicité en ligne de Facebook ou Google.

Face à cet échec collectif, nous devons être lucides et nous mobiliser en conséquence. Quelles actions pourrions-nous mettre en oeuvre pour réintroduire du choix ? Au cours de votre introduction, vous avez expliqué que nous étions tous les trois confrontés à ces géants du numérique en tant qu'acteurs de la régulation.

En réalité, l'Arcep ne régule pas les acteurs du numérique ; à l'inverse, elle joue plus un rôle d'accompagnateur en vertu du principe de neutralité. Je suis d'ailleurs le premier à déplorer cette situation. Plusieurs propositions ont visé à élargir notre action, mais à ce jour, elles sont restées sans effet. Mme Morin-Desailly avait déposé un amendement en 2015 sur les moteurs de recherche, M. Lalande a également tenté d'introduire un dispositif de notation des plateformes en 2016. Plus récemment, l'Arcep a mis en évidence le pouvoir des terminaux et des systèmes d'exploitation et nous avons proposé au Gouvernement d'inclure une disposition sur ce sujet dans le projet de loi sur l'audiovisuel.

En tant qu'observateur du numérique, l'Arcep n'hésite pas à apporter sa contribution à la réflexion générale sur le numérique, notamment à l'occasion des états généraux du numérique. Je déplore qu'aucune suite n'ait été donnée pour le moment à ce travail collectif qui regorgeait de pistes intéressantes.

Vous posiez une deuxième question sur les moyens dont disposent les régulateurs. Selon moi, le défi majeur est celui de la transformation de nos outils. La donnée on data est un défi essentiel dans notre action. Nous devons parvenir à l'utiliser au mieux dans notre action. Pour cela, deux pistes majeures doivent être explorées.

Tout d'abord, l'utilisation en tant que supervision, à l'instar de l'Autorité des marchés financiers (AMF) dans le secteur financier et de la Commission de régulation de l'énergie (CRE) dans le secteur de l'énergie. Ces régulateurs recueillent un volume considérable de données au sein desquelles ils réussissent à détecter des signaux faibles permettant d'analyser de manière plus fine le marché. Cette technique est celle qui sera mise en oeuvre dans le cadre de la lutte contre les propos haineux.

Ensuite, la donnée peut être mise au service du consommateur afin de lui donner une information plus éclairée sur le domaine concerné. C'est ce que nous faisons en communiquant l'ensemble des informations relatives à la couverture du réseau. Ce procédé permet d'enclencher une dynamique positive entre les différents opérateurs.

Je constate que nous sommes en train de dompter les outils techniques dont nous aurons besoin à l'avenir pour réguler ce marché. Reste la question des outils juridiques qui doit être approfondie pour permettre à tous les régulateurs de disposer des compétences adaptées pour mener leur action. Bien entendu, des moyens humains et financiers correspondants à l'ampleur de la tâche sont nécessaires.

Votre troisième question portait sur la nécessité de construire un cadre spécifique pour réguler les acteurs systémiques. Cela me semble éminemment souhaitable. En effet, nos règles actuelles sont d'application horizontale et ont donc tendance à sur-réguler et à accroître la charge supportée par les petits acteurs. Ces derniers ont alors d'autant plus de difficultés à trouver leur place sur le marché. C'est une question qui revient souvent s'agissant du RGPD. Se centrer sur les gros acteurs en les soumettant à des règles de supervision spécifiques permettrait d'améliorer notre système.

Pour autant, les régulateurs doivent aussi savoir adapter leur approche en fonction de la nature des problèmes posés. L'accès d'une PME aux places de marché, le marché de la publicité ou celui du commerce en ligne ne sauraient être traités comme le sont des propos haineux ou des fausses informations sur internet. Certes l'approche systémique est nécessaire, mais avec des réponses différenciées selon les situations.

Sur ce plan, l'Arcep a mené un travail approfondi au sujet des terminaux - les smartphones, les enceintes, les voitures ou les télévisions connectées. Les « acteurs des terminaux » sont en train de prendre le pouvoir alors même que nous semblons aveugles face à ce phénomène. Nous régulons la tuyauterie d'internet, mais nous ne regardons pas les robinets ! Nos tuyaux, dans lesquels les opérateurs investissent beaucoup d'argent, sont aujourd'hui ouverts, mais pas les robinets. Or, lorsque l'utilisateur demande des informations à une enceinte connectée, le choix de la source de recherche des informations est réalisé par le terminal. Ces terminaux joueront un rôle de prescripteur central à l'avenir. On peut se connecter à internet sans un moteur de recherche ou sans un réseau social, mais on ne peut pas se connecter à internet sans un terminal. De ce fait, nous devons leur étendre le principe de neutralité déjà applicable à internet. Cette proposition émane de plusieurs autres autorités de régulation européennes. Nous souhaiterions qu'elle figure dans le projet de loi concernant le secteur audiovisuel.

Enfin, je terminerai avec votre dernière question qui portait sur la mise en place éventuelle d'un régulateur unique. Selon moi, le premier réflexe doit être de prolonger les compétences de chaque autorité - c'est ce qu'on a vu sur le CSA, mais c'est aussi le cas de l'Autorité de régulation des activités ferroviaires et routières (Arafer) à laquelle le projet de loi d'orientation des mobilités confie de nouvelles missions relatives à l'ouverture des données de transport. Bien entendu, un tel renforcement questionnera notre capacité à disposer d'une force de frappe nécessaire. L'Arcep est tout à fait disposée à engager un processus de partage de compétences avec les autres autorités pour mettre en place un pôle commun.

M. Gérard Longuet, rapporteur. -Mme de Silva, comment réagissez-vous à la réalité capitaliste mondiale qui octroie tout au vainqueur ? Il me semble que nous n'avons pas su prévoir qu'internet pouvait être massif et gratuit. Notre conception le reléguait à une sphère élitiste en raison du coût prohibitif des terminaux. Or, par la suite, le numérique a su se développer sur un principe simple, puisque l'utilisateur bénéficie d'une gratuité apparente pour accéder aux services alors même que c'est lui-même qui sert l'opérateur par le biais de ses données. Ce principe est à l'origine de la naissance du RGPD.

En outre, le développement du numérique a permis aux plus puissants d'acquérir une taille telle qu'ils sont aujourd'hui dans une situation absolument dominante. L'effet de réseau ne fait que consolider leurs richesses dans un contexte où le grand public démontre une véritable addiction à leur égard.

Par ailleurs, le modèle économique de ces géants pose de réels problèmes au regard du droit de la concurrence. En effet, il consiste à financer une activité à perte pour croître puis détruire les opérateurs concurrents en les rachetant. Le phénomène a atteint une telle ampleur que les start-up elles-mêmes se développent en vue d'être rachetées par les Gafa. Pensez-vous que l'idée d'un démantèlement puisse être envisagée ?

M. Roch-Olivier Maistre. - Lorsque vous évoquez les propos haineux tenus sur internet, je m'interroge sur la personne du juge. La qualification de tels propos n'est pas aisée tant elle dépend du contexte et des références. Comment combattre ces dérives tout en ménageant notre liberté d'expression ?

M. Sébastien Soriano. - vous avez proposé l'idée de soumettre les terminaux au principe de la neutralité. Cette idée me convainc totalement. De même, lorsque vous vous exprimez en faveur du maintien des différentes autorités de régulation, je souscris à cette vision. Chacune a su gagner le respect de tous grâce à ses compétences, et toute fusion serait inappropriée. Il convient, en revanche, de renforcer la coopération entre ces autorités, tant les sujets sont liés.

M. Jérôme Bascher. - J'aimerais soumettre une question provocatrice. J'ai, tout comme Gérard Longuet, une attitude libérale qui va de pair avec la conviction qu'une régulation est nécessaire. Les géants du numérique ne réussissent-ils pas à se glisser au sein de vos interstices ? Ne pensez-vous pas, dans ces conditions, qu'il faille introduire une part de censure dans notre régulation des contenus ?

M. Franck Montaugé. - J'aimerais réagir au sujet de la régulation ex ante. Je comprends qu'elle nécessite des moyens et des compétences en matière de traitement de données massives. En dispose-t-on aujourd'hui ? Nous avons abordé certains sujets à caractère technique, comme la localisation des données. Estimez-vous que la localisation des data centers et des clouds en dehors de l'Union européenne pose problème ? Par ailleurs, quel est votre positionnement concernant les moteurs de recherche, qui sont devenus des acteurs souverains du numérique ?

Mme Isabelle De Silva. - Le mécanisme du winner takes all, les effets de réseau et la transformation des modèles d'affaires sont au coeur de la révolution que nous vivons. Ces nouveaux modèles d'affaires ont été financés par un marché qui y a cru. Ainsi, longtemps, Amazon n'a pas été rentable et Netflix ne l'est toujours pas. Il s'agit en réalité d'une stratégie d'un nouveau genre, fondée sur la conquête d'un très grand nombre d'utilisateurs et sur la présence sur différents marchés.

À cet égard, l'exemple d'Amazon est frappant : d'abord libraire en ligne, le site internet a ensuite régulièrement élargi ses activités, jusqu'à la production de contenus audiovisuels...

M. Gérard Longuet, rapporteur. - Et aux lanceurs spatiaux !

Mme Isabelle De Silva. - ...de sorte qu'aujourd'hui, nous ne pouvons savoir où s'arrêtera cette entreprise. Les autorités de la concurrence doivent revoir leurs méthodes, consistant traditionnellement à raisonner par marchés pertinents, car certains marchés que l'on pourrait estimer sans liens vont se trouver connectés par les stratégies de captation de ces utilisateurs. Il nous faut amender notre doctrine sur ce point.

Un autre exemple qui doit nous amener à revoir nos concepts est celui de Facebook. On a longtemps pensé qu'un marché non monétisé n'est pas un marché. Or, les marchés bifaces nous montrent que les choses sont plus complexes : d'un côté, le service est gratuit, mais nous permettons, grâce à l'utilisation de nos données, leur valorisation sur l'autre face du marché, par la publicité en ligne.

Dans ce contexte, la concurrence est-elle impossible ? Je refuse toute attitude pessimiste. Nous avons commis une erreur stratégique en autorisant le rachat d'Instagram et de Whatsapp par Facebook. Tirons les conséquences de cet exemple en imposant des règles strictes pour l'avenir. C'est pourquoi nous réfléchissons, avec le Gouvernement, à la définition de règles spécifiques aux acquisitions menées par des acteurs déjà ultra-dominants. Nous assistons aujourd'hui à une véritable perversion de ce système dans lequel les start-ups elles-mêmes cherchent à se faire racheter par les grandes firmes du numérique plutôt que de devenir elles-mêmes les futurs géants.

Vous soulevez la question du démantèlement. Pour notre part, nous examinons froidement ce sujet. Pour autant, certains estiment que le démantèlement créerait une forme d'Hydre de Lerne. De ce fait, nous devons imaginer d'autres pistes, notamment sur la problématique de l'accès aux données. Nous pourrions ainsi, par exemple, organiser un droit d'accès - pas forcément gratuit - aux données détenues par un moteur de recherche qui permettrait à un nouvel acteur de disposer des moyens pour se développer. Cela peut s'organiser par le droit de la concurrence ou par une régulation ciblée sur l'accès aux données.

Par la suite, nous devons réfléchir à la question de la valeur, lorsque nous sommes confrontés à certaines pratiques. À titre d'exemple, je citerai le cas de Booking prélevant des commissions sur les gains des hôteliers, ou bien d'Apple facturant une commission aux créateurs d'applications. Selon moi, il faut qualifier ce type de phénomène comme de l'abus d'exploitation, notion quelque peu oubliée ces dernières années, durant lesquelles nous nous intéressions davantage aux pratiques discriminatoires. Nous avons d'ailleurs utilisé cette notion il y a quelques mois en sanctionnant pour la première fois depuis dix ans des prix excessifs pratiqués par une entreprise en monopole dans le secteur du traitement des déchets hospitaliers. Nous pourrions utiliser ce même type de raisonnement dans le numérique pour une entreprise en monopole qui changerait du jour au lendemain les commissions qu'elle prélève pour le référencement sur une application devenue incontournable.

Il est également possible d'agir au regard des barrières à l'entrée sur un marché. Actuellement, la Commission se penche sur le cas de Spotify qui entend démontrer que les commissions prélevées par Apple sont illégitimes. La question est également posée au sujet de la place de marché d'Amazon : l'entreprise favorise-t-elle ses propres produits, notamment grâce aux données que les vendeurs utilisant sa place de marché sont contraints de lui transmettre ? Je souhaite également saluer l'avancée que constitue l'adoption du règlement dit « Platform to business » au niveau européen, qui porte précisément sur l'équité des relations commerciales entre les plateformes et les entreprises dont l'accès à la plateforme est une condition sine qua non pour atteindre le consommateur.

Par ailleurs, le traitement de ces sujets doit se faire sur le plan politique, notamment sur le terrain fiscal. Il n'est pas admissible que des revenus générés sur le territoire français n'y soient pas imposés. Une première réponse a été apportée par Mme Vestager, qui a qualifié d'aide d'État le régime fiscal particulier accordé par l'Irlande à Apple, mais c'est une forme de pis-aller au regard d'un système qui favorise l'optimisation fiscale. La taxe Gafa peut constituer une première ébauche, mais ne couvre pas d'autres sujets tels que l'équité de la fiscalité entre les plateformes de commerce en ligne et les distributeurs physiques.

Nos efforts doivent converger vers un objectif de rééquilibrage des réglementations nationales. À défaut, ils conduiraient à favoriser encore plus les Gafa. Dans notre avis du 21 février dernier sur l'audiovisuel et le numérique, nous avons démontré que les acteurs classiques du secteur médiatique étaient désavantagés face aux nouveaux acteurs du numérique. Par exemple, il est interdit de proposer de la publicité ciblée à la télévision, alors qu'il existe une liberté totale sur ce point sur internet. Une action volontaire doit être mise en oeuvre. Au-delà des aspects économiques, il est très grave que des acteurs qui ont pris une importance considérable pour la société ne respectent pas les règles sur la protection des données ou admettent des comportements mettant en cause la sincérité des campagnes électorales. Il est essentiel de faire toute la lumière dans les meilleurs délais sur l'affaire Cambridge Analytica. La question du démantèlement relèvera d'une décision américaine. En revanche, la directive sur le renforcement des autorités de la concurrence permet à une autorité de la concurrence d'enjoindre des mesures structurelles. Ainsi, nous pourrons obliger une entité à céder une partie de son activité lorsqu'elle a commis un abus de position dominante.

Vous soulevez la question de la localisation des data centers. Il est effectivement très compliqué de mener une enquête au sujet d'infractions numériques commises par des entreprises dont les centres de décisions sont aux États-Unis et qui met des moyens colossaux pour se prémunir des enquêtes. La nouvelle directive contient cependant une avancée : si l'entreprise détient des données accessibles sur le territoire européen, nous serons en mesure d'y accéder.

Enfin, je rejoins Sébastien Soriano à propos des états généraux du numérique. Il est effectivement frustrant que ces travaux n'aient pas été accompagnés de suites concrètes alors qu'il est nécessaire de muscler l'action de l'État et des autorités sur le plan du big data, des algorithmes et, plus généralement, des ressources issues de ces nouvelles technologies. Les régulateurs peinent à recruter des experts dans ces secteurs, comme des data scientists, et je souhaite que l'État investisse davantage dans ces domaines.

M. Roch-Olivier Maistre. - Je suis convaincu que nous ne pourrons pas réguler les plateformes de la même manière que les médias traditionnels. Je rappelle que ces derniers se sont vu attribuer des fréquences gratuites par l'État ; en contrepartie ils étaient soumis à plusieurs obligations dont l'application était surveillée par le CSA. Ce modèle ne pourra pas être transposé aux plateformes.

De ce fait, il nous appartient de responsabiliser les plateformes les plus importantes en leur fixant des objectifs clairs à atteindre, dont la mise en oeuvre sera surveillée par un superviseur doté de pouvoirs coercitifs.

La fusion entre le CSA et l'Arcep a pu être évoquée par certains comme une solution envisageable. À cet égard, les propos de Sharon White sont très intéressants. Lorsqu'elle évoque la fusion opérée en Grande-Bretagne entre plusieurs autorités de régulation, elle ne peut que constater que celle-ci a fait perdre quatre années d'action de régulation au profit de la réorganisation administrative qui en a découlé. Je pense que nous devons donc nous consacrer à d'autres priorités, d'autant plus que le schéma actuel de régulation ne laisse pas d'interstices. J'en terminerai avec l'exemple britannique en citant les débats actuels sur la pertinence de confier à l'Ofcom - bien mieux dotée en ressources humaines, avec plus de 900 personnes, que ne le sont le CSA, qui dispose d'environ 300 personnes et l'Arcep doté de 160 à 180 personnels - la charge de réguler le numérique.

Enfin, la question que vous posez au sujet de l'organe chargé de qualifier les propos tenus sur internet est très intéressante. Effectivement, nous sommes constamment confrontés à une zone grise. Si pour les contenus haineux la tâche est plus aisée, le sujet des fausses informations est bien plus délicat à traiter. C'est la raison pour laquelle nous souhaitons que le CSA tienne un rôle de superviseur, et non pas de juge.

M. Sébastien Soriano. - Je reviens sur la question relative aux terminaux. Leur imposer une neutralité permettrait de confier le pouvoir aux individus et aux entreprises. On peut imaginer des dispositifs de contrôle parental labellisés par l'État plus facilement activables, mais cela découlerait du choix des utilisateurs.

M. Jérôme Bascher. - Est-il possible de sanctionner des abus d'exploitation ?

M. Sébastien Soriano. - Sur le plan économique, les abus d'exploitation émanent d'une entreprise dominante qui met en oeuvre des pratiques dommageables pour les autres acteurs : par exemple, Google Maps qui changerait ses codes. À l'origine, une telle manoeuvre n'a rien d'anticoncurrentiel, mais en raison de sa position sur le marché, elle provoquerait une déstabilisation des autres entreprises. Selon moi, nous devons mettre en place des moyens permettant de prévenir ce type de comportement. Or, en l'état du droit de la concurrence, aucune méthode ne permet de préjuger du rôle des acteurs.

Mme Isabelle De Silva. - Sur ce point également, les terminaux ont pris une importance économique considérable. Je crois qu'il nous faut réprimer tous les comportements d'un acteur puissant qui viseraient à interdire l'accès à un marché d'un acteur donné. La décision prise à propos du système d'exploitation Androïd Google en est l'illustration. Nous avions d'ailleurs été visionnaires dans ce domaine lors de l'affaire visant Orange à propos de la distribution de l'iPhone, en empêchant Orange d'obtenir l'exclusivité, considérant que tous les opérateurs devraient pouvoir le distribuer. Il nous faut être impitoyable sur les comportements du même type que ceux condamnés dans l'affaire Google Androïd.

M. Sébastien Soriano. - Nous devons déterminer si des outils spéciaux sont nécessaires, ou bien si ceux du droit commun de la concurrence suffisent. Isabelle de Silva et moi-même n'avons pas le même point de vue sur cette question. Selon moi, des outils nouveaux doivent être développés pour sortir de l'impasse dans laquelle nous nous trouvons actuellement. C'est un peu ce qui a été décidé lors de l'ouverture du monopole de France Télécom à la concurrence : on a considéré que le pouvoir particulier de cet acteur nécessitait des outils propres. Pour caricaturer, il s'agit d'opposer le droit de la concurrence, qui agit en quelque sorte avec un tribunal traitant des dossiers au cas par cas lorsqu'il en est saisi, à un régulateur ex ante, qui construit un agenda avec des objectifs précis et en vérifie la bonne application en continu.

M. Franck Montaugé. - Ce sujet doit-il être corrélé avec la question d'un système d'exploitation souverain ?

M. Sébastien Soriano. - La question des systèmes d'exploitation dépasse les enjeux économiques. Il est très difficile de mettre au point un système entier, à tel point que des acteurs majeurs comme Nokia ou Microsoft ont échoué à le faire.

En revanche, certaines de nos propositions aideraient à la constitution d'un écosystème favorable à l'apparition d'un tel système d'exploitation car nous proposons de favoriser des standards qui permettraient à tout créateur d'application de la rendre utilisable sur tout système d'exploitation, ce qui, en retour, favoriserait l'apparition de nouveaux systèmes d'exploitation.

Concernant les moteurs de recherche, j'aurais la même réponse. Un principe d'ouverture aurait pour effet d'obliger à référencer de la même manière tous les moteurs de recherche et d'empêcher celui qui contrôle le terminal de bloquer l'accès à certaines solutions.

Mme Isabelle de Silva. - Certaines régulations ex ante sont utiles. Je pense notamment aux règles concernant la transparence applicables aux algorithmes. La France a su se montrer très en avance dans ce domaine dans la loi pour une République numérique portée par Axelle Lemaire, qui a confié à la Direction générale de la concurrence, de la consommation et de la répression des fraudes la mission de contrôler certaines règles notamment en matière d'avis en ligne. Une grande partie de ces règles se retrouvent dans le règlement dit « Platform to business ». Nous y avons été favorables dès lors qu'il s'agissait de bien cibler et de proportionner le dispositif à une problématique identifiée, qui est celle des relations commerciales entre les plateformes et les entreprises qui en dépendent pour leur activité économique.

Ce mouvement n'est qu'un début. Nous pouvons d'ores et déjà nous projeter dans la nouvelle génération de règles en matière de protection des données. Le RGPD a introduit des principes de proportionnalité. Pour autant, du point de vue du consommateur, il en ressort peu de bénéfice. En effet, la plupart des personnes valident systématiquement la collecte de leurs données. Par conséquent, nous menons actuellement une réflexion globale au niveau européen - et Jean Tirole s'est également prononcé en ce sens- visant à faire évoluer la réglementation : il s'agirait de ne soumettre à validation que les collectes qui iraient au-delà du nécessaire. Cet axe de réflexion me paraît intéressant car, sur la protection des données, force est de constater que le consommateur a du mal à faire ses choix - on dit parfois qu'il relève de son libre arbitre de cesser d'utiliser Facebook s'il estime que cette entreprise utilise ses données de façon abusive. Or, et même si le consommateur est de plus en plus informé, cela reste un sujet complexe à appréhender pour les consommateurs et nous sommes encore loin d'une véritable prise de conscience. Ainsi, un tel dispositif permettrait d'atteindre plusieurs objectifs : une restriction de l'utilisation des données et un rééquilibrage de la valeur tirée de l'utilisation des données à des fins publicitaires.

M. Jérôme Bascher. - J'ai lu récemment une critique affirmant que le RGPD avait pour effet une fuite de nos données en dehors de l'Union européenne. Pouvons-nous craindre que notre souveraineté ne soit transférée ailleurs ?

Mme Isabelle De Silva. - C'est un point fondamental : celui des effets induits par nos règles de régulation. On peut voir plus positivement le RGPD en estimant que l'Europe a lancé un mouvement qui est actuellement suivi par plusieurs pays dans le monde - c'est le cas du projet de réglementation en Californie et au Brésil, et ce sujet est au coeur des débats dans la perspective de la prochaine présidentielle américaine. On peut donc considérer que le RGPD essaime à l'international, notamment grâce à l'outil très puissant que constitue le principe d'équivalence - c'est d'ailleurs l'enjeu des discussions qui se déroulent aujourd'hui entre l'Europe et le Japon.

S'agissant de la tentation d'échapper à ces règles, elle est sans doute réelle. Toutefois, dès qu'un Européen est concerné, le RGPD a vocation à s'appliquer. Dès lors, la solution consistant à transférer les données en dehors de l'Union européenne serait totalement inopérante.

M. Sébastien Soriano. - J'aimerais terminer par des propos plus personnels. J'ai eu la chance de participer à des échanges stratégiques avec la Corée du Sud, Taïwan et le Japon. J'ai été accompagné par le sociologue Antonio Casilli, qui a évoqué son travail à propos des fermes à clic présentes dans plusieurs pays comme la Chine ou les Philippines.

Ces entreprises emploient de la main-d'oeuvre très bon marché qui est chargée de cliquer selon les consignes données par le client. Initialement, les grandes marques avaient recours à ce service pour gonfler leur notoriété sur les réseaux sociaux. Peu à peu, leur activité s'est diversifiée, dérivant vers le domaine de la manipulation de l'information.

Je signale l'existence de ces entreprises qui pose la question de l'identité et des objectifs de ceux qui cherchent à propager ce type de contenu. Par exemple, est-ce normal que des milliers d'adresses IP basées en Chine participent aux débats sur la politique européenne ?

Il me semble que ce sujet peut constituer un angle d'intérêt important dans le cadre des travaux menés par votre commission.

M. Franck Montaugé. - Ce point m'amène à évoquer deux autres sujets. Ainsi, à propos du traitement des contenus haineux sur internet, seriez-vous opposés à la levée de l'anonymat sur internet ? Il me semble que, quand on affirme quelque chose, il faut être capable de l'assumer.

De plus, ne serait-il pas utile que les internautes puissent disposer d'une vision synthétique des données qu'ils produisent ? Cela permettrait d'améliorer leur culture au sujet d'internet.

M. Sébastien Soriano. - La question relative à la levée de l'anonymat ne relève pas des compétences de l'Arcep, mais en tant qu'observateur, je la relie à celle du pseudonymat. La question que cela pose est de savoir comment découvrir l'identité d'une personne sur internet. De ce fait, une levée du pseudonymat serait lourd de conséquences pour la nature d'internet, d'autant plus qu'il s'agirait parfois de lutter contre des personnes qui n'existent pas. Pour cela, il me semble que d'autres méthodes, plus proportionnées, existent.

Mme Isabelle de Silva. - L'ensemble de la société est en retard au sujet du bon usage d'internet. Or, nous assistons tous à des comportements inacceptables qui impliquent une réaction forte de tous les acteurs sociaux.

À titre personnel, je crois que l'usage des outils numériques est un grand défi posé à nos États et à nos sociétés. Il me semble que l'école est en retard, et la responsabilité est sans doute partagée avec les parents. Parfois, l'école prescrit l'usage d'internet, notamment pour accéder aux devoirs, alors même que cela ne semble pas indispensable : est-ce son rôle ? Il me semble fondamental de mener une réflexion profonde visant à mieux utiliser l'outil numérique.

M. Roch-Olivier Maistre. - Je partage votre vision au sujet de l'éducation aux médias, le CSA déploie d'ailleurs un certain nombre d'actions sur ce sujet. Le statut juridique de ces plateformes date de l'époque de leur création, alors même qu'elles ne disposaient pas de la même puissance économique.

Elles s'abritent derrière le statut d'hébergeur, leur responsabilité doit donc être repensée. Dans les médias classiques, le fait d'avoir un éditeur responsable change la donne sur ce qui est diffusé. On supporte de moins en moins sur internet ce qu'on ne supporte déjà pas depuis longtemps à la télévision, à la radio ou dans la presse.

La réunion est close à 19 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Jeudi 11 juillet 2019

- Présidence de M. Franck Montaugé, président -

- Présidence de M. Franck Montaugé, président -

La réunion est ouverte à 9 h 45

Audition de M. Guillaume Poupard, directeur général de l'ANSSI (ne sera pas publié)

Cette audition n'a pas donné lieu à un compte rendu.

La réunion est close à 11 heures.

La réunion est ouverte à 14 heures

Audition de M. Michel Paulin, directeur général d'OVH

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de Monsieur Michel Paulin, directeur général de l'entreprise OVH.

Je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Paulin prête serment. Vous êtes depuis près d'un an le directeur général d'OVH. Cette entreprise est spécialisée dans les services de cloud. Elle a été fondée en 1999 à Roubaix par Octave Klaba qui en est désormais l'actionnaire majoritaire. Elle est devenue un acteur important du cloud, qui entend se développer partout dans le monde et ainsi défier les grands leaders du secteur que sont Amazon, Microsoft, Google et IBM sans même évoquer les entreprises chinoises. Elle est donc l'une des rares licornes françaises qui tentent de lutter face à ces géants du numérique.

Pourrez-vous nous donner des éléments de comparaison, par exemple en nombre de centres de données, afin que nous puissions nous rendre compte de l'importance de votre activité par rapport à celle de vos concurrents ?

Le fondateur de l'entreprise souligne l'importance de faire héberger ses données en Europe pour éviter qu'elles ne soient soumises à des lois de portée extraterritoriale. Dans une interview publiée l'an dernier, il déclarait ainsi : « il s'agit d'arrêter d'être des bisounours et de prendre conscience que l'Europe est en train de se faire dépouiller de ses données, que les gouvernements perdent la main face à une poignée de grandes entreprises privées. »

Dans le même temps, Monsieur Klaba a également émis un avis réservé sur le projet annoncé par le ministre de l'Économie et des Finances et présenté comme un cloud souverain. Quelles solutions préconisez-vous ? Pouvez-vous nous expliquer en quoi votre entreprise marque un jalon important pour la souveraineté numérique française et européenne ?

M. Michel Paulin. -Il est clair que l'un des sujets majeurs de la souveraineté est le numérique, tant celui-ci se place désormais au centre des sujets sociétaux, politiques et économiques. Bruno Le Maire a d'ailleurs affirmé qu'il n'y a pas de souveraineté politique sans souveraineté numérique. Selon moi, il est donc essentiel que l'État et l'Union européenne puissent garantir aux citoyens l'effectivité de cette souveraineté.

À titre introductif, je présenterai notre entreprise, OVH. Nous sommes une entreprise française, fondée il y a vingt ans par Octave Klaba. Le siège social est situé à Roubaix. À ce jour, le capital est encore détenu en majorité par la famille Klaba. OVH emploie plus de 2 000 salariés, dont plus de 1 000 à Roubaix. Notre chiffre d'affaires s'élève à plus de 600 millions d'euros, avec une croissance supérieure à 20 %. Nous sommes qualifiés de pure player, ce qui signifie que nous n'exerçons qu'une seule activité, le cloud. Cela nous distingue de la majorité des autres acteurs sur ce marché.

Nous sommes une véritable entreprise industrielle puisque nous produisons nous-mêmes nos serveurs dans un site industriel situé à Croix. Nous achetons les composants et les montons ensuite. À ce jour, nous disposons de 28 centres de données, présents sur quatre continents. En Europe, nous détenons des structures en France et dans la plupart des pays européens comme l'Allemagne, la Pologne ou l'Angleterre. Nous disposons également de centres de données au Canada, aux États-Unis, à Singapour et en Australie. Sur ce marché mondial, avoir une présence internationale est une condition sine qua non pour être en mesure d'accompagner au mieux ses clients.

Sur la période 2016- 2021, nos investissements dans les infrastructures s'élèveront à 1,5 milliard d'euros. Nos serveurs sont construits selon des principes proches de l'open source : ils sont auditables.

Afin de renforcer notre indépendance, nous concevons nous-mêmes nos centres de données et avons également mis au point une technique innovante de refroidissement de nos serveurs à l'eau. Au-delà de ses vertus écologiques, ce processus s'avère bien plus efficace que celui employant l'air. Afin de renforcer encore notre indépendance, nous possédons également notre propre réseau de fibre, ce qui garantit la maîtrise totale du processus pour nos clients.

Comme je l'indiquais, nous ne proposons que du cloud. Dans le top 10 mondial, nous sommes classés à la neuvième place. Nous sommes la seule entreprise européenne qui figure dans ce classement, et la seule à ne proposer que du cloud. Les huit premiers classés sont les géants que vous connaissez tous, américains et chinois. Le dixième est une entreprise japonaise. Sans aides publiques, OVH est devenu le leader européen du cloud.

Nous proposons tous les types de services : public, privé ou hybride, serveurs dédiés et barre métal. Notre philosophie repose sur le principe suivant : « Innovation is freedom », autrement dit, l'innovation doit servir à la liberté et non pas à emprisonner nos clients. Loin d'être anecdotique, cette affirmation se traduit concrètement dans l'ensemble de nos offres, qui s'articulent autour des concepts d'ouverture, de réversibilité et d'accessibilité, et qui reposent souvent sur des logiciels libres, ce qui garantit à nos clients le respect de leur liberté. Notre parti pris est donc de refuser tout système qui conduirait à emprisonner les citoyens et les entreprises.

Dans le cadre de notre réflexion au sujet de la souveraineté numérique, comment OVH peut-elle apporter des éléments de réponse ? Le numérique se place au coeur de nos préoccupations industrielles, politiques et sociétales. Nous sommes convaincus que ces outils numériques constituent des actifs économiques à part entière. Les données personnelles et celles des entreprises ont une valeur importante. C'est d'ailleurs sur elles que les Gafam ont construit leur puissance. Au-delà de ces acteurs, les données sont stratégiques pour les États et les entreprises dans leur ensemble, comme l'illustrent les effets produits par une utilisation malveillante de ces données.

Le numérique constitue également un enjeu économique. Les données peuvent être utilisées pour attaquer des concurrents sur le marché. Comme l'a justement rappelé le député Gauvain dans son rapport, certains États se sont ainsi dotés d'outils juridiques permettant d'affaiblir les règles relatives à la protection des données. Dans ce contexte, il n'est plus suffisant de conserver les données en Europe pour parvenir à les protéger. En effet, avec le Cloud Act, l'accès aux données est rendu possible, quel que soit leur lieu de stockage.

Selon moi, le Cloud Act est une arme très puissante qui vise directement la souveraineté des États. Son application permet aujourd'hui que certaines entreprises américaines puissent saisir la justice américaine pour qu'elle obtienne ces données. Cette transmission s'opérera sans aucune intervention des juridictions françaises. En ce sens, cela pose un réel problème.

Jusqu'à présent, les questions de protection étaient appréhendées par un prisme strictement technologique - via le cryptage des données, l'installation de pare-feux.... Bien entendu, cette lecture est importante. Pour autant, quand bien même la porte d'une maison serait blindée, si la loi autorise à cambrioler l'intérieur de la maison, la protection de la porte sera inutile. L'enjeu est donc de comprendre l'importance pour les États de se doter d'outils puissants pour résister aux atteintes portées à la souveraineté numérique en Europe. Lorsqu'Octave Klaba évoquait le terme de « bisounours », son propos n'avait rien de défaitiste, car des acteurs comme OVH détiennent des éléments de réponse.

Quels sont les grands enjeux auxquels il faudra faire face ? Le premier enjeu est celui de la transparence. L'État, les collectivités locales et les acteurs économiques doivent être en mesure de comprendre quels sont les risques inhérents à chaque système. Par exemple, les appels d'offre lancés en matière de cloud excluent les solutions situées en zone inondable. Mais certaines entreprises ne posent pas la question de savoir quel est le droit applicable aux données stockées ! Une plus grande transparence est donc nécessaire afin que chacun puisse prendre sa décision de façon éclairée.

La transparence doit également se traduire dans le cadre des procédures d'appels d'offres. Par exemple, lorsque certaines collectivités territoriales passent un appel d'offres dans le domaine du cloud, elles confient leurs données à des intégrateurs afin qu'ils mettent en oeuvre des solutions. Dans le cadre du comité stratégique de filière, nous estimons qu'il est nécessaire d'indiquer où sont stockées ces données et à quel droit elles seront soumises. À titre personnel, j'ai pu observer que ces intégrateurs les laissaient dans des services de cloud qui ne peuvent être qualifiés de cloud de confiance. Mon propos ne doit pas être interprété comme de l'animosité à l'égard de nos concurrents. Je souhaite seulement qu'il y ait de la transparence sur les conditions de stockage des données, et donc sur le droit applicable.

Au-delà de l'objectif de transparence, je pense que nous devons abandonner toute attitude fataliste. L'exemple d'OVH en témoigne. Sans bénéficier à aucun moment d'argent public, elle a su rester dans la course mondiale au sein d'un domaine économique ultra compétitif. Les concurrents auxquels elle a fait face ont été fortement avantagés dans leurs propres États par le biais des commandes publiques.

Si la préférence nationale est une notion absente de notre droit, c'est une réalité concrète dans les autres États. L'État et les collectivités territoriales doivent comprendre à quel point l'enjeu de ces questions dépasse la seule sphère économique. Choisir un acteur américain ou chinois est lourd de conséquences tant au niveau de la protection des données que pour la viabilité à long terme de la filière numérique en Europe.

Or il existe énormément d'entreprises performantes en Europe. OVH n'est pas un exemple isolé. Il existe des acteurs compétitifs, mais pas encore présents sur l'ensemble de la chaîne du numérique, notamment dans les random access memory (RAM ), les puces, le hardware et les systèmes d'exploitation.

En tant qu'entreprise européenne numérique, nous tentons notre chance, mais nous ne pourrons rester seuls dans cet environnement. Nos concurrents bénéficient d'un soutien important de la part de leurs États, qui ont des stratégies en la matière : la Chine a ainsi pour objectif d'être le leader en intelligence artificielle. De même, aux États-Unis, toute la stratégie universitaire de recherche est basée sur un système d'aides, tant privées que publiques. Il me semble que l'État français devrait conclure des accords avec d'autres partenaires. Nous disposons d'ingénieurs parmi les meilleurs au monde, qui sont malheureusement recrutés par ces acteurs étrangers du numérique. Je suis certain que l'Europe détient toutes les capacités pour rivaliser avec eux. L'exemple d'OVH, comme d'autres, n'est pas suffisamment mis en valeur.

Les acteurs économiques doivent également comprendre ces enjeux. Or, quand j'observe que de grandes sociétés publiques passent des accords avec des entreprises américaines, je ne peux que le déplorer. J'imagine bien que la conclusion d'un accord avec Google peut apparaître plus enthousiasmante qu'avec OVH. Pour autant, ce type de situation me semble regrettable dans la mesure où nos solutions sont parfaitement adaptées.

Par ailleurs, j'aimerais rappeler à quel point le cadre juridique mis en place par le RGPD est unique sur le marché mondial. Cet exemple européen inspire certains pays comme le Canada et la Californie. C'est une avancée majeure dans la protection de nos données personnelles. Face à cela, je ne peux que déplorer les stratégies de certains États visant à se doter d'outils comme le Cloud Act. L'Europe doit affirmer une position forte pour protéger toute l'efficacité du RGPD et garantir ainsi aux citoyens que leurs données sont protégées.

Je terminerai en insistant sur l'importance que revêt la réversibilité d'un système : il est indispensable que les entreprises gardent la possibilité de revenir en arrière si elles le souhaitent. Si l'ampleur du coût induit par une telle décision s'avère dissuasive, cette démarche est de fait impossible. Au final, cela alimente la capacité des gros acteurs à préempter les données. Nous pensons que l'intérêt majeur des systèmes de cloud est justement leur capacité à apporter de la flexibilité et de la souplesse aux entreprises. Si ce système aboutit à la mise en place d'un monopole, que reste-t-il de son intérêt ?

Aussi la souveraineté numérique ne peut en aucun cas exister si la notion de réversibilité n'est pas mise en avant : tous les monopoles de fait, américains ou chinois, existent car il n'y a pas d'alternative reposent sur l'irréversibilité. C'est un cercle vicieux duquel il est impossible de sortir.

M. Jérôme Bascher. - Merci beaucoup. Vos propos démontrent à quel point le sujet juridique est majeur. Par le passé, nous restions focalisés sur la localisation physique des données et des infrastructures. Aujourd'hui, il semblerait que les problèmes d'insécurité juridique et de régulation mondiale soient devenus plus prégnants. Qu'en pensez-vous ?

Par ailleurs, l'Union européenne et la France pourraient-elles adopter une attitude de patriotisme économique en valorisant un leader ?

M. Michel Paulin. - Sur le premier point, je suis parfaitement d'accord avec vous. La localisation des données est un enjeu purement technique. Le lieu est choisi pour des raisons d'efficacité. Chez OVH, nous avons des sites en France, en Espagne, en Italie ou en Asie.

En revanche, le droit applicable à ces données dépend de l'acteur hébergeur. S'il est américain, il relève des juridictions américaines. Dans ce cas, quand bien même les données seraient stockées en France, elles seraient soumises à l'application du Cloud Act. Jusqu'à présent, il y avait un échange entre deux juges pour obtenir une transmission de ces données. Avec cette réforme, l'État américain échappe à cette phase d'entente judiciaire. Cette évolution est effectivement majeure.

De plus, les données ont vocation à circuler. La souveraineté des données apparaît comme un enjeu essentiel pour les États et pour l'Union européenne. Je n'aspire pas à ce que l'ensemble des données soit stocké en Europe. Pour autant, l'État doit avoir conscience des effets attachés à certaines de ses décisions, notamment celles visant à confier à des acteurs étrangers le soin de conserver des données. Nous discutons fréquemment avec des acteurs comme l'Anssi (Agence nationale de la sécurité des systèmes d'information), mais ce dialogue ne revêt pas de réel enjeu tant ce domaine est régulé. À l'inverse, les secteurs bancaires ou médicaux doivent attirer toute notre attention sur ces questions.

Sur le second point que vous avez évoqué, je pense que l'Europe souffre d'un complexe d'infériorité par rapport aux entreprises américaines et chinoises. Trop souvent, elle n'accorde pas aux entreprises européennes toute la reconnaissance qu'elles mériteraient. Or il existe énormément de succès en Europe. Ceux concernant les entreprises américaines semblent davantage médiatisés.

Il me semble également qu'il faudrait rechercher les solutions numériques en Europe, plutôt que d'avoir le réflexe de se tourner vers les entreprises étrangères. Sans parler de mettre en place un patriotisme économique, je constate parfois qu'OVH n'est même pas consultée au cours de certains appels d'offres.

M. Jérôme Bignon. - À titre personnel, je suis un adepte d'OVH, dont je suis client.. En tant qu'élu des Hauts-de-France, je fais preuve d'une certaine solidarité territoriale. De plus, je suis issu d'une tradition familiale de patriotisme industriel. Il me semble que cette attitude a du sens à l'heure actuelle.

Je déplore que beaucoup de citoyens n'aient plus conscience de la nécessité d'être attentifs aux endroits dans lesquels des richesses peuvent se développer. Le succès d'Airbus pourrait être transposé dans le numérique. Il me semble que nous disposons des mêmes compétences que les ingénieurs de la Silicon Valley. Je me demande également si OVH ne pourrait pas agir plus pour être mieux connue du grand public.

Par ailleurs, je rejoins votre approche de la question extraterritoriale. La solution développée dans le Cloud Act est contraire aux fondements de notre droit. C'est un vrai sujet pour lequel nous devons continuer à rechercher des solutions.

La question de la réversibilité est également essentielle. Sans réversibilité, le stockage s'apparente à une confiscation des données. Mais au-delà des problématiques de stockage, il s'agit à mon sens d'un abus de droit. Cette qualification juridique mériterait d'être creusée dans l'optique d'un contentieux.

M. Michel Paulin. - Les entreprises européennes, dont OVH fait partie, de mener une introspection visant à accroître leur capacité à gagner en visibilité. À l'étranger, les aides dont nos concurrents ont pu bénéficier au départ ont fortement participé à leur déploiement. À mon sens, trois facteurs expliquent les différences qui existent entre ces entreprises et les nôtres.

Tout d'abord, les États américains et chinois ont mis en place un écosystème centré sur l'accompagnement des entreprises. Si le système chinois repose sur un État omniprésent, le système d'aide américain est plus décentralisé, mêlant des fonds privés et publics, provenant de l'État, des collectivités locales et des universités... De plus, l'État aide directement les start-ups par le biais des commandes publiques.

Ensuite, le marché européen est très morcelé, en raison de la diversité des langues et des législations. Les entreprises qui veulent s'y implanter doivent réaliser des investissements importants pour un résultat peu rentable comparé à celui escompté sur un marché d'envergure comme le marché chinois.

Enfin, les coûts induits par le marketing en Europe sont considérables. Une stratégie visant à faire croître la notoriété d'une entreprise est plus facile à mettre en oeuvre aux États-Unis qu'en Europe.

Je partage donc votre constat et le regrette tout autant. Pour autant, le nombre de start-ups rachetées sur notre sol par les entreprises américaines démontre bien à quel point les entreprises européennes regorgent de bonnes idées. Il faut donc accompagner leur développement.

M. Franck Montaugé. - Vous avez souligné l'intérêt du RGPD. Pensez-vous qu'il puisse être comparé au Cloud Act, ce qui permettrait de rétablir une forme d'équilibre entre l'Union européenne et les États-Unis ? Je rappelle que cela constitue l'une des orientations du rapport Gauvain.

Disposez-vous de serveurs aux États-Unis ? Dans ce cas, comment allez-vous gérer le Cloud Act ?

Vous avez évoqué l'enjeu important de la réversibilité. Lors de nos auditions précédentes, plusieurs personnes se sont prononcées en faveur de l'interopérabilité et de la portabilité des données. Partagez-vous leur opinion ? Je suis conscient que votre secteur d'intervention est différent, pour autant j'ai cru comprendre votre adhésion aux systèmes en open source.

La situation actuelle dans laquelle les données se situent à 80 % dans les centres de données et à 20 % sur les sites de production de données va s'inverser. Comment appréhendez-vous cette évolution ? Eu égard à votre modèle économique centré sur le stockage de données, allez-vous garder la même stratégie de spécialisation, ou développerez-vous d'autres activités liées à la commercialisation de données ?

M. Michel Paulin. - Aux États-Unis, notre filiale est régie par le droit américain. À ce titre, elle respecte scrupuleusement la loi américaine. En revanche, nous avons fait en sorte que seule cette filiale soit soumise au Cloud Act,.et qu'elle ne dispose d'aucun accès aux données situées à l'extérieur des États-Unis : il s'agit d'un bastion isolé. L'accès ne serait tout simplement pas possible d'un point de vue technique : de ce fait, aucun agent américain ne pourra accéder aux données situées en dehors du territoire américain. Cet exemple est totalement unique dans notre activité, puisque l'ensemble des sociétés européennes de notre groupe est soumis aux mêmes règles. Le cas américain est donc à part.

Notre activité n'est pas concernée par les questions d'interopérabilité ou de portabilité. Pour autant, nous mettons en avant la réversibilité du stockage qui est fondamentale à l'heure actuelle. OVH se doit d'offrir à ses clients la possibilité de revenir en arrière - nous travaillons beaucoup avec OpenStack pour garantir cette réversibilité. À leur tour, nos clients offrent aux leurs cette même garantie. À ce titre, nous agissons comme un facilitateur. Sans la réversibilité, le risque est de mettre en place une situation de monopole de fait. Cela conduirait à ne laisser exister que les seules Gafa. Or OVH entend se positionner comme une alternative sérieuse à ces entreprises.

Nous ne souhaitons offrir que des services de cloud. Il nous paraît important de rester focalisés sur ce secteur pour plusieurs raisons. Tout d'abord, c'est un marché qui présente un potentiel de croissance important. Notre objectif est de nous maintenir dans le top 10 des entreprises mondiales du secteur. Ensuite, ce domaine implique de réaliser des investissements massifs dans nos infrastructures et dans la recherche et le développement. Or, face à nos concurrents qui disposent de moyens colossaux, nous devons consacrer toute notre énergie dans ce sens. Se diversifier nous exposerait à un risque de dilution. Nous concentrer sur notre savoir-faire nous permet de conserver notre position d'alternative aux GAFA, et de proposer un cloud de confiance à nos clients.

J'aimerais évoquer l'edge computing. C'est à la fois un sujet technique et un modèle économique. Au niveau du modèle économique, cela ne change pas ce qui existe déjà. Être capable de gérer un centre de données nécessite de l'innovation et des compétences, ce dont nous disposons déjà. À ce titre, nous sommes, avec d'autres, les acteurs les mieux placés pour tenir ce rôle.

Dans ce contexte, l'avenir du cloud réside-t-il dans des gros centres de données interconnectés pour traiter l'ensemble des données ? Je ne le pense pas. Si je prends l'exemple des voitures autonomes, leur mise en place nécessitera énormément de données pour analyser la route et échanger les informations de manière très rapide avec un centre de données local. De nombreuses interrogations restent à résoudre, mais il est clair que ce rééquilibrage aura lieu.

M. Gérard Longuet, rapporteur. - Dans le monde du numérique, la mémoire est interminable. Rien n'est oublié. Dans le secteur de la gestion des données, l'archivage et le stockage sont des domaines très vivants. Dans ce contexte, comment appréhendez-vous cette notion de permanence, qui détient la propriété de ce patrimoine et comment se gère-t-il ?

M. Michel Paulin. - D'un point de vue purement technologique, tout le matériel magnétique a une durée de vie limitée. Les nouvelles technologies reposent désormais sur un matériel en verre qui peut durer des millénaires. Bien entendu, cela interroge sur l'intérêt de conserver des données sur une telle période.

Notre approche est basée sur la volonté de nos clients. Ce sont donc eux qui décident pendant quelle durée ils souhaitent que leurs données soient conservées. En tant qu'hébergeurs, nous ne sommes que des dépositaires et ne regardons jamais leurs données. Cela permet à nos clients de nous confier leurs données en toute confiance. Leurs souhaits sont très variables au sujet de la durée de conservation. En toute hypothèse, nous leur fournissons un service conforme à leurs exigences.

M. Gérard Longuet. - Assurez-vous d'autres prestations liées à l'utilisation des données pour le compte de vos clients ?

M. Michel Paulin. - Non. Les GAFA le font. Ce sont des acteurs qui hébergent et fournissent d'autres services. Ils agissent à la fois comme hébergeurs et comme fournisseur de services - ce qu'on appelle Software as a Service ou Saas. OVH a pris le parti de ne pas se positionner de la sorte. Nous nous limitons à proposer des solutions de cloud à nos clients. De ce fait, aucun de nos salariés ne peut accéder aux données hébergées.

M. Gérard Longuet. - J'imagine que vous consacrez une part d'investissements importante à votre activité.

M. Michel Paulin. - Ces dernières années, nous avons réalisé 1,5 milliard d'investissements, ce qui est effectivement très important. Sur le plan comptable, nos amortissements sont élevés. Nous agissons comme un véritable acteur industriel. Nous concevons et construisons l'ensemble de nos serveurs, après avoir acquis leurs composants qui arrivent dans notre site de Croix.

Ce processus de fabrication interne présente trois avantages : tout d'abord, en évitant toute sous-traitance, nous faisons des économies. Ensuite, nous maîtrisons la qualité de nos serveurs. Enfin, nous nous assurons de la traçabilité de l'ensemble du processus depuis sa conception jusqu'à sa mise en place.

Cette chaîne est entièrement transparente. Le logiciel de robotisation nous appartient pour l'avoir développé en interne. De ce fait, tous nos systèmes peuvent être audités. Cette intégration verticale est assez remarquable dans l'industrie.

M. Gérard Longuet. - Les évolutions technologiques dans votre secteur sont-elles régulières ou risquez-vous d'être frappés par une révolution technologique rendant vos équipements obsolètes ?

M. Michel Paulin. - Tout notre métier repose sur l'innovation. Notre capacité à innover est donc une question de survie. Dans notre domaine, un cycle long ne dure que deux à trois ans. Par conséquent, il faut sans cesse être capable d'anticiper les tendances.

À titre d'exemple, je citerai le procédé de refroidissement par l'eau de notre serveur, très innovant. De même, nous avons déposé beaucoup de brevets qui nous permettent de nous distinguer dans ce secteur.

Pour rester innovants, nous avons conclu des partenariats avec plusieurs start-ups européennes, dont Systran, une société française en pointe sur l'intelligence artificielle appliquée à tout ce qui est audio, notamment pour la capacité à détecter des choses par le langage.

Je pourrais donner d'autres exemples. Ces collaborations démontrent notre conviction qu'à plusieurs, nous pourrons fédérer et démultiplier nos efforts de recherche. L'État et les collectivités territoriales doivent jouer un rôle dans ce contexte. Nous-mêmes fournissons aux start-ups, dans le cadre de notre programme « digital launchpad », des solutions en matière de cloud, de formation et d'assistance parce que nous sommes pleinement conscients de la difficulté qu'il y a à se développer sur ce marché. Nous avons déjà aidé 1 500 start-ups dans ce cadre.

L'ensemble de l'écosystème européen doit développer sa capacité à travailler ensemble pour continuer à innover. Sans cela, il ne sera pas en position de survivre sur ce marché.

M. Gérard Longuet, rapporteur. - J'aimerais savoir si dans le cadre de votre activité professionnelle vous ressentez le souffle de ces géants du numérique.

M. Michel Paulin. - De manière quotidienne. À chacune de nos rencontres avec un client ou une collectivité territoriale, nous sommes comparés à Google. C'est donc une réalité concrète pour nous.

M. Gérard Longuet, rapporteur. - Évoquez-vous le client final ou le vendeur ?

M. Michel Paulin. - Parmi nos clients se retrouvent tous types d'acteurs. L'essentiel de notre chiffre d'affaires se fait à l'étranger. Parmi nos clients en France, on retrouve à la fois des entreprises du CAC 40 comme la Société Générale ou Auchan et de grands intégrateurs comme Capgemini ou Thalès, qui s'adressent au client final. Nous avons aussi des sociétés dites « digital native » qui ont bâti l'ensemble de leur activité autour du cloud.

En réalité, nous menons une compétition permanente avec les entreprises du numérique. Leur puissance de lobbying est particulièrement développée.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est ouverte à 14 heures.

Audition de M. François Villeroy de Galhau, Gouverneur de la Banque de France

M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de Monsieur François Villeroy de Galhau, gouverneur de la Banque de France.

Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Villeroy de Galhau prête serment.

M. le Gouverneur, avec la révolution numérique, les entreprises tentent aujourd'hui de concurrencer les États dans l'exercice de leurs missions régaliennes, y compris celle de battre monnaie. Nous le voyons aujourd'hui avec Facebook qui a confirmé son intention de lancer sa propre monnaie, le Libra, dès le début de l'année 2020.

Cette annonce a immédiatement suscité d'intenses réactions, en particulier de la part des régulateurs et des banques centrales concernés en premier lieu par ce projet. Aujourd'hui, les autorités nationales et européennes ne considèrent pas que les cryptoactifs soient de nature à perturber la stabilité de nos systèmes financiers. Le projet de Facebook ne remet-il pas cela en cause ? Nous pouvons imaginer que d'autres géants du numérique américains ou asiatiques choisiraient de développer leur propre cryptomonnaie, ce qui fragiliserait certainement notre système.

Vous défendez également, M. le Gouverneur, la solution de systèmes de paiement européens alors que ce marché est de plus en plus dominé par des acteurs américains ou chinois. En quoi est-ce un enjeu pour notre souveraineté numérique nationale ou européenne ?

Enfin, nous avons beaucoup entendu parler, lors de nos auditions, du risque cyber. Quels sont ces risques dans les domaines financier et bancaire ? Quelles actions la Banque de France a-t-elle entreprises pour protéger le système financier ?

M. François Villeroy de Galhau. -C'est une évidence de souligner à quel point votre enquête est primordiale tant le numérique se situe au coeur de notre système financier. Les acteurs du système financier ont été parmi les premiers à devoir opérer leur transition vers le numérique. En effet, l'ampleur des données collectées nécessite un traitement de masse., la donnée étant par ailleurs au coeur des questions que vous avez soulevées, notamment pour les systèmes de paiement. La capacité des acteurs existants à s'adapter à cette transformation est un enjeu énorme pour leur développement économique.

Parmi les sujets que vous avez cités, vous me permettrez d'esquisser une hiérarchie. Tout d'abord, je relève un certain nombre de points très débattus dans la sphère publique, à l'instar des cryptoactifs, tandis que d'autres sont moins évoqués, mais encore plus importants à court-terme pour la souveraineté de notre pays et de l'Europe, telles la stratégie des paiements et la cybersécurité.

Commençons par le sujet le plus actuel, les cryptoactifs. En réalité, nous plaçons sous ce vocable des réalités très différentes. Derrière le phénomène des cryptoactifs, il y a une technologie prometteuse pour l'avenir : les blockchains. D'ailleurs, la Banque de France fut l'une des premières banques centrales à les expérimenter, avec les banques françaises, pour l'identifiant Single Euro Payments Aera en Espace unique de paiement en euros (SEPA). L'exploitation de cette technologie a permis l'émergence de deux catégories d'actifs : les cryptoactifs et les stable coins (« valeurs stables »).

Au sein de la première catégorie, nous retrouvons les actifs fortement spéculatifs, type bitcoin. Le G20 a estimé que ces instruments ne constituaient pas une menace pour la stabilité de la finance mondiale, en raison de leur volume limité. Pour autant, le G20 a également rappelé que nous devions rester vigilants sur la lutte contre le blanchiment d'argent et de la protection des consommateurs. Les bitcoins sont un placement très risqué, dont personne ne garantit la valeur, et ils doivent donc être réservés aux investisseurs les plus avertis.

La seconde catégorie est illustrée par le lancement du projet Libra par Facebook et ses partenaires. Le terme anglo-saxon pour qualifier le Libra est stable coins, ce que nous pourrions traduire par « valeurs stables ». Cette initiative soulève des questions très différentes pour le régulateur. Le libra, ainsi que tout autre projet de même nature, devront se plier à l'ensemble des règles applicables en matière financière, au niveau national ou international. Le libra est, en outre, encore un projet, qui suscite beaucoup d'interrogations : le libra n'est pas aujourd'hui une réalité pouvant se mettre en place librement. Afin d'analyser cette situation, un groupe de travail a été mis en place au sein du G7 et Bruno Le Maire a confié à Benoît Coeuré le soin d'établir un rapport intermédiaire, pour la réunion du G7 des ministres des finances et des gouverneurs qui se tiendra le 17 juillet, et un rapport définitif, qui sera rendu en octobre 2019.

Jerome Powell, président de la Fed, s'est exprimé hier devant le Congrès américain. Il a estimé que ce projet suscitait de sérieuses interrogations. A mon tour, j'observe effectivement que plus nous étudions le Libra, plus nous partageons cette analyse.

Selon moi, les principales questions concernent d'une part la définition du Libra et de sa valeur, et d'autre part l'usage qui en sera fait.

Le libra se distingue du bitcoin en ce qu'il ne serait pas un actif spéculatif mais posséderait une valeur définie. Reste à savoir par quel moyen. L'intention affichée est de définir la valeur par rapport à un panier de monnaies. À ce jour, nous ignorons quelles seront ces monnaies sous-jacentes. De plus, Facebook laisse entendre que la valeur ne sera pas le résultat de ce panier, mais dépendra des réserves investies par le projet Libra. Au final, ce serait donc la valeur des placements qui déterminerait celle du Libra. Même s'il s'agit de placements assez sûrs, en dépôts bancaires ou en titres obligataires, avec peu de volatilité, cela introduit une incertitude pour ceux qui y souscrivent. Par ailleurs, nous ignorons toujours si les investissements réalisés en Libra pourront être échangés à tout moment contre des monnaies  « de plein exercice ».

Quelle est la finalité de ce projet ? Je ne peux que constater à quel point les ambitions affichées sont élevées, et ce à trois niveaux.

Tout d'abord, le Libra serait un moyen de paiement. Un particulier qui entrerait dans le système pourrait ainsi payer ou transférer des fonds en Libra. Au passage, je note la lourdeur et le coût des procédures de paiements transfrontières aujourd'hui, situation à laquelle nous devrions apporter des améliorations. L'utilisation du Libra comme instrument de paiement pose d'autres questions plus directes, notamment celle de la lutte anti-blanchiment. Il est hors de question que ce moyen de paiement se traduise par une régression par rapport à tous les progrès internationaux réalisés dans ce domaine. Je rappelle qu'en l'état des annonces de Facebook, les utilisateurs de Libra seraient anonymes, ce qui n'est pas concevable dans le cadre de la réglementation anti-blanchiment. De même, la question de la protection des données devra être observée de près. Les flux de données associés aux paiements sont très sensibles. Ces données seront-elles revendues ? Le libra satisfera-t-il aux exigences du RGPD ?

Ensuite, nous pouvons nous demander si le Libra ira de pair avec la proposition de services bancaires. Dans le libre blanc présenté lors de l'annonce de la Future création du Libra, il y a en effet une intention affichée d'offrir des moyens de dépôts, des instruments de placement et des crédits. La réglementation est parfaitement claire à ce sujet. Si une entreprise offre des services bancaires, elle doit détenir une licence bancaire. Cette condition est applicable dans l'ensemble des grands États. À défaut, la situation serait totalement illicite.

Enfin, l'ambition la plus forte réside dans l'affirmation selon laquelle le Libra serait une monnaie privée mondiale. Nombre d'expériences de ce type ont connu une fin malheureuse dans le passé. Sur le plan politique et démocratique, ce type d'ambition ne peut que susciter une attitude de méfiance. La mission monétaire a été confiée aux banques centrales par le législateur et les banques centrales sont comptables de leurs résultats. Je rappelle que la monnaie est un bien public chargé d'assurer trois fonctions : c'est un moyen de paiement, une unité de valeur reconnue par tous et une réserve de valeur. A ce stade, le Libra ne présente aucune de ces trois fonctions.

M. Gérard Longuet, rapporteur. - Comment analysez-vous la démarche de Facebook ? Est-ce une stratégie de communication visant à engager des négociations ou plutôt une provocation qui restera sans effet réel ?

Vous avez évoqué la technologie des blockchains. Pouvez-vous nous expliquer comment elle fonctionne ? Quel est son objectif ?

Je vous rejoins dans votre distinction entre les instruments spéculatifs de type bitcoins et ceux plus stables de type Libra. Malgré tout, les deux posent la question de l'économie du jeton. Aujourd'hui, l'économie numérique présente une apparente gratuité alors même que les données des utilisateurs sont commercialisées. Dans ce contexte, nous pourrions imaginer que les utilisateurs seraient prêts à payer pour utiliser des jetons, plus simples que des cartes de crédit. Qu'en pensez-vous ? Serait-ce utile ? Y aurait-il une régulation à envisager ?

M. Franck Montaugé. - J'aimerais aussi que vous reveniez sur les solutions de paiement européen et sur la question de la cybersécurité.

M.  Villeroy de Galhau. - Je ne suis pas le plus qualifié pour me prononcer au sujet des intentions de Facebook. Je partage bien volontiers les deux hypothèses que vous avez proposées. Ce projet a aussi une rationalité économique ; il permettrait à Facebook de dépasser son coeur de métier - les réseaux sociaux - domaine qui rencontre aujourd'hui ses limites. Certains évoquent également le fait que ce projet permettrait de collecter davantage de données, qui seraient ensuite monétisées et commercialisées La question reste donc ouverte à ce jour. Dans notre dialogue avec Facebook, nous devrons aborder ces différents points sans faire preuve de naïveté. Ce projet n'est pas seulement guidé par la recherche du bien commun, il répond aussi à des intérêts privés.

Les blockchains sont une technologie de registre distribué qui permet de remplacer certains tiers de confiance, de partager des informations ou de réaliser des transactions dans des conditions beaucoup plus rapides, économiques et sûres.. La sécurité du système repose sur la production d'algorithmes, rémunérée par l'octroi de bitcoins. Dans les blockchains publics, nous ne recourons pas à des bitcoins, mais le principe reste le même. Reste à déterminer quelle est la capacité de cette technologie à supporter un très grand nombre de transactions. En effet, à ce jour, son utilisation reste limitée à des transactions peu nombreuses. Attention, la blockchain n'est pas consubstantielle au libra.

Pour aborder les enjeux de l'économie du jeton, nous devons malheureusement utiliser des termes anglais. Il en existe deux majeurs : le coin que nous traduisons par « unité » et le token, par « jeton ». Selon moi, une meilleure traduction de token pourrait être « certificat ». En réalité, le token est un coin plus un service associé, avec un contenu d'informations. La grande question est donc de savoir si les transactions en jetons peuvent attirer les particuliers et les entreprises à l'avenir. Si je m'en tiens à la fonction paiement, je pense que deux questions majeures se dégagent.

D'une part, l'apparition des jetons, ou certificats, interroge sur nos systèmes de paiement. À ce jour, le système européen de paiement fonctionne bien, par exemple grâce au système TIPS. Pour autant, dès que nous sortons de l'Europe, les systèmes de paiement sont lents, coûteux et parfois indisponibles. C'est le premier défi auquel ces jetons renvoient.

D'autre part, les jetons nous ramènent au débat sur la création d'une monnaie digitale de banque centrale. Jusqu'à présent, la monnaie des banques centrales accessible était le billet de banque. Malgré notre attachement à celui-ci, nous constatons une nette diminution de son usage. Le pays qui se distingue particulièrement à ce niveau en Europe est la Suède. La part des transactions en espèces y est tombée entre 10 et-20 %, contre 60 % en France. De ce fait, la Banque de Suède se penche sur la mise au point d'une e-couronne, une monnaie banque centrale offrant la même garantie aux Suédois que les billets. Or, si on prend le libra, on a le « risque Facebook », l'entreprise peut faire faillite. Le propre d'une monnaie souveraine est au contraire d'avoir la garantie la plus forte qui soit, celle de la banque centrale et de l'autorité publique qui est derrière. Au sein de la zone euro, nous n'en sommes pas à ce stade. Pour autant, s'il y a un attrait pour le Libra, cela pourrait nous convaincre d'approfondir nos réflexions sur ce sujet.

Par ailleurs, j'ai effectivement proposé de mettre en place une stratégie européenne des paiements. Ce sujet est moins hypothétique, c'est aujourd'hui une réalité. Les acteurs financiers sont les opérateurs traditionnels du paiement. Jusqu'à présent, c'était plutôt considéré comme une simple activité d'intendance. Désormais, avec l'entrée de grands acteurs du digital, américains ou chinois, sur ce marché, ce secteur se transforme en profondeur. Ces acteurs peuvent entrer dans la sphère financière via les paiements. Ils ont d'ailleurs commencé à le faire, avec des projets tels que Apple Pay, Ali Pay ou certains services proposés par Amazon. Ils entrent donc par le biais des systèmes de paiement dans ce secteur car les barrières à l'entrée sont peu nombreuses et la régulation, notamment en matière de capitaux, moins exigeante que pour les activités bancaires « pleines ». Cette activité génère en outre deux « trésors » : la récupération de données et la relation clients. Leur intérêt économique certain représente une incitation forte à entrer sur le secteur des paiements.

À l'heure actuelle, l'Europe s'est dotée d'une solution pour les paiements transfrontières instantanés avec le système TIPS, sous l'égide de la Banque centrale européenne (BCE). Pour autant, je déplore que nous ne disposions pas de grandes entreprises digitales européennes pour proposer des solutions de paiement européennes, alors qu'elles sont encore, en large partie, nationales. Pour rattraper ce retard, le temps nous est compté. À défaut, ce seront encore une fois les grands acteurs internationaux qui domineront ce marché, au détriment des acteurs européens. Selon moi, il ne nous reste qu'un à deux ans, avant qu'il ne soit trop tard pour être présent sur ce marché stratégique crucial. Une stratégie européenne des paiements doit reposer sur une consolidation des schémas nationaux existants, sur l'utilisation de TIPS et, éventuellement, de nouvelles technologies, sur une marque commune de paiements et sur une politique des données bien définie (localisation, protection, accès).

M. Franck Montaugé. - Que pouvez-vous nous dire sur la cybersécurité dans le secteur bancaire ?

M.  Villeroy de Galhau. - Il s'agit d'un autre enjeu majeur de notre époque et d'une menace déjà existante. Nous incluons la cybersécurité dans nos contrôles et dans notre supervision des établissements financiers : cela fait partie des risques opérationnels. La première ligne de défense face aux cyberattaques réside dans les institutions financières elles-mêmes. Il en est de même pour les banques centrales.

Notre mobilisation est très forte sur ces sujets : investissements, constitution d'équipes spécialisées, schémas de simulation d'attaques en interne.... Je le dis avec prudence mais fierté : si certaines banques centrales étrangères ont été visées par des attaques graves, à l'instar de la Banque centrale du Bangladesh en 2016, il n'y a pas eu à la Banque de France d'attaques cyber ayant eu la moindre conséquence.

Pour autant, cela ne saurait suffire. Il est hors de question que nous relâchions notre vigilance à l'avenir. La menace ne cesse de s'amplifier à une vitesse et dans des proportions plus élevées que nos efforts visant à la contrer. De même, autant les efforts nationaux se sont accrus, autant la coopération entre États reste perfectible. C'est même notre point faible.

La Banque de France a coordonné le premier exercice de simulation de crise en juin 2019, exercice qui a réuni les banques centrales, les autorités financières et des acteurs financiers des pays du G7. Cet exercice de trois jours fut riche d'enseignements. Il s'agissait moins de savoir comment éviter une crise que d'apprendre à la gérer. Nous proposons qu'une telle expérience soit réitérée et pérennisée.

En outre, si nous avons réalisé des progrès en matière de partage d'informations sur les crises, (par exemple sur les modalités de repérage et de déclaration des incidents), nous devons encore progresser sur la catégorisation des incidents. C'est un sujet sensible : le partage des informations ne peut se faire qu'au sein de cercles limités, comme le G7. Pour partager des informations, nous devons en effet partager un langage commun, notamment sur la gravité des incidents.

Concernant les règles encadrant la sécurité des établissements bancaires et des compagnies d'assurance, leur rédaction mériterait d'être harmonisée et complétée. Depuis la crise financière, nous avons porté toute notre attention sur les risques financiers. Il est temps de nous tourner également vers les risques technologiques qui sont une priorité. Le Comité de Bâle doit pouvoir mener les travaux dans ce domaine.

M. Gérard Longuet. -Deux questions de nature plus prospective : d'une part, comment les banques parviennent-elles à gagner de l'argent avec des taux d'intérêt si bas ? D'autre part, comment est-ce possible d'assurer un service de paiement coûteux pour les opérateurs sans que l'utilisateur paie ce service ?

Face aux établissements financiers qui sont des acteurs naturels de ce marché se trouvent des compétiteurs nouveaux qui ont un contact direct avec des centaines de millions, voire des milliards d'individus. Le coût additionnel de la fonction paiement resterait marginal dans leur activité, tout en créant pour eux une valeur nouvelle. La vente de données générerait pour eux des recettes dont les acteurs traditionnels ne bénéficient pas pour compenser leurs investissements. Cela crée donc un déséquilibre structurel.

M. François Villeroy de Galhau. - Quand nous sommes en dessous de la cible d'inflation de 2 %, objectif inscrit dans le mandat qui nous a été confié, il est de notre devoir d'y répondre, par des politiques monétaires accommodantes. L'inflation tardant à repartir, ces politiques ont été prolongées. Le niveau historiquement bas des taux d'intérêt découle de ce mandat. Malgré tout, je suis attentif aux effets de cette politique sur les banques. Si les établissements bancaires ne relèvent que les conséquences négatives de cette politique, je tiens à en souligner les effets positifs que sont le soutien à la croissance et donc à l'activité des banques d'une part, et la diminution de la charge du risque d'autre part. Il est vrai que si cette politique venait à perdurer, ses effets négatifs prendraient sans doute le dessus sur ses effets positifs. Le débat qui est devant nous est donc celui d'éventuelles mesures d'atténuation des effets des taux bas sur les banques commerciales.

S'agissant des paiements, je tiens à nuancer les positions exprimées. Aujourd'hui, pour les banques et pour les acteurs traditionnels, cette fonction induit le paiement d'une cotisation par titulaire du compte et d'une commission par le commerçant ; De plus, l'activité de paiement rapporte également des profits importants grâce aux comptes de dépôt associés.

Il est possible que les nouveaux acteurs entrant sur ce marché se présentent avec un modèle économique radicalement différent. Ils recherchent avant tout les « trésors » que j'évoquais précédemment, à savoir les données et la relation avec les clients. En cela, la vraie valeur des paiements est moins la captation des profits attachés à ce service que la captation des données. Cette évolution nous offre un défi à relever. Pour ce faire, je le répète, nous ne disposons que de peu de temps pour développer une politique européenne sur cette activité totalement stratégique. Soit l'Union européenne se mobilise rapidement, soit nous ne serons que des simples consommateurs de services produits par d'autres. J'appelle de mes voeux le développement d'une stratégie européenne des paiements.

M. Franck Montaugé. -Le sujet de la souveraineté numérique renvoie naturellement à celui du développement de l'intelligence artificielle ou du deep learning. Considérez-vous que es moyens soient suffisants pour développer des outils en mesure de nous aider à prévenir les crises financières ? Pouvons-nous espérer des progrès dans ce domaine, que ce soit dans la manière d'observer les mouvements du marché ou d'analyser les risques afférents ?

M.  Villeroy de Galhau. - C'est une question très importante qui appelle deux niveaux de réponse. Tout d'abord, je pense que la révolution numérique est centrale pour les banques, et ce pour chacune de leurs activités. Une banque qui n'investirait pas massivement dans ces outils serait condamnée à sortir du jeu. Je me réjouis de constater que la quasi-totalité des banques françaises a su prendre la mesure de ce tournant et investir massivement. En effet, pour un acteur installé, il est parfois plus délicat d'opérer une telle transition que de lancer un nouveau système.

Ensuite, je tiens à insister sur la nécessité de porter une attention particulière à l'utilisation des algorithmes. Certes, l'intelligence artificielle peut aider à mieux analyser certaines situations et repérer des anomalies, mais elle ne pourra en aucun cas remplacer le jugement d'un être humain, la gouvernance ou l'analyse des risques. Je ne crois absolument pas qu'un algorithme sera à même de faire seul de la prévision. Il peut constituer un support, mais les données devront malgré tout être analysées par un expert.

Ainsi, les indicateurs délivrent fréquemment des faux négatifs et des faux positifs. Il est très heureux de disposer de ces indicateurs, mais seul un jugement collectif, éclairé par l'expérience et les compétences permettra de les utiliser au mieux. Les autorités publiques ne prétendent pas être omniscientes : elles reçoivent une mission, elles doivent rendre des comptes et elles exercent leur responsabilité de manière transparente. L'analyse doit se faire en ayant pleinement conscience de la responsabilité qu'elle induit. De ce point de vue-là, aucun projet privé ne me semble pouvoir être équivalent aux fonctions des banques centrales.

M. Franck Montaugé, président. - Je constate avec plaisir qu'il reste donc une place pour l'être humain dans ce système.

M. François Villeroy de Galhau. - Beaucoup de ces techniques constituent toutefois de véritables progrès.

M. Gérard Longuet, rapporteur. - Nous allons prochainement recevoir les représentants de Facebook dans notre commission. Nous ne manquerons pas de leur poser les questions ici soulevées.

La réunion est close à 16 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.