- Lundi 2 septembre 2019
- Mardi 3 septembre 2019
- Audition de Mme Nicole Belloubet, ministre de la justice
- Audition de Mme Florence Parly, ministre des armées
- Audition de MM. Julien Groues, directeur général et Stéphan Hadinger, directeur technique pour Amazon Web services
- Audition de MM. Michel Coulomb, responsable des ventes, région sud incl. France, Daniel Matray, responsable App Store Europe, et Erik Neuenschwander, responsable Vie privée des utilisateurs, d'Apple
Lundi 2 septembre 2019
- Présidence de M. Franck Montaugé, président -
La réunion est ouverte à 14 heures.
Audition de M. Christophe Castaner ministre de l'intérieur
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de M. Christophe Castaner, ministre de l'intérieur. Cette audition sera diffusée en direct sur le site Internet du Sénat et elle fera l'objet d'un compte rendu publié.
Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, M. Christophe Castaner prête serment.
Monsieur le ministre, vous êtes à la tête d'un important ministère régalien, l'Intérieur, qui doit répondre aux défis que représente la révolution des technologies numériques pour notre souveraineté et pour l'intégrité de notre ordre juridique face à des menaces nouvelles.
Votre ministère a publié en juillet dernier un bilan de L'état de la menace liée au numérique en 2019 et cette feuille de route liste la souveraineté numérique parmi les défis stratégiques identifiés. Peut-être pourrez-vous, à titre liminaire, nous exposer l'état de ces menaces ainsi que les réponses que votre ministère contribue y apporte.
La souveraineté à l'ère du numérique pose également le problème de la liberté de conscience et de choix du citoyen, en matière électorale notamment. Le scandale de Cambridge Analytica a révélé la manière dont le vote de certains citoyens américains a été manipulé lors des dernières élections présidentielles. Il serait utile que vous nous présentiez les dispositions prises par votre ministère et le Gouvernement pour éviter de telles dérives, tout en garantissant le choix le plus libre possible du citoyen électeur.
Les modèles économiques des grands acteurs du numérique passent aujourd'hui par la mise en oeuvre de stratégies d'évitement, ce qui leur permet d'échapper aux contraintes traditionnelles de notre ordre juridique. Obtenir, par exemple, la coopération de grandes plateformes situées à l'étranger n'est pas toujours aisé : quelles difficultés vos services d'enquête rencontrent-ils, et quelles solutions nous sont offertes ? Pensez-vous qu'une évolution du statut des plateformes serait de nature à redonner force d'intervention à l'État au titre de l'intérêt général et de la protection de nos concitoyens ?
M. Christophe Castaner, ministre. - J'ai pris l'engagement de dire toute la vérité, eu égard à la connaissance que nous avons aujourd'hui en la matière. Or, sur ce sujet, la connaissance d'aujourd'hui n'est jamais celle de demain, ni celle d'après-demain. Ce sujet absolument majeur concerne l'ensemble des ministères : il importe d'être extrêmement vigilant et armé. Vous avez rappelé la fonction régalienne du ministère de l'intérieur, mais presque tous les ministères doivent contribuer à traiter de la question de la souveraineté numérique, ainsi que les collectivités locales et les acteurs publics.
Il faut agir à deux niveaux : tout d'abord, il faut agir sur la conscience. L'intérêt de votre commission d'enquête est d'attirer l'attention sur l'importance de ce sujet en soulignant combien il convient d'être vigilant dans les comportements. Le rapport de 2019 sur la cybermenace pose au préalable la question essentielle de la prévention - il faut avoir conscience du risque. Il faut aussi agir sur la question de la transversalité, avec l'ensemble des autres ministères, dont celui de la défense notamment, et sur celle de la modestie, car la question de la souveraineté numérique relève non pas d'un ministère, mais de la France, qui vit dans un enclos numérique mondial. Compte tenu de tous les enjeux, la France est-elle suffisamment protégée ?
J'apporterai enfin des éléments de réponse à votre question très précise concernant l'attitude des grandes plateformes numériques.
La question de la souveraineté numérique est au coeur des préoccupations du ministère de l'intérieur. Nous aurons beau nous armer de multiples façons, si nous ne sommes pas en capacité de résister à des cyberattaques, c'est tout l'édifice qui tombera. Je l'ai vécu il y a quelques jours avec la préparation du sommet du G7. Nous savions que les cyberattaques étaient l'une des menaces majeures dont nous aurions pu faire les frais. Nous le savons, certains de nos adversaires n'hésitent pas à choisir des moments sensibles ou médiatiques pour attaquer un pays comme la France. Il est donc indispensable que l'ensemble du Gouvernement s'engage sur cette question. J'insiste sur le lien qui existe entre le ministère de l'intérieur et celui de la défense sur la question de la cyberdéfense, sans oublier le travail engagé par le secrétariat d'État au numérique.
Comme je l'ai dit dans mon propos liminaire, il s'agit à la fois d'une question pédagogique et d'une question de travail collectif - c'est ce que j'appelle l'« hygiène cyber ».
Aujourd'hui, il est indispensable que les particuliers, les entreprises, les administrations aient cette hygiène cyber. Nous sommes entrés dans l'ère du numérique par les usages, mais pas forcément par la protection. Les remparts existent, mais ils sont fragiles. C'est de notre capacité à adopter les bonnes pratiques et à ne pas ouvrir nous-mêmes de brèches que dépend notre cybersécurité. Un constat s'impose, le numérique est présent partout : il structure nos échanges, nos déplacements, nos services publics ; il intervient dans toutes les étapes de notre vie et de notre quotidien ; on en est aujourd'hui dépendant. De plus, l'actualité le montre régulièrement, des pans entiers de notre économie s'appuient sur le numérique. Tant le secteur privé que le secteur public sont touchés. Le numérique est un outil formidable qui offre des opportunités extraordinaires, mais si l'on pèche par naïveté, on néglige les risques nouveaux qui y sont associés.
Quand on regarde le seul sujet de la délinquance classique, on voit bien comment les méthodes et le profil des auteurs ont évolué. Par le piratage des données, les mails d'hameçonnage ou d'usurpation d'identité, des champs entiers de criminalité se développent grâce au numérique. L'information est devenue une source d'enjeux et, en parallèle, une source de conflits. La manipulation de l'information peut battre son plein sur internet et peut alimenter des théories totalement délirantes, qui deviennent des vérités pour certains par le biais d'algorithmes. Ceux-ci vont vous envoyer des informations en lien avec ce que vous pensez et non pas ce que vous cherchez. On voit aujourd'hui comment on peut créer un univers qui va vous influencer et, de fait, comment certains vont manipuler l'information pour interférer dans la vie d'un pays, voire, comme vous l'avez relevé, dans le bon déroulement des élections. Notre économie et nos services publics sont, eux aussi, exposés. Il nous faut donc parvenir à construire des remparts.
Nous avons vécu des cyberattaques majeures sur des services publics : un système hospitalier a été attaqué, avec des conséquences extrêmement graves, mais des attaques contre des gares, des moyens logistiques, voire des moyens de production d'énergie peuvent bloquer un pays et donc menacer sa souveraineté.
C'est pourquoi le ministère de l'intérieur agit depuis plusieurs années pour lutter contre la cybercriminalité, les arnaques et les escroqueries en ligne. À cet égard, la plateforme de signalement Percev@l a été créée pour les victimes d'usages frauduleux de leur carte bancaire. L'idée est simple : d'un côté, pouvoir signaler rapidement et facilement afin de limiter le préjudice et, de l'autre, regrouper les éléments d'information et les moyens pour avoir une enquête unique pour des infractions similaires. L'équipement nécessaire pour procéder à une cyberattaque est très différent de celui dont on avait besoin pour braquer une banque.
Par ailleurs, nous avons mis l'accent sur la formation. Aujourd'hui, 80 % de nos policiers et de nos gendarmes sont sensibilisés aux enjeux cyber. Nous formons aussi des enquêteurs spécialisés dans le domaine du numérique. À cet égard, je citerai le réseau cyberGend de la gendarmerie nationale : nous comptons 4 500 enquêteurs cyber sur le territoire, avec l'objectif de parvenir à 6 500 d'ici à la fin du mandat du Président de la République.
Nous sommes particulièrement vigilants en ce qui concerne les attaques contre les entreprises. La Direction générale de la sécurité intérieure (DGSI) se tient à la disposition de toutes les entreprises qui pensent avoir été victimes d'une cyberattaque. Il est essentiel que la Direction générale de la sécurité extérieure (DGSE) centralise les principales attaques pour avoir connaissance des opérations d'ingérence étrangère.
Enfin, nous avons renforcé le dispositif de prévention, et ce dès le plus jeune âge. Pour ne prendre qu'un exemple, j'évoquerai le permis Internet grâce auquel 2 millions d'enfants ont été sensibilisés aux risques d'internet. Ce n'est pas anecdotique ; c'est souvent de cette manière que les bonnes pratiques dont je parle depuis le début de mon propos se développeront. Il faut qu'elles soient des automatismes.
En matière de cybercriminalité, je n'oublie pas que le numérique est un vecteur majeur de menaces terroristes. On voit bien comment les pires actes peuvent s'afficher librement sur les réseaux sociaux. En témoigne l'attentat de Christchurch : alors que la vidéo de treize minutes avait été retirée au bout de vingt-quatre minutes, si je me souviens bien, elle a été vue 1,5 million de fois en vingt-quatre heures - ceux qui la diffusaient s'étant adaptés pour contourner les mesures techniques mises en place par les plateformes.
Sur ce sujet, la France a pris ses responsabilités en créant la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos), qui permet aux internautes de signaler les contenus terroristes ou haineux. Sur le plan européen, elle soutient l'adoption du règlement européen actuellement en cours de négociation afin de permettre le retrait d'un contenu terroriste en moins d'une heure après son signalement. Nous souhaitons que ce dossier puisse très vite revenir devant le nouveau Parlement européen.
Pour réussir en la matière, nous aurons besoin des géants du numérique, mais pas seulement. Lors du premier G7 des ministres de l'intérieur, j'ai invité les responsables des Gafam - Google, Apple, Facebook, Amazon et Microsoft - afin d'avancer sur ce sujet, qui a également été abordé par les chefs d'État et de gouvernement dans le cadre du G7. Ces grands opérateurs ont plutôt été réactifs et se montrent généralement très réceptifs à nos demandes, ce qui a conduit à un infléchissement de la position des États-Unis sur cette question. C'est ce que nous avions appelé « les engagements de Paris » après le G7 ministériel. Le Canada, qui n'était pas du tout offensif en la matière, nous a suivis dans la coopération. Mais nous nous heurtons à une difficulté : concilier la nécessité de lutter contre le terrorisme et la liberté de l'information qui doit circuler sur les réseaux - les Gafam et les entreprises y sont très attachés. Il nous faut donc continuer à faire pression sur ces entreprises.
Concernant la question des grandes plateformes que vous avez évoquée, Monsieur le Président, elles sont plutôt coopératives sur des sujets tels que celui de la lutte contre le terrorisme, contrairement à d'autres opérateurs moins importants mais qui permettent de diffuser des informations et font partie des angles morts, et sur lesquels je voudrais insister.
Les grands opérateurs ont, en effet, des représentants physiques en Europe : Laurent Solly, qui représente Facebook pour la France et l'Europe, est un ancien préfet et un interlocuteur que les administrations connaissent. Ainsi, en matière de lutte contre le terrorisme, Facebook peut se montrer proactif. En revanche - sans même parler du darknet - nous ne disposons pas toujours de correspondant pour d'autres plateformes de communication très utilisées, notamment par les jeunes - le site « jeuxvideo.com » par exemple, s'il ne fallait en citer qu'un exemple. On se focalise beaucoup sur les Gafam - et pour plusieurs raisons, y compris pour des raisons de citoyenneté fiscale, sur lesquelles il ne m'appartient pas de me prononcer - mais le risque se situe aussi au-delà de ces acteurs : les cybercriminels qui utilisent les réseaux savent très bien s'adapter au caractère coopératif ou non des intermédiaires techniques.
Aussi, au fil des années, la plateforme Pharos a enregistré une très forte baisse du nombre de sollicitations, et ce pour plusieurs raisons. Même si elle existe encore, la menace exogène est affaiblie. Daech, qui avait beaucoup utilisé les réseaux sociaux pour diffuser ses outils de haine, est affaiblie, et a aussi compris qu'il avait plus de libertés sur d'autres réseaux, comme le darknet, qui pose de véritables difficultés. Il nous faut donc mener le combat sur ces différents fronts. J'y insiste, se focaliser uniquement sur les Gafam reviendrait à passer à côté d'une partie de la menace.
Pour répondre ensuite à votre question concernant le risque de manipulation de l'information et la sincérité des scrutins, je veux rappeler qu'en France notre mode de scrutin nous protège : la proclamation des résultats ne se fait que sur le fondement des procès-verbaux papier, ce qui limite très sensiblement le risque d'attaque. Il existe certes d'autres types de fraudes, plus locales - je ne pense pas qu'elles soient nombreuses -, mais elles ne sont pas dirigées depuis l'étranger et ne relèvent pas de la question de la souveraineté numérique. Depuis 2007, 66 communes peuvent utiliser des machines à voter, ce qui représente 3 % du corps électoral, leur sécurité est très surveillée, et il n'est pas dans notre intention de revenir sur le moratoire qui avait été décidé sur cette question.
Par ailleurs, des manipulations de l'opinion peuvent être orchestrées par une nation étrangère via la propagation de fausses informations. Ce risque est réel, il touche tous les États occidentaux, cibles de systèmes organisés d'influences. Ainsi a-t-on vu comment 1 % des émetteurs, sur Twitter, pouvaient être à l'origine, sur tel ou tel sujet, de 50 % des tweets, ce qui ne saurait relever du hasard.
En la matière, le ministère de l'intérieur a adopté une posture de grande vigilance. De plus en plus d'outils pour vérifier la véracité d'une information sont à la disposition du public. Des bonnes pratiques existent contre la désinformation en ligne ; la Commission européenne les a recensées dans un guide avant les élections européennes. Le problème reste que chacun peut aujourd'hui se créer sa propre communauté ou banque de données d'informations et s'y enfermer. Les médias traditionnels, y compris les chaînes d'information en continu, sont dépassés par ce phénomène.
J'en viens à énumérer un certain nombre de défis pour notre souveraineté numérique. Premier défi : celui de l'intelligence artificielle. En pleine expansion, elle suscite des débats, notamment sur son usage public, qui doit s'assortir de nécessaires contrôles. À l'heure où toutes les sociétés industrielles investissent massivement dans ce domaine, le ministère de l'intérieur ne saurait passer à côté et il s'est d'ailleurs doté d'un coordonnateur ministériel en matière d'intelligence artificielle.
Autre défi : celui de l'identité numérique, levier fort de garantie de notre souveraineté numérique. Sur ce sujet, nous ne sommes pas en avance, et des pays comme l'Estonie peuvent nous donner des leçons de modernité. Néanmoins, nous avançons : l'année dernière, un programme interministériel chargé de l'identité numérique et hébergé par le ministère de l'intérieur a été mis en place. Il conduit le chantier de la future carte d'identité numérique. Il nous faut garantir le meilleur niveau de sécurité possible.
Dernier défi majeur : celui de la sécurité de nos données. Le piratage de nos données sensibles peut représenter une faille de sécurité majeure pour notre pays et nous placer en situation dangereuse. Nous avons pris des mesures de protection maximales - ce qui ne signifie évidemment pas que le système soit infaillible : j'en appelle à la modestie. Nous assurons nous-mêmes la maîtrise de nos centres d'exploitation informatique, et nous sommes dotés d'un Cloud souverain, particulièrement protégé, pour héberger nos données sensibles. Nous venons de surcroît de créer une direction du numérique unique au sein du ministère - j'ai pris cette décision il y a quelques semaines, et la direction sera opérationnelle au 1er janvier prochain.
La souveraineté numérique est vraiment une question de premier plan. Peut-être ma culture, dans ce domaine, est-elle une culture de l'ancien monde. N'y voyez aucune provocation de la part d'un ministre ayant accompagné la création de La République En Marche : la plupart d'entre nous avons un rapport appris au numérique, et non un rapport d'évidence, comme l'est celui de certains des acteurs auxquels nous avons à faire face. Sur cette question sensible et très complexe, aucune affirmation ne saurait être réputée à l'épreuve du doute, l'imagination de nos ingénieurs et de certains de nos adversaires étant souvent sans limites pour exploiter toutes les failles. J'insisterai sur un mot : vigilance absolue. Et je l'assortirai d'un autre, qui qualifie le mieux l'action du ministère pour lutter contre ces risques : détermination absolue.
M. Gérard Longuet, rapporteur. - Je reprendrai d'ailleurs à mon compte la distinction que vous avez formulée pour conclure, qui me paraît importante pour les sociétés européennes : la différence entre l'appris et l'évident, cette différence ne nous interdisant aucunement de mettre en garde les générations pour lesquelles le numérique est un univers évident, dont elles ne prennent peut-être pas toute la mesure.
Pourquoi les plateformes Percev@l - pour signaler une fraude à la carte bancaire à la police nationale ou à la gendarmerie et THESEE - pour porter plainte pour tout fait d'escroquerie en ligne -se sont-elles développées séparément ? Considère-t-on que la carte de crédit est d'usage universel quand les escroqueries sont par nature plus locales - elles peuvent passer par la carte de crédit, mais pas nécessairement ?
S'agissant de l'identification des personnes, l'identification officielle était historiquement un privilège de l'État ; ce privilège est aujourd'hui de plus en plus contesté par les géants du numérique, qui font valoir leur intérêt, en termes de fidélisation et de captation d'une clientèle, à organiser eux-mêmes l'identification. Quelle place l'État veut-il jouer en matière d'identification à l'intérieur de ce monde numérique - je ne parle pas du monde physique, celui des frontières matérielles ? Existe-t-il une convergence entre l'identification dans l'espace numérique et l'identification dans l'espace matériel ? En particulier, quelle peut être la place de la reconnaissance faciale ? Votre administration, qui a longtemps été la mienne en tant que membre du corps préfectoral, a lancé le projet Alicem - authentification en ligne certifiée sur mobile. Où en sommes-nous ? Comment réagissez-vous aux interrogations exprimées par le monde associatif ou la CNIL (Commission nationale de l'informatique et des libertés) sur le recours obligatoire à la reconnaissance faciale ?
Ma deuxième question a trait à l'intégrité des processus électoraux. En la matière, avez-vous des pistes concrètes ? Vous avez évoqué le vote électronique, qui reste aujourd'hui marginal en France. Dans certaines organisations administratives ou associatives ou à l'occasion d'un éventuel recours accru au référendum, on peut imaginer que le vote électronique pourrait se développer. Le ministère doit-il prendre, à cet égard, des initiatives ?
Troisième question - nous la poserons également à votre collègue Mme la Garde des sceaux : quid de l'utilisation des algorithmes dans vos champs de compétence ? Certains services, en particulier dans la gendarmerie, réfléchissent à développer des logiciels d'anticipation et d'analyse décisionnelle -pourquoi pas en matière de circulation automobile par exemple. Que pouvez-vous nous dire des projets en cours ?
Dernier sujet sur lequel je souhaite vous interroger : vous avez dit quelque chose de vrai, mais qui mérite, me semble-t-il, un approfondissement. Les Gafam, avez-vous dit, ont l'immense mérite d'avoir une taille critique leur permettant de mettre en place des structures et de travailler avec vous. Quel type de coopération pouvez-vous justement imaginer afin de promouvoir, de leur part, une attitude plus conforme à nos intérêts nationaux ? Vous semblez penser que les Gafam sont plus enclins à adopter des comportements responsables que des acteurs dont l'objectif est simplement d'obtenir un profit immédiat sans endosser les responsabilités inhérentes à l'action d'une grande structure justifiant par-là d'adopter à l'égard de ces géants numériques une attitude ouverte...
M. Christophe Castaner, ministre. - Je commencerai par répondre à votre dernière question : nos interlocuteurs ne sauraient se résumer aux seuls Gafam - j'y ai insisté, car un réflexe courant, bien naturel, consiste à se focaliser sur ces derniers. Avec les Gafam, nous avons face à nous des gens dotés d'une incarnation physique, de moyens humains et algorithmiques, avec lesquels il est possible de discuter et de travailler. Lorsqu'une contrainte leur est imposée, ils ont la capacité technique d'y faire face - je ne leur prête cependant aucune propension à être naturellement bons, ni, d'ailleurs, naturellement mauvais.
J'ai en tête, a contrario, des exemples de réseaux sociaux où des menaces de mort sont diffusées contre un commissaire de police pendant les manifestations des « gilets jaunes » et où aucun interlocuteur ne nous répond lorsque nous cherchons à identifier les auteurs de ces menaces, l'anonymat étant une valeur absolue desdits réseaux, quand, au contraire, la sécurité exige de la transparence.
Il ne suffit pas, par ailleurs, de poser la question des acteurs : les nouveaux outils posent eux-mêmes un problème de perte de maîtrise - je pense par exemple à la localisation des données hébergées dans le cloud. Aux États-Unis, en vertu du Cloud Act, toute information relevant de la juridiction américaine doit être communiquée aux autorités américaines à la demande. Une législation similaire existe en Chine.
Certains outils, en outre, ont évolué : la 3G a été conçue sur un modèle européen ; tel n'est pas le cas de la 5G. Aujourd'hui, ce que nous savons faire sur la 3G - je parle d'actes autorisés par la loi, interventions techniques, écoutes téléphoniques, par exemple -, nous ne savons pas forcément le faire sur la 5G. Or les cybercriminels savent parfaitement exploiter ce genre de failles. Au-delà des entreprises, donc, de nouveaux supports et outils peuvent nous échapper, ce qui n'est pas sans poser problème du point de vue de la souveraineté nationale. La création de notre propre système de stockage des données me paraît un horizon nécessaire. Nous devons y travailler à l'échelle de l'Europe.
Sur Percev@l et THESEE, j'ai senti de la part de M. le rapporteur une petite pique contre le ministère de l'intérieur. Il peut arriver en effet que la police et la gendarmerie cheminent sans que leurs travaux ne se croisent... Une telle situation peut accoucher d'une saine émulation, mais la convergence est toujours préférable. J'ai donc décidé de fusionner les services de ces deux administrations en une seule direction du numérique. Certains avaient le sentiment de perdre ainsi un volet déterminant de leur action - les discussions ont été parfois difficiles - mais cette fusion ne veut pas dire que la gendarmerie et la police ne pourront pas continuer d'expérimenter chacune de leur côté.
Percev@l est une plateforme de lutte contre les usages frauduleux de la carte bancaire ; THESEE relève d'une démarche analogue, dédiée à la lutte contre les escroqueries en ligne. Ces deux contentieux sont distincts et les projets ont fait l'objet, dès 2015, d'une coordination. L'existence de deux plateformes ne pose donc pas de problème.
S'agissant de l'identité numérique, nous savons tous que l'intelligence artificielle suscite une angoisse profonde, fondée ou non, qui conduit à freiner l'exploitation de certaines techniques. Nous avons tort ! Car elles accroissent l'efficacité de l'action publique pour protéger les Français ; il convient simplement d'entourer leur emploi de toutes les sécurités. Les caméras-piétons par exemple avaient initialement provoqué la polémique. Le ministre de l'époque s'est opposé à leur développement, elles étaient alors perçues comme une contrainte pour les forces de l'ordre. Puis elles sont apparues comme une protection... si bien qu'elles viennent d'être étendues aux sapeurs-pompiers. Naturellement, des contrôles de ce dispositif existent. L'interpellation est filmée : lorsque le policier ou le gendarme revient à son bureau, il n'a pas la possibilité de regarder les images ; celles-ci sont conservées, mais pour un temps déterminé. Leur accès est ainsi limité, afin de préserver les libertés fondamentales.
Il en va de même concernant l'usage de l'intelligence artificielle par les services. Considérez l'attentat qui s'est produit récemment à Lyon devant La Brioche dorée : il a eu lieu un vendredi à 16 h 30 ; 30 enquêteurs ont visionné les images enregistrées par l'ensemble du réseau des caméras de vidéoprotection, c'est ainsi que l'on a retrouvé et identifié l'auteur, le dimanche soir. Il a été interpellé le lendemain matin. Avec l'intelligence artificielle, on aurait su en quinze minutes où il était allé, grâce à la reconnaissance faciale. La technique peut bien entendu faire débat, si elle n'est pas entourée de toutes les protections qui s'imposent. C'est parce qu'il y a effectivement un risque de détournement, qu'il faut des garde-fous. Dans le dispositif d'authentification en ligne certifiée sur mobile (Alicem) que vous avez évoqué, et sur lequel nous travaillons, aucune donnée biométrique ne peut être partagée. La photo extraite de la puce reste stockée sur le téléphone portable de l'utilisateur. La vidéo de reconnaissance faciale créée au moment de l'identification est effacée après vérification. Les données ne font l'objet d'aucun traitement et ne sont bien sûr pas transmises à des tiers.
Grâce à de tels outils, l'État assurera mieux sa mission régalienne de certification des identités dans le monde digital, préfigurant un service numérique plus large. N'oublions pas une chose : ce que nous ne faisons pas, d'autres le feront. Voyez les monnaies parallèles ! Il est indispensable de proposer des systèmes d'identité sécurisés à tous les acteurs publics ou privés. L'enjeu est également de simplifier les démarches administratives. L'échéance de 2022 approche ! La carte d'identité numérique estonienne comporte 15 à 20 services intégrés. Il faut aller le plus loin possible en ce sens, tout en préservant les libertés.
Enfin, ces outils servent à la lutte contre l'usurpation d'identité en ligne. Il importe donc de rassurer nos concitoyens. La Quadrature du net a formé un recours contre le décret en Conseil d'État autorisant cette application mobile : à nous de prouver que le dispositif est sécurisé.
Quant aux élections européennes, aucune attaque significative n'a été identifiée. La loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information a créé le référé civil pour faire cesser la diffusion de fausses informations ; un dispositif ministériel a également été mis en place. Mais il n'a pas été nécessaire de recourir à ces outils. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a effectué à notre demande un audit, et nous avions un dispositif de supervision : aucun dysfonctionnement n'a été détecté. Cependant le « retex » (retour d'expérience) n'est pas achevé : si des anomalies étaient identifiées avant la conclusion de vos travaux, je vous en tiendrais informés.
Le développement du vote électronique n'est pas à notre programme : sujet trop sensible et outil pas forcément indispensable...
M. Gérard Longuet, rapporteur. - Il ne faut pas casser l'ambiance des soirées électorales !
M. Christophe Castaner, ministre. - C'est ce que j'allais dire. Comme élu rural des Alpes-de-Haute-Provence, j'y suis attaché ! La question de la dématérialisation de la propagande électorale reviendra en revanche à l'ordre du jour... N'oublions pas la rupture numérique, de plus en plus réduite, mais qui existe.
Un mot sur votre question sur l'utilisation des algorithmes. Une expérience a été menée par la gendarmerie au moyen d'un algorithme d'intelligence artificielle pour avancer dans la connaissance du phénomène délictuel. Depuis le XIXe siècle, des travaux ont été menés en matière de criminologie prédictive - je songe à ceux des époux Glueck - qui visaient à définir une sorte de prédestination au comportement délictuel. Des études ont plus récemment montré que les heures propices aux actes criminels n'étaient pas les mêmes en Haute-Savoie, à Marseille ou à Paris. L'intelligence artificielle travaille à partir des infractions ciblées, sans utiliser les données personnelles, mais en traitant des informations de masse et en procédant à des recoupements territoriaux. Il ne s'agit pas de prédire l'avenir, mais ce type d'expérience préfigure ce que pourrait être la police ou la gendarmerie de demain, pour gagner en efficacité. Même chose pour la sécurité routière : en identifiant des paramètres tels que les aléas météorologiques ou les heures auxquels les actes délictueux sont plus fréquents, on pourrait ajuster la présence préventive des patrouilles sur le terrain.
Les risques de détournement des outils numériques existent. Il ne faut pas en avoir peur ni, à l'inverse, être trop candide : nos partenaires n'appliquent pas forcément les mêmes limites que nous, et nos adversaires, lorsqu'ils soutiennent la cybercriminalité, n'ont aucune limite... N'ayons pas de ces pudeurs de gazelle qui empêcheraient même d'aborder le sujet. Nous pouvons en parler ! La décision, elle, revient au Parlement. Mais il est clair que nous avons besoin de dispositifs de contrôle, d'arbitres et de juges extérieurs, afin de garantir le meilleur usage de ces outils.
M. Gérard Longuet, rapporteur. - Êtes-vous en relation avec les autres responsables européens pour définir des types de coopération possibles avec les Gafam ?
M. Christophe Castaner, ministre. - Bien sûr, et le récent sommet des ministres de l'intérieur à Helsinki a consacré sa première partie à ce sujet, afin de parvenir à une position commune pour négocier avec les Gafam et d'autres. La présidence finlandaise a aussi présenté une initiative sur l'intelligence artificielle afin que chaque État membre n'avance pas seul dans son coin. J'ajoute que le Parlement européen est très jaloux des libertés - un peu comme la commission des lois du Sénat !
M. Patrick Chaize. - Une question liminaire puisque nous abordons le vote électronique : pour les personnes handicapées, et notamment pour les non-voyants, ne pourrait-il tout de même pas être envisagé ?
Vous avez beaucoup parlé des comportements : il faut donc parler éducation et formation ! À cet égard, quelles actions sont menées conjointement avec les autres ministres ? Car le numérique est un sujet transversal. J'ai milité en ce sens ; nous avons créé un groupe d'études numériques qui regroupe l'ensemble de nos commissions. Hélas, le secrétariat d'État au numérique n'est plus sous la responsabilité transversale du Premier ministre et je ne perçois guère cette transversalité au Gouvernement. Comment le sujet est-il traité en son sein ?
J'aimerais avoir votre avis sur le texte « anti Huawei » - la proposition de loi sur la sécurité des réseaux mobiles - adopté il y a quelques semaines par le Parlement. C'est le ministre de l'économie qui participait à la discussion ; or il s'agit de sécurité intérieure !
Mme Viviane Artigalas. - Monsieur le ministre, vous avez dressé une véritable revue de la question, sans omettre les points de vigilance, et en montrant combien la souveraineté numérique est une mission régalienne essentielle de l'État. Celui-ci doit poser un cadre transversal : je souhaite que vous nous disiez plus précisément comment l'exécutif organise le travail collectif sur cette mission si importante, qui concerne tous les ministères.
Vous avez parlé de la prise de conscience, de la vigilance, de la prévention et de l'éducation : il y faut des moyens humains et financiers, un personnel très compétent, à l'affût de toutes les novations utilisées par nos adversaires. Quels moyens, concrètement, sont mis en oeuvre ? Quels moyens seraient nécessaires ?
M. Stéphane Piednoir. - Les jeunes et les enfants devraient recevoir une formation qui leur donne de bons réflexes pour leur vie entière : vous avez parlé du permis Internet, un laissez-passer favorisant un bon usage d'internet... Mais la vigilance conduit parfois à la défiance, et certaines associations, voire certains élus, contestent des dispositifs simples, tels que les compteurs Linky. Sincérité et confiance sont essentielles en politique : comment convaincre que les dispositifs sont sûrs, qu'il ne sera pas fait un usage détourné d'une future identité numérique ?
M. André Gattolin. - Un éventuel blackout numérique nous exposerait à des risques immenses, notamment pour la santé publique. Dans ce domaine, envisage-t-on des solutions de secours, des situations offline, une forme de « plan Orsec » en cas de catastrophe numérique locale ou nationale ? Sans tomber dans la science-fiction, ces questions font-elles l'objet de réflexions ?
En matière internationale, on vante le multilatéralisme, mais on doit souvent se contenter d'accords bilatéraux, et les conventions fiscales historiques ont bien du mal à tenir compte de l'extraterritorialité des entreprises. Le numérique nous place également face à des difficultés pour lutter contre la criminalité. Disposons-nous aujourd'hui des instruments législatifs nécessaires ? Il y a quatre ans, la France a conclu un accord d'extradition avec un grand pays d'Orient : elle a réclamé plusieurs centaines d'extraditions au titre des fraudes bancaires, et l'État en question n'a jamais répondu à nos demandes, alors que, de notre côté, nous extradions vers lui des personnes accusées de crime. Comment adapter le cadre juridique au monde globalisé dans lequel nous vivons ?
M. Laurent Lafon. - En matière de cybercriminalité, on a le sentiment, peut-être à tort, d'être systématiquement sur la défensive. Se développe ainsi de manière insidieuse le sentiment d'impunité des cybercriminels, dont l'identification est très difficile, et qui sont rarement situés sur le territoire national.
Premièrement, cette impunité est-elle réelle ou bien vos services parviennent-ils à mener des enquêtes approfondies sur les personnes physiques coupables de ces actes ? Deuxièmement, quels sont, en la matière, les liens entre votre ministère et le ministère de la justice ? Bien sûr, je poserai également cette question à Madame la Garde des sceaux, que nous auditionnerons demain. Troisièmement, quel est l'état exact des coopérations internationales existantes, notamment avec les pays de l'Est de l'Europe ? Vous avez évoqué l'Union européenne et le G7 ; mais la plupart des cybercriminels semblent ailleurs, dans des pays où les libertés publiques et individuelles n'ont pas forcément la même force que chez nous. Peut-on développer la collaboration internationale en la matière, comme on l'a fait pour lutter contre le terrorisme, à la suite des attentats ?
M. Rachel Mazuir. - Nous sommes effectivement engagés dans une démarche essentiellement défensive, qui vise en particulier les Gafam. En la matière, le Gouvernement appelle de ses voeux une souveraineté européenne : on ne peut qu'être d'accord avec lui sur ce point. Peut-on également envisager une souveraineté industrielle européenne, ou bien est-il trop tard ?
Quant aux géants chinois du numérique, les BATX - Baidu, Alibaba, Tencent, Xiaomi -, ils semblent pour l'heure rester l'arme au pied ; mais, ici où là, ils entrent tout de même dans le jeu. Quel est votre sentiment à leur égard ?
M. Franck Montaugé, président. - Pourriez-vous nous préciser votre réponse au sujet des manipulations électorales, non au moment du vote, mais en amont ? Nous pensons notamment à l'affaire Cambridge Analytica. Ces manipulations de grande envergure sont une véritable préoccupation.
M. Christophe Castaner, ministre. - Sur ce point, lors des dernières élections européennes, nous avons mis en place un dispositif interministériel à même de contrer la moindre attaque de fake news ; en l'occurrence, il n'y en a pas eu. J'ajoute que je n'ai pas de retour d'expérience quant aux élections précédentes...
M. Franck Montaugé, président. - ...Ma question va au-delà des fake news ; je pense à des manipulations de données, à l'insu des citoyens, destinées à influencer leur vote et déployées à une échelle industrielle.
M. Christophe Castaner, ministre. - Le dispositif interministériel dont il s'agit couvrait précisément l'ensemble des éléments susceptibles d'être exploités. Politiquement, la maîtrise d'informations relatives aux habitudes ou aux goûts de nos concitoyens permet aujourd'hui d'envoyer tel ou tel message avantageant un candidat face aux autres. C'est sur ce point qu'il faut agir, en veillant au respect du cadre législatif : les informations personnelles ne sont pas à libre disposition. Elles ne peuvent donc pas être utilisées dans le cadre d'une campagne, comme on a pu le voir dans tel ou tel pays étranger. À terme, il faudra que ce dispositif gouvernemental, qui, par définition, n'est pas à même d'inspirer la confiance de tous les partis, de tous les candidats, soit aussi dépolitisé que possible : ainsi, il deviendra un guichet auquel chaque candidat pourra recourir.
J'en viens aux actions de prévention, que le ministère de l'intérieur déploie à plusieurs niveaux. Au titre de la sensibilisation comme de l'enquête, 8 600 policiers et gendarmes sont actuellement spécialisés sur ces sujets. J'ai la volonté de renforcer ces effectifs de 800 personnes d'ici à la fin du quinquennat. Ces agents assument toutes les missions, y compris judiciaires, que l'on connaît dans la chaîne d'engagement de la police et de la gendarmerie ; mais s'y ajoutent des missions de prévention. Il s'agit à la fois d'actions de haut niveau, qui peuvent être accompagnées par la DGSI - cette dernière est mobilisée pour les opérateurs d'importance vitale, et elle fait l'objet d'un plan de recrutement et de renforcement de 1 900 nouveaux effectifs, dont une partie sera consacrée à ces sujets.
De plus, conformément au plan d'action gouvernementale validé par le Président de la République, les préfets de région vont animer, sur l'ensemble de territoire, un travail de sensibilisation des acteurs, notamment des entreprises, et mettre à leur disposition les différentes ressources existantes.
À titre judiciaire, pour la phase d'instruction, un référent est aujourd'hui présent dans chaque zone pour sensibiliser les acteurs économiques. S'y ajoute un dispositif d'hypermobilisation dans la ruralité, avec la gendarmerie nationale : dans tel territoire, une entreprise de vingt salariés représente un enjeu majeur.
Enfin, la sensibilisation aux comportements est déployée en faveur de nos concitoyens, en lien avec l'éducation nationale. Il s'agit du « permis internet », qui a concerné 2 millions d'enfants et, plus largement, du travail d'éveil des consciences. L'éducation nationale est très mobilisée en la matière.
Monsieur Chaize, le secrétaire d'État au numérique est, certes, rattaché à Bercy ; mais ce nouveau positionnement n'a aucune conséquence sur le travail interministériel. L'animation horizontale se poursuit comme par le passé. De plus, la revue stratégique de cyberdéfense fournit un cadre de travail transversal. Elle est pilotée par le ministère des armées, qui agit de manière interministérielle. De son côté, l'Anssi a élaboré un guide d'hygiène informatique. Ce document est transversal et interministériel, à l'instar de la plateforme cybermalveillance.gouv.fr.
C'est à ces différents niveaux qu'il faut agir pour changer les comportements, dans le public comme dans le privé : menacer une grande banque française, c'est aussi porter atteinte à la souveraineté nationale, d'autant que les coûts en jeu sont très élevés. Il y a quelques années, le spectre des cyber-rançons était extrêmement large - on attaquait les particuliers en leur demandant 100 euros. Aujourd'hui, le spectre s'est fortement réduit - on attaque quelques grands groupes, mais on leur demande 150 millions d'euros.
Monsieur Gattolin, vous m'interrogez au sujet de la gestion de crise. Je ne peux pas vous en dire trop au sujet d'un éventuel blackout. Mais le ministère de l'intérieur dispose, comme les autres ministères, d'un plan de continuité d'activité. Outre les attaques, il faut se préparer au risque de panne du réseau numérique, notamment en région parisienne : nous avons demandé aux opérateurs de travailler sur ce point.
Je vous renvoie au travail que le Secrétariat général de la défense et de la sécurité nationale (Sgdsn) a consacré à ces gestions de crise. Il existe, en outre, un plan interministériel. Des exercices réguliers sont menés pour faire face aux risques d'attaques et le ministère de l'intérieur dispose de son propre système de contrôle interne. Le but, c'est de disposer d'une architecture de sécurité, y compris électronique.
En cas d'attaque ou de panne, nous devons nous préparer à la possibilité de travailler en mode dégradé : nous avons pris cette précaution tout récemment encore, à l'occasion du G7, et nous disposons, en la matière, de ressources expertes en interne.
Monsieur Chaize, vous évoquez aussi la loi dite - à tort ! - « anti-Huawei ». À l'époque où j'étais vice-président de la région PACA - il n'y a pas si longtemps -, j'ai pu visiter le siège de cette entreprise, à Shenzhen. Huawei s'apprêtait alors à produire des téléphones portables, il a acquis sur ce marché une position dominante. Aujourd'hui, cet opérateur applique une loi chinoise donnant aux autorités du pays des pouvoirs exorbitants par rapport à notre propre droit national, que j'ai précédemment évoqués. Nous voulons tout simplement fixer des critères de sécurité pour autoriser le déploiement d'équipements indépendants et, ce faisant, garantir notre souveraineté. Bref, nous ne contestons pas la place de qui que ce soit parmi les opérateurs privés, mais nous ne voulons pas non plus faire preuve de naïveté.
En l'occurrence, nous sommes face à un changement de modèle : la 3G a été développée sur le modèle européen, mais ce n'est pas le cas de la 5G. Bruno Le Maire vous apportera certainement des réponses plus complètes en la matière. Mais, j'y insiste, il ne faut pas laisser ce champ entier déserter l'Europe. Nous avons évoqué la portée extraterritoriale du droit américain. La véritable solution, c'est notamment d'avoir une monnaie européenne suffisamment puissante pour que les entreprises européennes puissent travailler à travers le monde sans utiliser le dollar. Il faut raisonner de la même manière au sujet du cloud et, plus largement, pour l'ensemble de nos outils.
Pour les personnes handicapées, nous voulons garantir les plus grandes facilités de vote, avec un site internet d'accès aux professions de foi , avec la possibilité d'être accompagné dans l'isoloir - ce que le président du bureau de vote peut autoriser - et avec les procurations, ou encore avec le déplacement à domicile de l'officier de police judiciaire. Nous étudions également de nouvelles techniques. Cela étant, nous n'envisageons pas la dématérialisation totale du vote pour les seules personnes souffrant de handicap visuel. Non seulement nous n'aurions sans doute pas les moyens d'imposer un tel dispositif à tous les bureaux de vote de France - il risque d'être extrêmement coûteux -, mais il faut éviter toute rupture d'égalité.
Au sujet des coopérations internationales, le risque d'impunité fait nécessairement l'objet de discussions. Certains criminels savent pertinemment choisir le pays à partir duquel ils émettent, afin de ne pas être inquiétés. J'ai pu m'en assurer une nouvelle fois en visitant la plateforme Pharos, pour ce qui concerne les contenus pédopornographiques.
Ces enjeux font l'objet d'échanges et de discussions, et nous allons avancer. Avec certains pays, nous pouvons travailler de manière satisfaisante, plusieurs exemples récents le prouvent. Je pense à l'atteinte frauduleuse qui a infecté 450 000 ordinateurs à travers le monde et au sujet de laquelle la gendarmerie nationale a publié une communication il y a quelques jours. Les investigations ont permis de localiser la source malveillante en Palestine et l'attaque a été neutralisée. En revanche, il ne me semble pas que l'individu en question ait été interpellé. On observe, à cet égard, la limite de notre système.
Avec certains pays, les coopérations sont parfaites ; avec d'autres, il est nettement plus compliqué d'agir. De surcroît, les opérations multiples peuvent impliquer trois, quatre, voire vingt-huit pays, à l'échelle de l'Union européenne. Face à une affaire massive d'escroquerie, nous avons abouti, en France, à 17 interpellations en flagrant délit, et à 95 interpellations partout dans le monde. Cela étant, de manière générale, les marges de progrès restent importantes.
Enfin, le ministère de l'intérieur travaille de manière tout à fait efficace avec le ministère de la justice. Depuis que je suis ministre de l'intérieur, je n'ai pour ainsi dire observé aucun dossier au titre duquel un obstacle a empêché notre bonne action mutuelle. Il peut y avoir des tensions, mais je considère cette fluidité à la fois comme une évidence et comme une exigence. Dans quelques jours, je présenterai ainsi un nouveau plan de lutte contre les stupéfiants. A ce titre, je défendrai le dispositif le plus interministériel possible, car il faut sortir de nos chapelles. Face à la cybercriminalité, nous avons, avec le ministère de la justice, une véritable proximité, que je qualifierai même de culturelle.
La réunion est close à 15 h 30.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est ouverte à 15 h 40.
Audition de M. Bruno Sportisse, président-directeur général de l'INRIA
M. Franck Montaugé, président. - Nous recevons M. Bruno Sportisse, président-directeur général de l'Institut national de recherche en informatique et en automatique (Inria).
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié. Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, M. Bruno Sportisse prête serment.
M. Franck Montaugé, président. - L'Inria est l'un des principaux centres de recherche français dédiés aux sciences du numérique, de l'informatique et aux mathématiques, souvent à l'interface d'autres disciplines. Il compte environ 200 équipes de recherche, en général communes avec des partenaires académiques, qui impliquent plus de 3 000 scientifiques. En outre, il travaille avec de nombreuses entreprises et il a accompagné la création de plus de 160 start-up.
Par la position qu'il occupe, l'Inria est un acteur essentiel de la recherche dans le domaine des technologies de souveraineté nationale. Il participe notamment à la mission interministérielle relative à la blockchain, ou technologie de registres distribués, avec l'institut Mines-Télécom et le Commissariat à l'énergie atomique (CEA). Cette mission rendra ses conclusions en novembre prochain. Elle a pour but de permettre à la France de jouer un rôle d'influence à l'échelle internationale dans ce domaine.
En outre, en matière de cybersécurité, l'Inria a développé avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) un étroit partenariat dont vous nous expliquerez l'ambition.
Pour l'ensemble de ces raisons, il nous a paru intéressant d'entendre votre conception de la souveraineté numérique et votre appréciation des politiques publiques menées en la matière.
M. Bruno Sportisse, président-directeur général de l'Inria. - La souveraineté numérique est un sujet clef pour l'autonomie stratégique de la France. Il y a quelques années, un investisseur connu de la Silicon Valley, Marc Andreessen, annonçait que le logiciel allait « dévorer le monde ». Aujourd'hui, nous y sommes : le logiciel dévore le monde, méthodiquement, dans tous les domaines de l'économie et de la société. Les algorithmes et les logiciels jouent un rôle critique dans l'accélération numérique. À cet égard, je formulerai trois remarques.
Premièrement, il faut analyser la situation nouvelle dans laquelle nous place l'intelligence artificielle. Cette dernière représente la forme aboutie de la déferlante numérique, très loin des représentations fantasmées. Elle repose sur la conjonction de masses de données, souvent privées, issues de plusieurs sources avec des puissances de calcul disponibles et des algorithmes plus ou moins éprouvés, déployés via des logiciels, permettant de les faire parler et, à des fins de prédiction, de les rendre intelligentes.
Or, dans tous les champs de la société et de l'économie, des acteurs savent que cette puissance prédictive peut, sous certaines conditions, améliorer significativement leur activité. Cette maturité est également un changement capital, et elle survient dans un contexte de démocratisation du numérique. Désormais, toutes les composantes de notre société, privées ou publiques, sont concernées.
La souveraineté numérique met donc en jeu notre souveraineté tout court. Elle n'est plus réductible à une affaire de spécialistes, à une question de « tuyaux » relevant de l'informatique de gestion, comme on pouvait encore le dire il y a cinq ans : ce temps est révolu. C'est à la fois une source de risques - des pans entiers de notre souveraineté peuvent être perdus - et une occasion à saisir pour redéfinir radicalement un grand nombre de sujets, qu'il s'agisse des verticaux économiques, de la santé, de l'agriculture, de la mobilité, de la gestion de nos villes et de l'action publique en général. Tous les acteurs existants sont susceptibles de s'approprier le numérique. Encore doivent-ils assimiler l'exigence stratégique, en reconnaissant que le numérique est, non à côté, mais au coeur de leur activité, et suivre les bonnes modalités opérationnelles, qui reposent sur l'accès aux talents, sur des investissements massifs en faveur de la prise de risques et sur une régulation fixant un cadre à la confiance et à l'innovation numérique sous contrôle.
Deuxièmement, plusieurs points clefs doivent être garantis pour renforcer la souveraineté numérique. Les trente dernières années l'ont montré : le numérique se développe d'abord dans des écosystèmes d'acteurs propices à l'apparition de champions. Imaginez que l'une des grandes plateformes numériques dominant le monde ait une base française : notre société s'approprierait le sujet de la souveraineté numérique d'une manière radicalement différente.
Ces écosystèmes sont fondés à la fois sur des talents entrepreneuriaux ayant accès à des investissements massifs, publics et privés, prêts à assumer le risque, sur des conditions de jeu fixées par l'État, favorisant la croissance des entreprises, et sur une capacité d'accès à des talents scientifiques, technologiques et entrepreneuriaux au sein de grands campus universitaires de rang mondial.
Dans ce cadre, l'État doit soutenir des infrastructures critiques et il faut probablement redéfinir la notion d'infrastructure. La puissance de calcul disponible, nécessaire pour ne pas dépendre des outils proposés par les grandes plateformes numériques, est une infrastructure ; les logiciels libres en sont une autre, et ils permettent des dynamiques d'ouverture du champ de l'innovation. Le développement d'internet a reposé sur des standards ouverts et l'Inria a joué un rôle clef à ce titre en défendant, à l'échelle européenne, le consortium mondial pour le web, ou W3C.
De vraies infrastructures se déploient autour du logiciel libre. L'Inria développe plusieurs projets à empreinte mondiale, comme la bibliothèque scikit-learn - bibliothèque d'apprentissage statistique en langage informatique Python -, boîte à outil technologique pour tous les ingénieurs, tous les acteurs qui veulent faire de l'intelligence artificielle, logiciel libre qui compte 500 000 à 1 million d'utilisateurs dans le monde. Citons encore le projet software heritage, projet de bibliothèque mondiale du logiciel, garantissant une traçabilité et participant, de ce fait, de la souveraineté numérique.
La commande publique innovante a toute son importance dans le développement des acteurs, témoin ce que fait l'agence Darpa aux États-Unis. Il faut également prendre en compte les conditions de régulation, pour ce qui concerne la confiance numérique, notamment pour la maîtrise des algorithmes. C'est tout l'enjeu actuel de l'intelligence artificielle. À ce titre, l'Inria mène le projet TransAlgo, relatif à la transparence des algorithmes. S'y ajoutent des programmes ad hoc, nationaux ou européens, pour diverses innovations. D'ici à quelques années, l'arrivée d'ordinateurs quantiques pourrait changer radicalement la donne, notamment en termes de sécurité numérique. Or, au-delà des volets matériels de ces technologies, les volets « logiciels » et « algorithmes » ont un rôle clef. Il faut dès à présent créer un écosystème autour du quantique.
Voilà pourquoi il faut revoir la notion d'infrastructure. Toute politique en faveur du numérique est d'ailleurs étroitement liée aux politiques en faveur de l'innovation et du financement de cette dernière.
De surcroît, la guerre du numérique est une guerre des talents, et les États doivent être en mesure de soutenir le développement de ces derniers en accompagnant leur prise de risque. Cet effort passe avant les grands plans, si séduisants et rassurants soient-ils. Si nous ne formons pas des talents de haut niveau dans le numérique, si nous ne leur offrons pas les perspectives nécessaires pour s'épanouir en France et y créer de la valeur, nous ne pourrons pas mener les prochaines batailles de la souveraineté numérique.
Dans ce contexte, le soutien à la recherche, à la formation et aux dynamiques d'innovations réelles propres au numérique me semble stratégique. La souveraineté numérique, c'est d'abord la capacité d'avoir des talents numériques à même de développer leur ambition en France.
Troisièmement et enfin, j'insisterai sur le rôle de l'Inria dans ce contexte. Cet institut a été créé il y a un peu plus de cinquante ans, dans le cadre du plan Calcul, afin de garantir une souveraineté numérique nationale. Il s'agit d'un établissement public à caractère scientifique et technologique, placé sous la double tutelle des ministères chargés de l'industrie et de la recherche et doté d'un budget annuel de l'ordre de 240 millions d'euros, dont 170 millions d'euros de subventions pour charges de service public.
L'originalité de l'Inria, c'est son modèle organisationnel. Il dénombre 200 petites unités mobiles, les équipes projet, réparties sur le territoire et relevant de huit centres de recherche en partenariat avec les universités et avec d'autres établissements, comme le CNRS (Centre national de la recherche scientifique). Ces équipes sont créées pour quatre ans, sur la base de feuilles de route de recherche et d'innovation, d'où leur grande agilité. Dans ce cadre s'épanouit une recherche de rang mondial : c'est ce que vient de relever le Haut Conseil de l'évaluation de la recherche et de l'enseignement supérieur (Hceres). S'épanouissent également des partenariats industriels avec des leaders mondiaux, avec des leaders français, cependant que de petits projets innovants voient le jour sur l'initiative de start-up technologiques. Au total, en un peu plus de vingt ans, plus de 170 start-up ont été issues des travaux de l'Inria.
En résumé, l'Inria est l'institut du logiciel et des algorithmes, à la croisée des mathématiques et de l'informatique, et son action est de plus en plus interdisciplinaire. Un quart de nos équipes sont ainsi dédiées à l'application du numérique dans le domaine de la santé.
L'Inria est engagé dans la conclusion d'un nouveau contrat d'objectifs et de performance (COP) avec l'État pour 2019-2023. Le maître-mot de ce COP, qui devrait être finalisé en octobre prochain, c'est l'impact. En ce sens, l'Inria assume pleinement son statut d'outil public pour construire une souveraineté numérique au service de la transformation de notre société et de notre économie.
Pour ce qui concerne notre positionnement scientifique, notre priorité pour les années qui viennent, c'est la sécurité numérique, l'intelligence artificielle responsable et maîtrisée, le calcul haute performance et sa rencontre avec l'intelligence artificielle, la révolution quantique, et, de surcroît, le suivi de grands secteurs applicatifs comme la médecine personnalisée, laquelle est étroitement liée au développement du numérique, ou encore la maîtrise de l'énergie dans toutes ses composantes.
Pour ce qui concerne notre ambition d'impact économique, nous entendons renforcer nos liens avec le tissu industriel français, notamment numérique, avec Atos, Thales ou encore Dassault Systèmes, mais aussi avec le tissu des entreprises de taille intermédiaire (ETI). En parallèle, nous entendons accroître significativement le flux de projets innovants conçus par des start-up technologiques issues de nos équipes de recherche. C'est tout le sens de l'accord que nous venons de signer avec Bpifrance. Ainsi, nous prévoyons d'atteindre, dans cinq ans, un flux annuel d'une centaine de projets pour irriguer notre tissu industriel.
Pour l'appui aux politiques publiques, nous nous adaptons aux évolutions de l'enseignement supérieur, de la recherche et de l'innovation, fondées sur la création de campus universitaires de rang mondial. Par ailleurs, l'Inria s'est vu confier un rôle clef dans le plan Intelligence artificielle annoncé par le Président de la République en mars 2018, à la suite du rapport Villani. Non seulement notre institut joue son rôle d'opérateur de recherche, mais il est également coordonnateur de ce plan. Enfin, nos partenariats en matière de sécurité et de défense, avec des acteurs comme l'Anssi ou l'Agence de l'innovation de défense, sont absolument stratégiques.
Ainsi décliné, notre positionnement stratégique se fonde sur une conviction : l'Inria est un outil public pour participer à la construction et au renforcement, par la recherche et par l'innovation, de notre souveraineté numérique.
M. Gérard Longuet, rapporteur. - Selon vous, « le logiciel est une infrastructure ». Cette formule apporte une véritable valeur ajoutée à notre raisonnement. Mais, à ce sujet, jugez-vous irréversible l'appropriation d'internet par un petit nombre de grands opérateurs au comportement monopolistique, notamment dans le domaine des systèmes d'exploitation ? Dans quelles conditions les logiciels libres peuvent-ils reconquérir une part de marché significative ? D'ailleurs, seront-ils destinés à tous ou bien seront-ils réservés à la valeur ajoutée de ceux qui créent de l'activité et qui innovent ?
Votre expérience de la recherche et de l'industrie vous donne-t-elle le sentiment qu'il existe, à cet égard, des obstacles typiquement français ? Vous évoquez la question des talents : à ce titre, on pense aux problèmes de financement et aux effets de taille. Comment rivaliser avec les acteurs américains, qui sont de taille mondiale, qui disposent de financements en conséquence et qui peuvent s'offrir les talents dont ils ont besoin ? Au fond, dans ce monde ouvert, marqué par une certaine unité culturelle, où le brain drain doit marcher à fond, la lutte n'est-elle pas profondément déséquilibrée ? L'Europe en général et la France en particulier ne sont-elles pas structurellement mal outillées pour cette chasse aux talents ?
L'Inria considère-t-il que la France est suffisamment présente dans les instances de gouvernance et de normalisation des systèmes numériques mondiaux ? Nous avons été étonnés de voir certains organismes se retirer de cette gouvernance au motif qu'en définitive il ne s'y passait rien d'important. À ce sujet, quel est votre sentiment et quelle devrait être selon vous la politique de la France ? Dans le même esprit, comment soutenir les logiciels libres ? La commande publique, pour l'équipement des administrations, peut-elle être un levier d'action ? À l'inverse, ne risque-t-on pas de nourrir l'illusion d'un cloud national souverain ? Bref, quel doit être le jeu d'une grande puissance qui n'est pas, hélas ! la première en la matière - à savoir la nôtre ?
Enfin, en tant que représentants des territoires, nous sénateurs regardons avec une certaine inquiétude la métropolisation à l'oeuvre. L'Île-de-France n'a rien perdu de sa superbe, bien au contraire. Heureusement, quelques métropoles émergent en dehors d'elle, parce que l'industrie les a choisies comme points d'appui : ainsi de Toulouse ou de Bordeaux pour l'aéronautique. Mais, au-delà, nous avons le sentiment que les universités de province s'essoufflent un peu et sont désormais sur la défensive. Le ressentez-vous également ?
M. Bruno Sportisse. - J'ai simplement mentionné la dynamique singulière des logiciels libres : mon discours n'était en aucun cas exclusif. Chaque année, une centaine de nouveaux logiciels sont reconnus par les équipes de l'Inria. Certains sont libres, d'autre non, car la création de valeur ne le permet pas. Sur ce sujet, il ne faut pas avoir de dogme dans un sens comme dans l'autre.
Cela étant, le monde du logiciel libre permet souvent aux acteurs économiques de recruter les talents dont ils ont besoin en puisant dans les communautés de développeurs. Il est important que les acteurs européens, notamment français, y prennent leur part.
Au sujet d'internet, la dynamique des standards ouverts peut être un levier d'action pour la France et pour l'Europe. Le web s'est précisément constitué sur la base de quelques standards ouverts, partagés par une communauté construite il y a plus de vingt ans, à savoir le W3C. Ce dernier repose sur quatre piliers, dont l'un est à Sophia Antipolis, où l'Inria a d'ailleurs l'un de ses centres régionaux. Je suis moi-même président de ce noeud européen du web. Cette dynamique de standards ouverts s'inscrit dans un cadre multilatéral et, si elle est renforcée, elle est de nature à ne pas tomber dans les biais que vous avez évoqués. En d'autres termes, les instances multilatérales existent déjà : il faut être capable de les faire vivre dans la durée en se gardant de toute naïveté.
Pour ce qui concerne l'articulation entre la recherche et l'industrie, la clef est la mobilité entre le monde académique et le monde de l'entreprise. Le secteur numérique s'y prête bien, et la loi Pacte est de nature à renforcer cette articulation dans la durée. À ce titre, pour ce qui concerne le numérique, je suis plutôt optimiste : il existe de nombreux exemples de mobilité réussie dans la durée, notamment en Amérique. De son côté, la France a des marges de progression.
En revanche, le brain drain est un grave sujet de préoccupation, qui impose de se pencher sur l'environnement de recherche offert à nos talents. C'est tout l'enjeu du projet de loi de programmation pluriannuelle de la recherche annoncé par le Premier ministre. Nos talents doivent rester durablement dans nos laboratoires pour créer de la valeur en France. Pourquoi, à trente-cinq ans, un chercheur de niveau mondial resterait-il en France, dans le secteur public, avec des conditions salariales significativement dégradées ? Les grands du numérique disposent de laboratoires de recherche menant des travaux tout aussi fondamentaux que nos laboratoires publics. En revanche, ainsi privatisée, l'action d'un chercheur ne sera peut-être plus à même de créer des emplois. Il est donc essentiel de garder ces chercheurs dans le secteur public, en lien avec l'industrie, car il faut sans cesse former de nouveaux jeunes. C'est l'enjeu du plan Intelligence artificielle et de la constitution d'instituts interdisciplinaires d'intelligence artificielle, les 3IA ; c'est l'enjeu de la programmation pluriannuelle ; et ce combat doit être mené dans la durée. Si le brain drain devient massif, s'il n'y a plus de talents, il n'y aura plus de souveraineté.
Vous évoquez les instances de gouvernance mondiale et la question de la standardisation. C'est un sujet clef, qui suppose une bonne coordination entre la recherche et l'industrie. Un nombre significatif de nos chercheurs est engagé dans des actions de standardisation, et l'un des volets du plan Intelligence artificielle y est consacré. Il s'agit à la fois d'un enjeu éthique et d'une question industrielle.
M. Gérard Longuet, rapporteur. - Selon vous, est-il possible de construire, dans cette démarche de gouvernance, une solidarité européenne durable ?
M. Bruno Sportisse. - Il faut tenir compte de la diversité des acteurs et des situations. Chaque État s'emploie à tenir ses propres lignes industrielles. Avant tout, la France doit assurer une bonne coordination de l'ensemble de ses acteurs. Ces derniers sont tous de bonne volonté, mais il faut faire vivre la position française. Ensuite, en procédant par cercles concentriques, les positions européennes sont à construire selon les domaines. Pour l'intelligence artificielle, les efforts de coordination nationaux et européens sont engagés. En tant que Français et Européens, nous devons impérativement agir en ce sens.
Enfin, l'action de l'Inria est très largement décentralisée : six de nos huit centres de recherche sont situés en dehors de l'Île-de-France - Grenoble, Nancy, Lille, Bordeaux, Rennes et Nice -, et leur dynamique s'inscrit pleinement dans celle des grands campus universitaires où ils sont présents. Mais je ne peux parler que des centres de recherche où opère l'Inria.
M. Stéphane Piednoir. - La question des talents est essentielle, car la recherche en dépend ; et, en évoquant le plan Calcul, on mesure le chemin parcouru. Les questions d'ordre financier mises à part, éprouvez-vous, au sein des universités, des difficultés à former le vivier de chercheurs ? La suppression du sacro-saint bac S est-elle de nature à inspirer des inquiétudes quant à la qualité de nos étudiants en mathématique et en informatique ?
M. Bruno Sportisse. - Votre question renvoie à un sujet plus large : l'attractivité des sciences et des technologies, qu'il faut développer assez tôt dans les parcours scolaires. L'Inria se préoccupe effectivement d'attirer de jeunes diplômés de l'enseignement supérieur. Il regroupe non seulement des chercheurs, mais aussi des développeurs de logiciels. Mais, avant tout, il faut donner aux jeunes l'envie de se tourner vers les sciences et les technologies, qu'il s'agisse du numérique ou d'autres domaines. Voilà pourquoi, dans la durée, nous menons des actions volontaristes en milieu scolaire de concert avec le ministère de l'éducation nationale.
M. Laurent Lafon. - Pour obtenir des financements en faveur de la recherche de la part du secteur privé, l'Inria élabore-t-il des partenariats avec telle ou telle entreprise, française ou étrangère, travaillant notamment dans le domaine de l'intelligence artificielle ? Dans l'affirmative, quels garde-fous placez-vous ou pourriez-vous concevoir pour éviter les « fuites » au profit d'entreprises pour qui la souveraineté numérique n'est pas nécessairement la priorité ?
M. Bruno Sportisse. - Votre question est particulièrement pertinente au regard de notre action dans la durée. Il y a une quinzaine d'années, l'Inria a conclu un partenariat stratégique avec un grand acteur technologique extra-européen ; et, à l'époque, plusieurs de ses partenaires ont exprimé la crainte qu'une telle initiative ne porte atteinte à notre souveraineté numérique.
Bien au contraire, nous suivons en la matière une position constante : de telles actions sont le moyen de faire avancer notre pays, car il faut être au contact des meilleurs pour prendre part aux évolutions à l'oeuvre et attirer nous-mêmes des talents. La ligne de crête est étroite, mais c'est le seul chemin permettant d'avancer.
Cela étant dit, nous devons également être capables de travailler avec d'autres partenaires, notamment pour irriguer le tissu français des grandes entreprises et des ETI, afin de renforcer nos interactions avec l'industrie. Les « garde-fous », pour reprendre vos termes, relèvent de la gouvernance des partenariats. C'est à nous de définir quels sujets peuvent ou non faire l'objet de coopérations de cette nature.
Cette mécanique de partenariats maîtrisés avec le monde industriel doit relever d'une véritable stratégie. Elle ne doit pas obéir, avant tout, à une recherche de financements, ce qui est souvent un petit travers français. Pour sa part, l'Inria a toujours suivi une stratégie de l'impact. Ainsi, il serait essentiel de nouer des partenariats avec quelques acteurs économiques français permettant de diriger vers eux un flux massif de jeunes formés, sans pour autant développer un modèle économique - nous n'allons pas nous transformer en agence d'intérim. Cette initiative aurait sans doute un impact beaucoup plus fort pour le tissu économique français que la construction de partenariats fondés sur des enjeux de financements. Mais un tel effort exige d'affirmer que l'Inria est avant tout un outil au service de la souveraineté numérique.
M. Franck Montaugé, président. - Comment l'Inria appréhende-t-il l'impact des technologies dites de « blockchain » ?
M. Bruno Sportisse. - Ce sujet suscite une grande attention, car il regroupe un très grand nombre de thématiques : sécurité numérique, cryptographie, systèmes distribués, articulation entre technologies numériques et monde du droit, etc.
À mon sens, un véritable écosystème français doit se constituer autour de la blockchain. La Caisse des dépôts et consignations a d'ores et déjà pris un certain nombre d'initiatives à propos des transactions. À présent, il faut consolider et regrouper les nombreux apports souhaitables en la matière et même travailler à l'échelle européenne.
M. Franck Montaugé, président. - La blockchain est souvent présentée comme une technique infalsifiable : peut-elle, ou non, être cassée ?
M. Bruno Sportisse. - Malgré les promesses, certains exemples internationaux ont déjà prouvé que la blockchain pouvait être mise en échec ; aussi, l'enjeu relève au premier chef de la sécurité numérique. Il s'agit d'un véritable sujet de maîtrise technologique et il faut, à cette fin, mobiliser les acteurs.
La réunion est close à 16 h 30.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Mardi 3 septembre 2019
- Présidence de M. Franck Montaugé, président -
La réunion est ouverte à 9 h 30.
Audition de Mme Nicole Belloubet, ministre de la justice
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de Mme Nicole Belloubet, garde des sceaux, ministre de la justice. Cette audition sera diffusée en direct sur le site Internet du Sénat et fera l'objet d'un compte rendu publié. Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, Mme Nicole Belloubet prête serment.
M. Franck Montaugé, président. - Le développement du numérique voit s'affronter des États et des espaces continentaux sur le terrain de l'économie mais aussi du droit, utilisé comme un moyen de conquête et de protection. La confrontation des cultures et des systèmes juridiques dans le champ du numérique ainsi que le rapport de force qui en résulte affectent la souveraineté de notre État.
Notre droit national et continental place la loi au centre ; le droit anglo-saxon de common law procède d'une autre logique, sans cesse plus forte, jusqu'à donner l'impression que notre loi, sur notre propre sol, s'efface de fait.
Dans ce contexte, madame la Garde des sceaux, votre ministère doit répondre aux défis que représente la révolution numérique pour notre souveraineté, pour l'intégrité de notre ordre juridique et l'autorité de nos magistrats et de nos lois.
Les modèles économiques des grands acteurs du numérique - gratuité d'accès, collecte massive, utilisation et valorisation des données personnelles, vente de publicités ciblées - passent par des stratégies d'évitement permettant d'échapper aux contraintes de notre ordre juridique. Obtenir la coopération de grandes plateformes situées à l'étranger n'est pas toujours aisé. Quelles difficultés nos magistrats et vos services rencontrent-ils, et quelles solutions nous sont offertes ?
Pire, certains de ces acteurs sont susceptibles d'être en France les vecteurs, consentants ou non, d'ordres juridiques étrangers : les géants américains sont soumis à des régimes de sanctions extraterritoriales ou à des règles d'accès aux preuves électroniques, comme le Cloud Act. Comment s'explique ce contournement des traités d'assistance judiciaire mutuelle et comment l'éviter ? Faut-il renforcer la loi de blocage pour interdire, par exemple, la transmission d'informations stratégiques hors de ce cadre protecteur ?
Mme Nicole Belloubet, garde des sceaux. - Nous avons déjà abordé le sujet lors de l'examen, en 2017 et 2018, du projet de loi relatif à la protection des données personnelles qui a permis de tirer les conséquences du règlement européen de protection des données (RGPD) et de la directive qui l'accompagnait. Mais la question de la souveraineté numérique telle que vous l'abordez est beaucoup plus vaste et embrasse des champs de réflexion et d'action qui dépassent la seule protection des données personnelles ainsi que le périmètre de compétence de mon ministère.
On compare parfois l'espace numérique à celui des océans. C'est en effet un espace de liberté, avec des îlots de souveraineté qui tentent de s'affirmer juridiquement. Comme jadis, on voit apparaître de grandes compagnies commerciales qui tirent des richesses considérables de cet espace à conquérir - d'autant qu'elles le créent elles-mêmes - et des corsaires ou pirates qui profitent de cette liberté et des faiblesses du droit. Le droit de la mer a été une lente construction au cours des siècles, au prix de conflits, de rivalités, mais aussi d'une coopération réelle entre les États. Il faut que notre droit de l'espace numérique se mette en place plus vite, car les enjeux sont considérables et nous n'avons pas le temps d'attendre.
L'expression de notre souveraineté dans cet espace de liberté est difficile. Les acteurs non étatiques sont puissants et protégés par les États où ils se sont développés, États-Unis ou Chine. Les intérêts privés et nationaux s'entremêlent. L'Europe doit composer avec ses propres difficultés à agir face à des acteurs qui peuvent faire preuve de cynisme tout en comprenant que l'Europe est un marché considérable à ménager. Les révolutions technologiques se succèdent, de plus, à un rythme si soutenu que le droit a du mal à s'adapter.
Défendre, voire reconquérir notre souveraineté numérique est un objectif que nous partageons. La notion de souveraineté recoupe d'ailleurs des notions diverses. Elle renvoie à notre capacité à défendre notre territoire et notre population, à préserver et développer nos intérêts. Elle suppose aussi que nous sachions faire respecter nos valeurs, c'est-à-dire la démocratie politique et l'État de droit, face aux risques liés au déploiement du numérique.
Pour reconquérir une souveraineté numérique, les États doivent d'abord répondre à des défis technologiques, ce qui suppose de développer une forte capacité d'innovation. Sans innovation technologique, nous serons déclassés, réduits à l'impuissance. L'exercice de la justice doit aussi s'appuyer sur ces innovations technologiques.
Mais nous devons aussi disposer des instruments juridiques qui nous permettent de protéger, d'agir et de sanctionner.
L'autre condition réside dans notre capacité à articuler souveraineté nationale et coopération internationale. Dans ce cadre, nous n'avons d'autre horizon qu'européen.
L'adoption du RGPD et sa mise en oeuvre par la loi du 20 juin 2018 relative à la protection des données personnelles illustrent la manière dont nous pouvons agir pour préserver notre souveraineté numérique. Cela passe par une volonté résolue des États, une intégration européenne intense et une prise de conscience des acteurs eux-mêmes sur l'importance de protéger leurs données. II nous appartient de leur donner les outils pour exercer leurs droits de manière efficace contre les grands acteurs du numérique. En la matière, l'union fait la force.
Cette volonté de responsabiliser les acteurs s'est traduite par la nomination d'un délégué à la protection des données dans 53 000 organismes - soit 19 000 délégués au total, car la mutualisation est possible. Un tiers de ces organismes sont publics. Les collectivités territoriales se sont mobilisées : 11 800 communes, 82 départements, 12 régions ont nommé un délégué. Ce résultat est satisfaisant, car il s'agit d'une évolution lourde pour les acteurs. Ils jouent le jeu en dépit des craintes initiales ; la multiplication des délégués est le gage d'une diffusion massive de la culture de « protection des données ».
Les nouveaux outils offerts par la loi sont également utilisés par les citoyens. La loi du 20 juin 2018 a étendu l'obligation de notifier les violations de données à tous les acteurs qui recueillent des données personnelles, sous peine de sanctions très fortes - l'amende administrative pouvant être prononcée a été considérablement renforcée, j'y reviendrai. Au 27 juin 2019, 2 257 violations ont été notifiées en France. Ces violations auraient concerné plus de 95 millions de personnes - y compris bien sûr à l'étranger.
Le niveau de cybersécurité en France reste toutefois trop faible par rapport à l'Allemagne, au Royaume-Uni ou aux Pays-Bas. De nombreux organismes n'identifient pas les atteintes portées à la sécurité des données qu'ils traitent. Il faut donc continuer, avec la Commission nationale de l'informatique et des libertés (CNIL), ce travail d'information et de responsabilisation des acteurs.
La loi du 20 juin 2018 facilite aussi les plaintes auprès de la CNIL pour non-respect des dispositions relatives à la protection des données personnelles. Le nombre de plaintes a bondi en 2018, et on constate une hausse de 23 % au premier semestre 2019 par rapport à la même période en 2018, avant l'entrée en vigueur de la loi. Preuve que les particuliers hésitent de moins en moins à saisir la CNIL, et que la campagne de communication autour de la loi a été efficace. Au-delà des plaintes individuelles, la CNIL a également reçu cinq plaintes collectives, portées par l'association La Quadrature du Net, à l'encontre de Google, Apple, Facebook, Amazon et LinkedIn, réunissant près de 46 000 personnes.
Enfin, la loi du 20 juin 2018 a introduit une nouvelle sanction, avec une amende administrative pouvant désormais atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, contre 3 millions d'euros auparavant, afin de peser sur les grands acteurs mondiaux. À ce jour, quatre sanctions ont été prononcées dont une, spectaculaire, de 50 millions d'euros contre Google, le 21 janvier 2019, pour l'absence d'informations sur la finalité et la conservation des données des utilisateurs, l'exploitation massive et intrusive de celles-ci, ainsi que l'absence de consentement pour la personnalisation de la publicité. Il s'agit d'un montant record, auparavant, pour mémoire, une amende de 400 000 euros avait été infligée à la société Über fin 2018 sur la base de l'ancienne législation. Cette réforme marque bien un tournant dans notre rapport au numérique tout en créant un écosystème juridique global qui permettra à l'Europe de peser sur la scène internationale.
Face à ces enjeux, le ministère de la justice a dû s'organiser pour mieux maîtriser ses outils numériques, contrôler ses données et préserver la capacité du juge à rester maître de ses choix, de ses décisions, voire de ses valeurs dans une société numérisée. L'évolution vers plus de numérique est une nécessité pour le ministère de la justice d'autant plus qu'il a connu, en la matière, un retard regrettable.
Le plan de transformation numérique du ministère est à ce titre essentiel à l'action de la justice : il s'agit de la rendre plus lisible, plus accessible et plus démocratique, en l'ancrant toujours davantage dans le service du citoyen. Ce plan nous oblige à adapter notre socle technique, à développer des applications métiers pour les professionnels et les justiciables, et à construire des capacités d'accompagnement des utilisateurs. Ces sujets touchent au coeur de l'action des magistrats et jouent sur les perceptions de la justice, de son fonctionnement et de son efficacité, voire de sa légitimité.
Cette évolution majeure pose des questions de contrôle et de souveraineté. Les problématiques numériques modifient l'approche classique de traitement de l'information : elles intègrent des tiers externes d'importance grandissante dans le déploiement des infrastructures et des données. L'ère numérique globalise et crée de nouvelles dépendances. Il reste nécessaire de préserver les conditions d'exercice des libertés et les principes garantissant l'autonomie et l'indépendance des acteurs du droit et de la justice.
Ainsi, la justice doit veiller à la protection de son indépendance et des droits du justiciable en garantissant l'intégrité de ses données et la protection du secret. Dans ce cadre, il faut assurer l'intégrité et la traçabilité des informations, et préserver les traitements issus de ses systèmes d'information.
Par ailleurs, les moyens nécessaires à l'exploitation des plateformes numériques induisent une logique commerciale pour les développeurs, et des stratégies d'influence de toutes sortes qui peuvent être peu compatibles avec les logiques régaliennes et de souveraineté. Ces dispositions créent des opportunités permettant d'instrumentaliser des infrastructures ou de s'approprier des données éminemment souveraines. Il s'agit d'être vigilant sur les risques de glissement liés à ce changement d'environnement.
Je prendrai pour exemple la lutte contre la criminalité. La révolution numérique modifie profondément notre manière de mener cette action. Elle offre de nouveaux moyens de commission des infractions, favorisant même la création d'une criminalité spécifique, la cybercriminalité, qui n'existait pas auparavant. Elle entraîne, par ailleurs, une modification de notre rapport à l'application de la loi dans l'espace. Les lieux de commission de l'infraction ne peuvent plus être appréhendés de la même façon. L'accès aux preuves, lorsqu'elles sont numériques, nous invite également à modifier nos pratiques dans la mesure où elles ne peuvent pas être localisées et appréhendées comme le sont des objets matériels. Cette révolution favorise sans conteste une plus grande transnationalité des procédures. Notre ordre juridique interne est donc plus fréquemment confronté à ceux de nos voisins européens, ou au-delà, notamment quand il s'agit de collecter des preuves numériques.
C'est précisément afin de surmonter ces obstacles et de renforcer la coopération que l'Union s'est engagée dans d'importants travaux législatifs.
Tout d'abord, la Commission européenne a proposé deux textes, afin de faciliter l'accès aux preuves numériques entre États membres au sein de l'Union. Sont en cours de négociation une proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale et une proposition de règlement relative à l'accès aux preuves numériques en matière pénale, déterminant les conditions et modalités d'accès par les autorités judiciaires à la preuve numérique détenue par un opérateur fournissant des services sur le territoire de l'UE.
Le Conseil de l'Union européenne a arrêté sa position le 7 décembre 2018 sur la proposition de règlement, et le 7 mars 2019 sur la proposition de directive. Les discussions avec le Parlement ne pourront toutefois intervenir que dans le cadre de la nouvelle législature issue des élections de mai dernier, c'est-à-dire à compter de cet automne.
La France est très investie dans la négociation de ces deux textes et milite pour que ces derniers proposent des mécanismes simples pour les praticiens et efficaces pour les enquêtes judiciaires. Nous devons donc nous organiser pour mieux coopérer entre nous et faire en sorte que nos justices respectives demeurent efficaces face à une criminalité qui ne connaît plus les frontières. Mais nous devons aussi répondre aux défis que nous lancent les grandes puissances du numérique. Je pense en particulier aux États-Unis et au Cloud Act.
Le Cloud Act adopté en 2018 permet aux services d'enquête américains d'obtenir des données électroniques, y compris de contenu, quelle que soit leur localisation, auprès des opérateurs établis sur leur territoire. Il prévoit par ailleurs la conclusion d'accords bilatéraux permettant à des autorités étrangères de faire de même, excepté lorsque les données requises appartiennent à des citoyens américains ou résidents permanents aux États-Unis, avec clause de réciprocité.
A priori, cela peut paraître être une avancée en matière d'enquête, mais le Cloud Act présente à mon sens plus d'inconvénients que d'avantages, notamment en multipliant les hypothèses de conflits de normes - particulièrement en matière de protection des données à caractère personnel - et en réduisant de fait les capacités d'enquête des autorités étrangères par un régime strictement encadré.
Le Cloud Act prévoit donc que la coopération n'est désormais possible qu'à condition qu'un accord ait été conclu avec les États-Unis. Or la clause de réciprocité qui devrait être contenue dans ces accords exécutifs pourrait être difficile à articuler avec le RGPD. En effet, les autorités pénales américaines pourraient requérir, auprès des opérateurs établis dans les États de l'Union, parties à ce type d'accord, la communication de données relatives à des citoyens ou résidents permanents d'autres États de l'Union que celui dans lequel l'opérateur est établi. À titre d'exemple, si la France concluait un tel accord exécutif avec les États-Unis, un hébergeur situé en Allemagne devrait, sur réquisitions des autorités américaines, fournir les données, y compris de contenu, relatives à des utilisateurs français. La conformité d'un tel accord à l'article 48 du RGPD n'est pas acquise.
En outre, on peut sérieusement être préoccupé par le fait que le Cloud Act permettrait à terme aux autorités judiciaires américaines d'accéder à des données, y compris de contenu, de personnes françaises, et donc, potentiellement d'entreprises françaises. Comment éviter cela ? Manifestement la réponse est européenne et l'Union s'est engagée dans la construction de cette réponse, qui n'est pas simple, car de nombreuses incertitudes ou incompréhensions demeurent.
Deux enjeux se font jour : préserver la capacité de nos magistrats à faire leur travail et protéger nos concitoyens contre l'accès illégitime à leurs données personnelles.
L'Union a décidé de s'engager dans la négociation d'un accord bilatéral sur le recueil de preuve numérique avec les États-Unis, car le Cloud Act peut mettre en échec les demandes des magistrats européens lorsqu'ils souhaitent obtenir des preuves numériques auprès des principaux fournisseurs mondiaux de communications électroniques. Cette négociation sera menée par la Commission au nom des Etats-membres. Ceux-ci sont néanmoins étroitement associés et la France a tout particulièrement veillé à ce que le mandat de négociation confié à la Commission le 6 juin dernier soit le plus exigeant possible.
Cette négociation prendra sans doute plusieurs années en raison d'une incompréhension avec les Américains : le Cloud Act prévoit la conclusion d'accords bilatéraux entre États ce qui est impossible légalement côté européen puisqu'aux termes de la jurisprudence de la CJUE l'Union dispose d'une compétence externe exclusive en la matière.
Parmi les points importants de cette négociation, l'un des maîtres mots pour nous le terme « réciprocité ». Par ailleurs, nous avons insisté pour que les personnes morales soient expressément exclues de l'accord futur, afin d'éviter les risques d'intrusion ou de vampirisation des données stratégiques de nos entreprises sous un habillage judiciaire. Enfin, nous avons également pesé pour que soient écartées les données « dont la divulgation serait contraire aux intérêts essentiels d'un État membre ».
D'autres réflexions sont par ailleurs en cours pour peser face à certaines menées américaines. Je pense au renforcement de la protection de nos entreprises à travers la loi de blocage de 1968.
L'adoption récente du Cloud Act permet désormais aux autorités américaines, dans le cadre d'enquêtes pénales, de saisir de manière très simple et directe des données numériques pourtant hébergées à l'étranger, via les fournisseurs de services de communications électroniques américains ou situés aux États-Unis. A contrario, lorsque les autorités judiciaires françaises souhaitent saisir des données numériques hébergées aux États-Unis, elles doivent se plier au mécanisme beaucoup plus lourd et aléatoire de l'entraide judiciaire qui impose d'adresser une demande préalable aux autorités judiciaires américaines, lesquelles sont alors libres d'y donner suite ou non. Il y a donc là une situation d'asymétrie préjudiciable à notre souveraineté judicaire et numérique, plus particulièrement pour la confidentialité des informations stratégiques sensibles de nos entreprises lorsqu'elles sont stockées au format numérique.
Pour y faire face, le Gouvernement a amorcé une réflexion sur la base du rapport récemment remis par le député Raphaël Gauvain, afin d'actualiser la loi de 1968 dite de « blocage ». Pour mémoire, cette loi impose aux autorités administratives et judiciaires étrangères souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France de passer par le canal de la coopération, c'est-à-dire de solliciter la communication de ces informations auprès des autorités nationales et non directement auprès des opérateurs économiques français visés. Le non-respect de la loi de blocage est sanctionné pénalement.
Certes, on pourrait considérer que la loi de 1968 s'applique d'ores et déjà à la transmission de données stratégiques numériques, relatives à des opérateurs économiques français, à des autorités ou entités étrangères. Mais le texte n'est pas explicite, ce qui pourrait faire peser un risque sur la légalité de la sanction pénale prévue, qui elle-même peut sembler insuffisante pour être considérée comme crédible et donc dissuasive pour les entités potentiellement concernées, les grands hébergeurs de données numériques, les Gafam notamment.
Cela dit, le Gouvernement envisage de consacrer un rôle spécifique dans l'avenir au service de l'information stratégique et de la sécurité économiques (Sisse) pour lui conférer un rôle d'accompagnement et de conseil des entreprises qui seraient concernées par des demandes étrangères directes visant à procéder à une saisie numérique. Le rôle du Sisse à cet égard pourrait notamment être d'évaluer la portée des informations confidentielles susceptibles d'être demandées par l'autorité étrangère, de rappeler à l'entreprise les dispositions de la loi de 1968 et d'engager un dialogue avec elle sur la conduite à tenir. Les réflexions sur ces différents aspects sont en cours d'étude et certaines d'entre elles pourraient faire l'objet de dispositions législatives.
Mesdames, messieurs les sénateurs, au travers ces premiers éléments, vous aurez compris que le Gouvernement et la Chancellerie accordent à la question qui vous occupe une très grande attention. Il faut en la matière avoir une pensée offensive et savoir promouvoir notre vision de la souveraineté numérique au sein de l'Union européenne. Nous nous y employons, mais vos travaux, j'en suis certaine, nous permettront de mieux faire valoir nos intérêts et contribueront à nous stimuler dans cette action essentielle.
M. Gérard Longuet, rapporteur. - Votre présentation reprend les lignes de force sur la souveraineté numérique que nous évoquons depuis le début de nos travaux, et rappelle votre implication dans l'adoption de la loi relative à la protection des données personnelles que vous aviez présentée au Sénat en 2018. Pour votre ministère, la souveraineté numérique appliquée à la coopération judiciaire est d'actualité et dépend non seulement de considérations économiques et technologiques, mais aussi juridiques.
Pour ce qui concerne la mise en place du RGPD, vous nous avez donné des éléments et cité des chiffres, mais je m'interroge sur la coexistence de sanctions administratives sur le fondement du RGPD et de poursuites pénales : quelle sera la politique du parquet pour sanctionner les manquements au RGPD ? Selon vous, quelle politique pénale devrait être adoptée par le Gouvernement ? Considérez-vous que la sanction administrative suffise ? Les amendes sont parfois élevées. Exonèrent-elles de la procédure pénale ? Il est facile de saisir les grands opérateurs qui défient les États ; il est possible de discuter avec des interlocuteurs qui ont des intérêts. Mais des opérateurs plus modestes peuvent échapper à ce type de régulation par la sanction administrative ; ils devraient être confrontés au risque de la sanction pénale si l'on veut qu'existe une dissuasion.
Pour ce qui concerne la CNIL, compte tenu de l'importance de l'enjeu, ses effectifs sont bien inférieurs à ceux des régulateurs des autres États membres de l'Union et elle paraît bien modeste. Il ne résulte pas de nos travaux qu'il faudrait fusionner les régulateurs, leurs compétences diverses - dès lors qu'il y a mutualisation et coordination - paraissant pertinentes. Pour autant, la question de l'insuffisance des moyens de la CNIL est préoccupante.
Le numérique a pour caractéristique d'être éternel, alors que les décisions de justice ont vocation à ne pas l'être. La prescription est un facteur de paix civique mais l'open data ne peut-il pas parfois servir à la contourner ?
Grâce à l'extension de l'intelligence artificielle, l'investissement dans des technologies algorithmiques pourrait aboutir à des méthodes d'aide à la décision, voire de prévisions qui feraient planer le spectre d'une justice prédictive à l'égard de petits délits dont le traitement pourrait être industrialisé. Cette crainte est-elle justifiée ?
Enfin, quel partenariat le ministère de la justice pourrait-il engager ou a-t-il engagé avec les Gafam ? Faut-il une attitude patriotique vis-à-vis des grands acteurs du numérique ou vaut-il mieux associer les grands acteurs à des coopérations ponctuelles ?
Mme Nicole Belloubet, garde des sceaux. - Pour ce qui concerne la coexistence de sanctions administratives et pénales, nous devons faire preuve d'exemplarité - c'est l'objet de la sanction pénale - et nous devons respecter des règles juridiques, notamment le principe non bis in idem. Le Conseil constitutionnel a rendu des décisions importantes - je pense notamment à sa jurisprudence lors de l'affaire Cahuzac - et admis sous certaines conditions deux types de sanctions pour des faits identiques qui relevaient de deux ordres juridiques différents. Dans le sujet qui nous occupe, tel est le cas et la double sanction pourrait donc jouer.
Quant à la CNIL, j'ai conscience de la modestie de ses effectifs, mais aussi de ses efforts considérables de réorganisation et d'adaptation. Des postes supplémentaires lui ont été octroyés pour faire face à ses nouvelles missions : entre 2010 et 2019, ses membres sont passés de 140 à 208. Son budget est passé de 14 à 18 millions d'euros. Le nombre des agents des structures comparables aux Pays-Bas et en Allemagne est similaire, tandis qu'au Royaume-Uni il atteint presque 700.
Sur la crainte d'une justice prédictive, il faut s'arc-bouter sur l'office même du juge et sur la question de l'individualisation des décisions qui garantit l'indépendance de la justice. Pour autant, il ne faut pas se priver d'éléments d'aide à la décision, tels les barèmes relatifs aux pensions alimentaires, notamment.
Par ailleurs, depuis la loi de 2016 pour une République numérique confortée par la loi de réforme de la justice de mars dernier, nous devons mettre à disposition en open data l'ensemble des décisions de justice, ce qui pourrait conduire des opérateurs privés à construire des banques de données ou des logiciels permettant de déterminer les chambres octroyant les meilleures indemnités. Lors de l'élaboration de cet open data, nous serons très vigilants sur ce point.
Enfin, aucun « partenariat » en tant que tel n'a été établi avec les Gafam, mais nous avons, bien sûr, un patrimoine applicatif qui s'est constitué au fur et à mesure - Microsoft, pour les postes de travail -, avec le souci de la double source et des solutions alternatives libres. Pour des raisons de sécurité, nous hébergeons chez nous nos données, et avec le concours et la vigilance de l'Anssi.
Mme Catherine Morin-Desailly. - Lors de la dernière loi de finances, nous avons été surpris par la baisse des crédits. Or je veux insister sur la nécessité d'affecter des moyens adaptés aux autorités indépendantes, alors que la souveraineté est une question brûlante d'actualité. La présidente de la CNIL nous a fait part de ses besoins pour conduire sa mission difficile, de plus en plus pointue, avec l'entrée en vigueur du RGPD.
Cela dit, notre écosystème numérique s'est construit autour d'un système d'exploitation de nos données qui transitent par les plateformes devenues des « facilités essentielles » : nous dépendons d'elles. Eu égard à la manipulation d'informations au cours des derniers mois, quid d'une prise de décision quant à la réouverture de la directive e-commerce pour permettre de réfléchir à un statut des plateformes qui ne sont aujourd'hui redevables de rien ? Quid aussi des propositions de résolution européenne que nous adoptons et qui pourraient être des outils pour le Gouvernement... s'il s'en saisissait ?
Enfin, dans l'éducation nationale, des contractualisations sont intervenues avec Microsoft et Google. Quel est votre rôle, madame la Garde des sceaux, pour qu'à l'échelon interministériel s'opère une prise de conscience des risques de ces partenariats ? Je m'inquiète du mécénat et de l'aide au financement de la chaire d'enseignement de l'intelligence artificielle à Polytechnique. Ce sont des questions éminemment stratégiques.
Enfin qu'en est-il des contrats passés avec des entreprises telles que Cisco qui forment nos ingénieurs réseau dans l'ensemble des ministères où sont manipulées des données stratégiques ?
M. Franck Montaugé, président. - Vous avez parlé du rôle que vous entendez faire jouer au Sisse pour répondre au Cloud act. Allez-vous vous saisir aussi de la question de la protection des avis juridiques destinés à nos entreprises dont les autorités américaines peuvent parfois demander communication ? Envisagez-vous une évolution du statut des juristes d'entreprise ?
Mme Nicole Belloubet, garde des sceaux. - Madame Morin-Desailly, je soutiens les demandes de crédits de la présidente de la CNIL, qui sait aussi la nécessité de réorganiser cette instance en raison de l'évolution de ses missions.
Sur les risques pour la démocratie de la manipulation de l'information, la loi dite fake new permet d'apporter un certain nombre de réponses, ce qui montre une volonté d'agir. J'ai évoqué récemment ce sujet au Conseil de l'Europe et un certain nombre d'États sont intéressés par ce type de législation.
La directive e-commerce a été adoptée à une époque où les acteurs privés comme les Gafam n'existaient pas. Il est donc important de réfléchir à un nouvel encadrement, car les Gafam fournissent plus que de l'hébergement passif. La réouverture de ce dossier serait intéressante - je le dis, bien sûr, sans préempter le cadre de la nécessaire concertation interministérielle.
Quant aux propositions de résolution européenne adoptées par le Parlement, ces textes sont un point d'appui très utile dans nos négociations. Ils renforcent la position du gouvernement français.
Aucune contractualisation entre le ministère de la justice et les Gafam n'a été formalisée ; des partenariats ont été conclus notamment avec Microsoft. Je sais que mes collègues des autres ministères, tout comme moi, sont très mobilisés sur les risques qui pourraient découler d'une telle contractualisation.
Monsieur le président, le rapport Gauvain insiste sur la protection des avis juridiques possédés par certaines entreprises et souhaite que soit mis en place un certain nombre de dispositions. Les intérêts peuvent être antagonistes. Cette protection est favorable aux entreprises quand des autorités étrangères veulent accéder à des données constituant les gènes mêmes de ces entreprises. Mais des impératifs de valeur constitutionnelle existent. Ainsi en matière de détection de la fraude fiscale ou de lutte contre la délinquance financière, si ces données sont trop protégées, les juges français risquent d'être mis en difficulté. Nous devons donc trouver un système équilibré.
Une des réponses aux pouvoirs des autorités américaines serait, selon le rapport Gauvain, que nous nous dotions d'avocats en entreprise, en dégageant un statut particulier. Mais je note que la question fait débat et que les avocats français ne sont pas tous favorables à cette notion, estimant qu'une partie du marché pourrait leur échapper - c'est un fait, il y a des différences d'approche entre le barreau de Paris et les autres. Une des solutions à l'étude serait plutôt de permettre d'instaurer un legal privilege dont les titulaires pourraient être reconnus par les autorités judiciaires américaines, sans octroyer le titre d'avocat. Ils seraient inscrits au tableau B de l'ordre des avocats.
M. Laurent Lafon. - Nous avons compris la stratégie suivie en matière de coopération internationale. Je veux évoquer les pays hors Union européenne et États-Unis. Les cybercriminels ont perçu les faiblesses du système et vont se localiser dans des pays où les règles juridiques sont moins exigeantes. Le sentiment d'impuissance à leur égard est-il réel ? Quel est l'état des coopérations que vous pouvez mettre en oeuvre avec certains pays à l'Est de l'Europe, en Afrique ou au Moyen-Orient ?
Mme Nicole Belloubet, garde des sceaux. - La cybercriminalité nous a déjà obligés à évoluer. Ainsi, grâce à l'adoption de la dernière loi relative à la justice, nos enquêteurs ont la possibilité d'infiltrer les réseaux. Nous avons également mis en place des parquets spécifiques gérant des dossiers spécifiques, comme celui de Pontoise qui gérera une base numérique particulière concernant les fraudes à la carte bleue, laquelle permettra une réelle efficacité. Des procédures d'enquête et des procédures judiciaires nouvelles sont donc mises en place. Dans le cadre de la proposition de loi de Mme la députée Avia relative à la cyberhaine, nous entendons mettre en oeuvre un parquet fléché sur ces questions.
Pour ma part, je ne parlerai pas d'impuissance, mais de rapidité d'adaptation. Au sein de l'Union européenne, la réactivité est réelle en raison des mécanismes de coopération extrêmement simples. Les textes relatifs à l'accès aux preuves numériques nous faciliteront la tâche.
M. Jérôme Bascher. - Aujourd'hui, la sanction correspond à une amende ou une peine de prison, alors qu'il faudrait peut-être en trouver d'autres comme - pourquoi pas ? - pirater l'identité numérique de hackers. Le ministère de la justice se met-il en capacité d'inventer de nouvelles réponses pénales ?
Mme Nicole Belloubet, garde des sceaux. - Je n'ai pas la réponse précise à votre question, monsieur le sénateur. Mais le ministère ne reste pas figé sur les sanctions classiques. Ainsi, l'Agence de gestion et de recouvrement des avoirs saisis et confisqués (Agrasc) est une autre réponse, infiniment plus efficace que la peine de prison ou d'amende. C'est un succès. L'effacement des contenus est une réponse, mais elle n'est pas toujours la plus optimale.
La réunion est close à 10 h 50.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est ouverte à 11 heures.
Audition de Mme Florence Parly, ministre des armées
M. Franck Montaugé, président. - Nous poursuivons nos travaux avec l'audition de Mme Florence Parly, ministre des armées. Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié. Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, Mme Florence Parly prête serment.
M. Franck Montaugé, président. - Vous avez la responsabilité d'un ministère régalien essentiel pour la souveraineté numérique. La revue stratégique de défense et de sécurité nationale de 2017 fait de notre souveraineté numérique un enjeu prioritaire et la revue stratégique de cyberdéfense de février 2018 définit la souveraineté numérique comme « la capacité de la France, d'une part, d'agir de manière souveraine dans l'espace numérique, en y conservant une capacité autonome d'appréciation, de décision et d'action, et, d'autre part, de préserver les composantes les plus traditionnelles de sa souveraineté vis-à-vis de menaces nouvelles tirant partie de la numérisation croissante de la société ».
Un pays ne peut être souverain s'il ne parvient pas à contrôler les activités numériques qui affectent son territoire et s'il ne dispose pas des technologies clés et des infrastructures critiques. Un pays ne peut pas non plus être souverain sans les armes lui permettant de garantir son autonomie et la maîtrise des théâtres opérationnels affectés par de nouvelles menaces numériques. Avons-nous aujourd'hui tous les moyens de nos ambitions dans tous ces domaines ?
Le 18 janvier 2019, notre pays s'est doté d'une doctrine militaire de lutte informatique offensive (LIO). La capacité à se protéger contre les attaques informatiques, à les détecter, à en identifier les auteurs est l'un des éléments clefs de notre souveraineté, mais elle ne pouvait se suffire à elle-même. N'avons-nous pas tardé à nous doter d'une capacité de riposter ? Nous sommes-nous donné la possibilité d'être suffisamment offensifs pour être dissuasifs ?
Mme Florence Parly, ministre des armées. - Vous avez déjà reçu de nombreux et éminents représentants du ministère des armées pour évoquer la souveraineté des outils numériques, les attaques cyber et les moyens humains et financiers qui y sont consacrés. Je compléterai leur éclairage, tracerai quelques perspectives et essaierai de cerner les enjeux à venir.
Je rappellerai certains constats : notre supériorité opérationnelle passe par la puissance numérique. Notre outil de défense repose en grande partie sur l'exploitation de ce potentiel. L'information a toujours précédé l'action. Le numérique accélère et multiplie l'information. Plus aucune opération ne se fait sans recours au numérique. Pour repérer l'ennemi ou le terrain, agir avec précision ou optimiser les moyens, il faut des réseaux de capteurs et des capacités de modélisation numérique.
Le numérique, ce sont aussi des opportunités, pas encore toutes exploitées, mais immenses, comme l'intelligence artificielle et la capacité à traiter massivement des données. L'exercice de la souveraineté passe par l'aptitude à saisir ces opportunités.
Le numérique est partout dans notre quotidien. Le ministère des armées n'y échappe pas, que ce soit dans ses frégates, ses avions, ses blindés de plus en plus truffés de microprocesseurs, de puces ou de logiciels. Nos communications s'appuient sur des réseaux numérisés, transitant parfois par des opérateurs privés, que ce soit par des câbles ou des flux satellitaires... Cette exposition au numérique peut être pour le meilleur - puissance et opportunités opérationnelles - ou porteuse de risques - vulnérabilité et dépendance... En effet, le numérique, c'est aussi de la conflictualité : les attaques cyber ne sont pas l'apanage du secteur civil. Nos systèmes militaires sont épiés, visés, voire attaqués.
J'ai engagé une démarche de transformation numérique du ministère des armées avec ce souci constant de notre souveraineté. Pour orchestrer cela, j'ai créé la Direction générale du numérique, opérationnelle depuis juin 2018, connue et reconnue comme un acteur majeur aux niveaux ministériel et interministériel. Les enjeux de souveraineté sont au coeur de son action. Nous avons lancé la rénovation du socle numérique du ministère des armées pour tirer toutes les potentialités de la transformation numérique tout en renforçant la sécurité et la résilience. Pour cela, une nouvelle unité de management a été créée au sein de la Direction générale de l'armement (DGA) chargée de la conduite d'opérations d'armements, dont certains incluant les systèmes d'informations. Elle travaille étroitement avec la Direction interarmées des réseaux d'infrastructure et des systèmes d'informations de la défense (Dirisi), responsable des réseaux et de l'hébergement des données et des systèmes d'information du ministère des armées. Cette unité devra répondre aux enjeux de souveraineté, au même titre que les unités de management chargées des avions de combat ou des sous-marins. Systèmes d'information et numérique sont pris en compte en tant que tels.
Les données sont un sujet à part entière. Nous devons les acquérir, les stocker et les traiter en toute indépendance. Nous avons élaboré une stratégie cloud pour assurer la sécurité et la souveraineté de l'usage de nos données, sans nous priver des services de plus en plus vastes des opérateurs. Nous devrons faire émerger des opérateurs de confiance répondant aux besoins des administrations, des entreprises françaises et du ministère.
L'intelligence artificielle est un sujet majeur de préoccupation. Nous investissons massivement, 100 millions d'euros par an, sur ce défi technologique. Nous recruterons 200 experts - un véritable défi pour nos ressources humaines.
Le ministère des armées a largement contribué, par ses commandes et son soutien à la recherche, à l'excellence de la filière française sur les moyens de calcul de très haute performance. Vous avez auditionné les responsables des grandes entreprises qui y contribuent.
Concernant la sécurité d'approvisionnement des composants, nous travaillons avec le ministère de l'économie et des finances sur le plan Nano 2022, afin de créer une filière industrielle de confiance pour la conception et la réalisation des composants électroniques. La dépendance ne peut pas être un problème traité isolément par la défense, mais doit intégrer tous les acteurs industriels, et être envisagée à l'échelle européenne.
La souveraineté numérique doit garantir à la France sa capacité à agir de façon souveraine dans l'espace numérique, en conservant son autonomie d'appréciation, de décision et d'action. La revue stratégique de défense de 2017 rappelait que le cyberespace entraîne de nouvelles vulnérabilités, faisant de notre souveraineté numérique un enjeu prioritaire.
Nous avons constaté, fin 2017, des connexions anormales sur le serveur de messagerie internet du ministère des armées. Un attaquant cherchait à accéder directement au contenu des boîtes mails de 19 cadres du ministère, dont celles de personnalités extrêmement sensibles. Sans notre vigilance, toute la chaîne de l'alimentation en carburant de la marine nationale aurait été exposée. Cette tentative d'attaque a duré jusqu'en avril 2018. Nous avons pu remonter la chaîne des serveurs jusqu'aux adresses IP. Ce mode d'attaque est bien connu de nos services, et certains l'attribuent à Turla.
Tous les incidents, nombreux, ne sont pas forcément des attaques. Nous constatons en moyenne deux incidents par jour sur les réseaux du ministère des armées, mais le chef d'état-major des armées a constaté une forte croissance de ces incidents, d'environ 20 %, entre 2017 et 2018.
Le cyber est une arme d'espionnage, mais certains États l'utilisent pour déstabiliser, manipuler, entraver ou saboter. C'est vrai en temps de paix, mais surtout en temps de crise - comme actuellement dans le Golfe - ou de guerre. De plus en plus de nations intègrent la dimension cyber dans leurs stratégies ou leurs modes d'action, cumulant capacités conventionnelles et cyber. Ne soyons pas naïfs ! Ces constats fondent l'action de notre ministère, à pied d'oeuvre pour saisir les opportunités, prévenir les risques et réduire les fragilités.
Concernant les opportunités, le cyber est au coeur de la loi de programmation militaire (LPM). Les investissements humains et financiers permettent d'imposer la France comme un acteur incontournable : 1,6 milliard d'euros seront consacrés au cyber entre 2019 et 2025. Nous devons renforcer nos capacités de prévention, de détection et d'attribution des cyberattaques. D'ici à 2025, nous aurons 4 000 cybercombattants et cybercombattantes, soit 1 000 de plus qu'actuellement. Ces recrutements, très importants, concernent le développement des capacités cyber du ministère, et nous renforçons l'expertise en cyberdéfense de la DGA. Nous prenons en compte, aussi transversalement que possible, la sécurité à l'intérieur des programmes d'armement pour préserver la souveraineté numérique des armées.
Aux moyens de la LPM s'ajoute la consolidation de la stratégie de cyberdéfense, qui garantit la résilience numérique et l'aptitude au combat. En début d'année, nous avons énoncé une doctrine cyber avec une stratégie à la fois défensive et offensive. Défensivement, nous voulons mieux anticiper les menaces par le renseignement, détecter, réparer leurs effets, les caractériser, remonter jusqu'à leur source, et protéger les réseaux. Il faut repenser la résilience numérique en intégrant tous les enjeux du numérique. En 2017, nous avons créé le Comcyber, commandement de la cyberdéfense, dirigé alors par le général Olivier Bonnet de Paillerets. Ce commandement, qui a montré son utilité, est intégré dans la chaîne de commandement, et ses moyens seront renforcés par la future LPM.
En matière de cybersécurité, le ministère des armées prend ses responsabilités en lien très étroit avec l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cela étant, ma conviction est que notre effort doit aller bien au-delà. Il doit être collectif pour être efficace. La cyberdéfense n'est pas qu'une affaire de spécialistes : elle relève de la responsabilité de tous et doit constituer une priorité pour tous nos agents. C'est l'esprit et l'objet de l'instruction que le ministère a diffusée en décembre dernier. C'est ce que nous appelons la « cyber-hygiène ».
C'est également l'esprit de la décision que j'ai prise en janvier de cette année d'organiser une chaîne cyberdéfensive de bout en bout, de Balard jusqu'à nos partenaires industriels et leurs sous-traitants. Cette démarche est bien avancée et se concrétisera prochainement par la signature d'une convention entre le ministère des armées et huit grands industriels de défense. Cette convention établira des objectifs partagés pour les premières actions concrètes engagées dans le domaine de la cybersécurité. Il est indispensable de renforcer les liens entre l'État et ses principaux maîtres d'oeuvre, de faciliter la concertation autour de l'évolution des moyens, et de préserver notre base industrielle et technologique de défense. Notre stratégie contribuera très directement à la préservation de notre souveraineté.
En 2019, l'actualité nous a rappelé que les groupes industriels peuvent eux aussi être l'objet de cyberattaques, ciblant non seulement les données personnelles de leurs employés, mais aussi la documentation technique des équipements que ceux-ci conçoivent. Je pense en particulier à l'attaque qui a visé l'un des sous-traitants d'un grand groupe, phénomène qui montre l'importance d'un système assurant la sécurité de chaque chaînon de notre défense nationale. Il convient d'avoir une acception très large de cette chaîne : chaque entreprise, chaque partenaire du monde de la défense a ainsi un rôle à jouer en matière de souveraineté numérique.
Aujourd'hui, nos adversaires cherchent à exploiter toutes les failles qui se présentent pour nous atteindre, qu'elles se situent chez les industriels, leurs sous-traitants et fournisseurs, ou parmi leurs employés. Chaque système d'arme, chaque ordinateur ou smartphone, chaque objet connecté, peut être demain, à l'insu même de son propriétaire, non seulement une cible, mais également le vecteur de transmission d'une cyberattaque. C'est pourquoi nous prenons cette problématique extrêmement au sérieux.
Nous sommes également prêts à employer l'arme cyber en opération à des fins offensives, que ce soit de façon isolée ou en appui de nos moyens conventionnels, afin d'en démultiplier les effets. Une stratégie offensive est indispensable, car il faut préparer nos armées à cette nouvelle guerre, en nous assurant qu'elles disposent d'une doctrine et de capacités offensives dans le domaine informatique. C'est aussi cela la souveraineté à l'heure du numérique.
Ainsi, en cas d'attaque contre nos forces, nous nous réservons le droit de riposter, et ce dans le respect du droit, par les moyens et au moment que nous jugerons opportuns. Nous nous réservons aussi le droit de neutraliser les effets et les moyens numériques employés. Nous considérons l'arme cyber comme une arme opérationnelle à part entière. C'est un choix que nous faisons en responsabilité. Il faudra naturellement en faire un usage proportionné, mais nous n'aurons pas peur de l'utiliser.
J'aurai très prochainement l'occasion de présenter à nos partenaires notre vision du droit international appliqué aux cyberopérations. Le domaine juridique et normatif est en effet un aspect essentiel de l'exercice de notre souveraineté.
Je souhaite également aborder la question des coopérations. Leur champ ne se limite pas aux seules industries numériques et de défense. L'exercice de notre souveraineté dans le domaine numérique ne se conçoit qu'à travers le développement de coopérations internationales, tout particulièrement à l'échelon européen. Certains pourraient considérer qu'il existe une contradiction entre la notion de souveraineté numérique et celle de coopération. Il n'en est rien : c'est à travers des coopérations fortes que nous pourrons préserver notre souveraineté numérique. Celles-ci conditionnent en effet la préservation de nos expertises qui ne sauraient se maintenir si elles sont trop isolées et fragmentées. Elles conditionnent également la résilience de nos systèmes qui doivent disposer d'une certaine profondeur pour anticiper et réagir aux attaques.
Nous travaillons avec nos partenaires à la fois dans le domaine industriel pour garantir notre aptitude à développer les systèmes dont nos armées ont besoin et auront besoin dans le futur, et dans le domaine militaire pour mutualiser nos compétences et nos expertises. Le Comcyber a été créé pour assurer la cohérence du modèle de cyberdéfense du ministère dans les domaines des ressources humaines, de la politique internationale ou pour des besoins techniques spécifiques. Cela étant, il développe lui-même des partenariats stratégiques que nos services de renseignements utilisent. Il s'agit là d'un défi majeur.
J'en terminerai par les quatre défis que mon ministère doit relever.
Le premier est celui de l'expertise. C'est à la Direction générale de l'armement de placer le numérique et la cybersécurité au coeur du processus d'acquisition, de développement et de qualification de nos systèmes d'armement. Il s'agit de prendre en compte cette nouvelle doctrine offensive le plus en amont possible pour concevoir et développer les armements de demain. Cet objectif ne peut être atteint sans la mise en place d'une véritable politique d'innovation numérique. L'Agence de l'innovation de défense travaille en lien très étroit avec la Direction générale du numérique pour développer des outils - en particulier dans le domaine de l'intelligence artificielle - et des méthodes managériales dédiés à l'innovation numérique. Il reviendra donc à la Direction générale du numérique de les diffuser, d'en contrôler la mise en oeuvre et de les adapter.
Le deuxième défi est celui de l'acculturation de nos militaires et de nos personnels civils à cette nouvelle arme spécifique. Je ne développerai pas ce point, car je sais que le chef d'état-major des armées l'a déjà fait devant vous. J'insisterai simplement sur l'initiative des combattantes du numérique, les Combattantes@Numérique, démarche très intéressante, qui a été lancée en septembre 2018 et que je suis de près. Ce réseau vise à encourager les femmes à s'approprier les compétences du numérique et à les attirer dans les industries du numérique. Le ministère prend une part très importante dans ce projet. Près de 70 femmes issues des filières du numérique travaillent à faire changer les représentations.
Le troisième défi a trait à la coopération avec nos partenaires internationaux. Nous devons continuer à nous tourner vers nos alliés. Comme dans le désert, les océans, l'air et l'espace, nous ne pouvons laisser aux agresseurs le monopole de l'avantage d'évoluer dans un espace sans frontières : il n'y a pas de cyberdéfense sans alliance, et il n'y a pas d'alliance sans partenaires de confiance. Aujourd'hui, toutes les attaques ont une ampleur internationale. L'OTAN, par exemple, met en oeuvre des coopérations et des exercices en matière de cybersécurité. Nous avons ainsi gagné un défi lancé par cette organisation en avril dernier.
Les cybermenaces pèsent sur tous les pays du continent européen. Nous avons donc intérêt à unir nos efforts plutôt qu'à combattre en ordre dispersé. L'union fait la force : je n'imagine pas l'Europe de la défense sans un volet « cyberdéfense ». De ce point de vue, la création du fonds européen de défense, dont nous attendons beaucoup, devrait représenter un premier pas. Nous serons pleinement engagés dans la promotion d'initiatives en matière de cyberdéfense à l'échelon européen, notamment au travers de la création de clusters permettant d'associer dans un même pôle des chercheurs, des industriels et des entrepreneurs.
Enfin, il revient au ministère de fiabiliser nos filières d'approvisionnement dans le domaine des composants, et de le faire en lien avec les acteurs civils, là encore au niveau européen. Nous avons identifié des partenaires comme l'Estonie, l'Espagne ou le Danemark avec lesquels il est indispensable de développer notre connaissance de la menace et de nous entraîner. L'exemple de l'Estonie est intéressant : ce pays, comme vous le savez, a fait l'objet d'attaques importantes il y a quelques années et a alors su réagir avec fermeté.
Le quatrième défi, probablement le plus difficile à relever, est celui des ressources humaines. Dans ce domaine, notre politique se veut ambitieuse et attractive. Certaines personnes auditionnées ont évoqué la rigidité des procédures de recrutement et le problème du niveau des rémunérations. Je souhaite au contraire insister sur les facilités nouvelles qu'un certain nombre d'outils nous offrent : je pense en particulier à la loi de transformation de la fonction publique.
Par ailleurs, la question des rémunérations est moins problématique que l'on pourrait le croire lorsqu'il est question de recruter des jeunes en début de carrière. Nous sommes en réalité parfaitement capables d'attirer de jeunes talents. Au fond, le vrai défi qui se présente à nous est celui de les fidéliser. D'ailleurs, l'enjeu est certainement davantage de déterminer la durée de l'engagement que nous leur proposons que de parvenir à les recruter. Il faut à la fois être capable d'attirer sans cesse de nouveaux talents et d'assurer un turnover permanent.
Nous sommes conscients que la cyberdéfense nécessite des compétences de haut niveau, et que celles-ci sont très rares et très disputées. Le métier de combattant du numérique est très récent : il nous revient donc de développer cette filière. Malgré un univers extrêmement compétitif, nous sommes satisfaits de constater que les jeunes montrent une réelle envie de nous rejoindre. L'attractivité du drapeau n'est pas forcément un vain mot.
Aujourd'hui, il ne faut fermer aucune porte et il faut envisager des filières de formation, d'entraînement et de recrutement nouvelles. Dans cette bataille pour l'innovation et la sécurité numérique, chacun doit être mobilisé, depuis nos combattants numériques, qui sont de plus en plus nombreux, jusqu'aux étudiants, depuis les PME jusqu'aux soldats de notre réserve cyber qui, loin d'être occasionnelle, est utilisée quotidiennement.
M. Gérard Longuet, rapporteur. - Le sujet est absolument passionnant, madame la ministre. Nous savons combien votre ministère s'implique pour préserver la souveraineté numérique de notre pays. Lors de précédentes auditions, nous avons pu nous familiariser avec la politique que vous défendez, en particulier l'affirmation d'une stratégie offensive en matière de cybersécurité. Face aux défis à relever, j'ai deux préoccupations.
La première concerne la dimension économique du monde numérique. La France, que nous le voulions ou non, est un acteur important, mais minoritaire dans ce secteur. En effet, la majeure partie des investissements est aujourd'hui contrôlée par des acteurs extérieurs.
Je prendrai l'exemple du plan Nano 2022. Il s'agit d'un rendez-vous extraordinairement important. Seulement, les entreprises les plus importantes ne sont pas françaises et les débouchés de l'industrie commandent souvent, hélas, la réussite de ceux qui, en amont, conçoivent et imaginent les systèmes. Selon vous, peut-on maintenir un haut niveau de qualifications technologiques et scientifiques en France, alors que les acteurs nationaux n'auraient pas atteint une taille suffisante ? La question se pose aussi en matière de ressources humaines.
Nous avons réussi à maintenir une autonomie assez forte de nos industries de défense dans la plupart des domaines stratégiques, notamment grâce à la politique de dissuasion. Toutefois, le secteur du numérique étant profondément dual, le chiffre d'affaires des grands acteurs ne risque-t-il pas de marginaliser nos industriels au regard de leur place sur le marché ?
En matière de ressources humaines, a-t-on tenté de freiner le brain drain, notamment en s'intéressant aux expériences de pays plus petits qui ont mieux réussi que nous à mobiliser leurs effectifs ? Je suis étonné par exemple des résultats industriels d'Israël en matière de défense, malgré sa population réduite.
Mon second sujet concerne spécifiquement les conflits, tensions ou offensives cyber. Notre lutte informatique est bonne, mais le problème de l'identification de la menace se pose. En matière de défense, à la différence du domaine judiciaire, on ne peut pas se baser sur une forte présomption ; il faut travailler sur des faits établis. Cette difficulté d'identification tend à protéger nos adversaires et, en la matière, nous ne pouvons pas vraiment compter sur nos amis, en dépit des accords de coopération. Nos voisins n'hésiteront en effet jamais à nous « faire les poches »...
Votre bataille pour faire évoluer le droit international me semble donc indispensable, madame la ministre. Vous avez cité trois pays européens sérieux avec lesquels on peut travailler. Vous avez en revanche écarté trois grands pays, l'Italie, le Royaume-Uni et l'Allemagne, qui disposent pourtant d'une industrie de la défense et jouent un rôle significatif. Si nous n'arrivons pas à nous accorder avec eux et à jouer le jeu de la transparence, il sera difficile d'agir au plan international. En effet, une guerre contre un adversaire que l'on ne parvient pas à identifier ou que l'on identifie sans pouvoir le responsabiliser pour son acte est difficile à conduire.
Ces questions ne sont sans doute pas très concrètes, mais elles sont au coeur de ce problème majeur qu'est la souveraineté numérique. Il est assez facile de défendre un territoire délimité par des frontières, beaucoup moins de défendre un espace numérique traversé en permanence de part en part.
À quel moment la fréquentation non souhaitée de cet espace justifie-t-elle une réaction excédant le simple cadre numérique pour devenir politique ou militaire ? La question reste ouverte.
Mme Florence Parly, ministre. - Le défi numérique est mondial, c'est une évidence, et nous ne pouvons pas éluder la réalité des rapports de force entre grands groupes industriels.
Nous ne sommes toutefois pas complètement démunis. Y compris dans ses périodes budgétaires les plus sombres, la France a toujours préservé sa capacité d'investissement, ce dont nous devons nous réjouir. On peut certes regretter l'abandon ou le ralentissement de certains projets, mais nous sommes l'un des seuls pays européens à avoir soutenu notre effort de défense.
Par ailleurs, comme vous l'avez mentionné, monsieur le rapporteur, la préservation de la dissuasion nucléaire sert d'aiguillon puissant pour maintenir et faire progresser certaines de nos capacités. En renonçant aux essais nucléaires et en développant un programme de simulation, nous avons ainsi pu préserver nos capacités de recherche et de développement dans le domaine des supercalculateurs. Nous ne couvrons sans doute pas tous les domaines, mais notre pays a consenti un effort considérable pour préserver son effort d'investissement contre vents et marées. Nous disposons aujourd'hui de groupes industriels de défense de taille significative.
Il en va différemment dans le domaine du numérique stricto sensu. Toutefois, les entreprises de ce secteur répondent avant tout à des besoins et des usages civils, les utilisations potentiellement militaires des capacités numériques qu'elles développent étant essentiellement indirectes.
M. Gérard Longuet, rapporteur. - Les données de masse concernant les individus, en particulier leur géolocalisation, sont-elles utilisées à des fins militaires, en particulier pour identifier des mouvements de population ?
Mme Florence Parly, ministre. - On ne peut pas garantir que certains pays n'utilisent pas à des fins militaires des données individuelles. Je ne citerai aucun nom dans le cadre de cette audition publique, mais vous aurez sans doute deviné... Le risque existe, incontestablement.
Je relèverai aussi le rôle très important joué par le groupe Thales pour notre souveraineté numérique, l'acquisition stratégique majeure qu'il a récemment réalisée le confirmant. Les investissements réalisés par le groupe Orange y contribuent également.
Le combat militaire de demain sera de plus en plus connecté. D'ores et déjà, nos équipements militaires sont constitués de nombreux capteurs et logiciels, mais cette réalité sera multipliée par un facteur 50 ou 100 à l'avenir. Ainsi, les caractéristiques principales du programme d'équipements terrestres de nouvelle génération Scorpion ne résident pas tant dans le blindage et la maniabilité physique des véhicules que dans leur capacité à transmettre des flux de données en temps réel aux équipements avec lesquels ils interagiront. Nous pouvons mentionner également le système de combat aérien du futur, qui fait actuellement l'objet d'études.
Intégrer dans les équipements cette capacité d'échange de données avec des partenaires externes, c'est vraiment le défi technologique de demain pour nos armées. Il nous faudra non seulement concevoir des matériels furtifs et rapides qui volent, naviguent et roulent, mais aussi être capables d'aménager cette connectivité en toute sécurité, c'est-à-dire en la protégeant des interactions extérieures.
Je ne réponds pas directement à votre question sur le dimensionnement de nos capacités industrielles, monsieur le rapporteur, mais je peux en revanche vous dire que nous mobilisons tous les moyens dont nous disposons, dans mon ministère ou en dehors - Bruno Le Maire vous parlera plus doctement que moi du plan Nano.
S'agissant des moyens propres au ministère des armées, la loi de programmation militaire a fait du renseignement et du cyber ses deux axes prioritaires. On peut naturellement discuter de l'ampleur de l'effort consenti et de sa pertinence, mais il n'y a aucune naïveté de notre part, nous sommes parfaitement conscients de l'importance de l'enjeu.
Quant au défi des ressources humaines, nous sommes conscients qu'après avoir été attirés vers la finance, nos meilleurs cerveaux sont fortement attirés par toutes ces entreprises qui, pour beaucoup d'entre elles, se situent à l'ouest du continent américain.
Pour réagir, ne sous-estimons pas les potentialités de la loi de transformation de la fonction publique, qui assouplit considérablement les possibilités de recrutement de contractuels et leur offre une nouvelle grille de rémunération, plus en phase avec le marché de l'emploi. Le ciblage féminin n'est pas non plus un gadget, car, dans ce domaine-là également, nous ne pouvons pas nous priver de la moitié du vivier de talents.
Enfin, la réserve cyber comprend presque une centaine d'hyper-spécialistes et d'experts de leur domaine. Il s'agit de salariés d'entreprises du secteur privé qui mettent quotidiennement leurs compétences au service de nos armées.
Nous devons développer l'ensemble de ces politiques. La prise de conscience est réelle. Il nous reste maintenant à faire le meilleur usage possible des nouveaux outils à notre disposition. Avant de dire que nous ne faisons pas assez, nous devons d'abord apporter la démonstration que nous avons poussé jusqu'au bout l'utilisation des outils existants.
Israël constitue en effet un exemple d'un petit pays extrêmement actif et performant ; l'Estonie également a développé des filières de formation très performantes et produit un grand nombre d'ingénieurs cyber en proportion de l'importance de sa population.
M. Gérard Longuet, rapporteur. - Il faut dire que ce petit pays a des voisins assez encombrants et inquiétants !
Mme Florence Parly, ministre. - L'identification de la menace est un sujet très sensible. Dans ce domaine, nous souhaitons exercer pleinement notre souveraineté. Nous ne souhaitons pas que les attaques soient dénoncées par tel ou tel pays ou organisation, car cela doit rester une décision souveraine de l'État.
M. Gérard Longuet, rapporteur. - Ce que vous dites est extrêmement important !
Mme Florence Parly, ministre. - Le Président de la République y est très attaché. Il y va de notre diplomatie : nous pouvons avoir intérêt à dire ou ne pas dire, et c'est à nous de décider de la nécessité de communiquer nos informations.
Dans la mesure où nos partenariats sont de confiance, ils sont forcément sélectifs. La liste que j'ai présentée n'est pas exclusive, et nous avons de nombreux partenariats avec l'Allemagne, le Royaume-Uni, mais aussi les États-Unis.
Le sujet est encore en devenir. Nous avons pris la mesure des défis et nous n'entretenons aucune naïveté. Voilà pourquoi nous avons souhaité clairement énoncer que le cyber pouvait être une arme à part entière. Pour autant, tout ne doit pas être public.
M. Pierre Ouzoulias. - Le général Lecointre, chef d'état-major des armées, et le général Bonnet de Paillerets nous ont dit que la maîtrise des codes sources était essentielle en matière de souveraineté. Votre ministère est lié à Microsoft par un partenariat de longue date. Des militaires qui ne sont pas sous votre tutelle, comme les gendarmes, ont réussi à se passer des Gafam pour mettre en place des logiciels libres. Le partenariat avec Microsoft s'achève en 2021. Intégrerez-vous le critère de la maîtrise des codes sources dans le futur appel d'offres ?
M. Rachel Mazuir. - J'ai été ravi de constater l'importance que vous accordez au personnel. Selon Guillaume Poupard, seulement 60 % des places de nos écoles de formation sont remplies. C'est un problème majeur. Quant à fidéliser les étudiants que l'armée intègre, cela prend du temps. Or souvent l'armée est un passage intéressant, mais où l'on ne s'éternise pas.
La 5G complique la situation en ce qui concerne les acteurs de confiance. Quand on est en Opex, comment cela se passe-t-il ? A-t-on développé des méthodes pour sécuriser les opérations ?
M. Jérôme Bascher. - Vous avez mentionné la nécessité d'une acculturation. Dans cette perspective, tous les agents de votre ministère doivent être bien conscients qu'ils sont tracés. Je vois que vos collaborateurs se déplacent avec leurs deux téléphones, l'un personnel, l'autre crypté...
Un certain nombre d'armes connectées peuvent faire feu automatiquement, ce qui pose un problème de droit, car il est nécessaire de pouvoir identifier d'où viennent la prise de décision et l'ordre de tir.
Autre question : qu'est-ce qu'une cyberguerre ? Vous avez annoncé que vous feriez des propositions sur ce sujet : quelles sont vos premières pistes ?
Enfin, version dégradée de cette dernière question : la cyberattaque offensive s'exercera-t-elle sous le radar du droit, à l'image de ce que font nos forces spéciales, ou bien fera-t-elle partie d'une échelle de graduation de la guerre, entre le conventionnel et la dissuasion nucléaire, par exemple ?
M. Laurent Lafon. - Je vous transmets une question de notre collègue Catherine Morin-Desailly qui n'a pu être présente à cette réunion. La société Palantir a été financée par des fonds d'investissement liés à la CIA. Elle bénéficie d'une avance technologique en matière de traitement des données. Elle mène une politique volontaire d'entrisme, qu'il s'agisse de la commande publique ou du recrutement. Les liens qu'elle a noués avec X-Forum portent leurs fruits puisque de jeunes polytechniciens viennent d'être recrutés.
Mme Florence Parly, ministre. - Ce n'est pas devant le rapporteur de cette commission d'enquête que je rappellerai l'origine du partenariat avec Microsoft. Le ministère des armées disposait de très nombreuses licences éparses avec Microsoft. Nous avons souhaité rationaliser cette situation qui nous exposait à moult difficultés. La démarche a été raisonnée : mon ministère a souhaité inscrire des règles de fonctionnement sur la bonne utilisation de ces licences. Tel a été l'objet du contrat que nous avons passé avec Microsoft.
Quant à savoir si cette situation a vocation à perdurer, c'est une question légitime. Depuis la signature du contrat, des logiciels libres se sont développés. Cependant, nous devons sans cesse ménager l'interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres.
Quant à la fidélisation des étudiants, nous cherchons à nous assurer pendant 5 ans la collaboration de ces jeunes gens. Imposer une durée plus longue serait contreproductif. À l'échelle des évolutions technologiques très rapides, 5 ans plus tard, les étudiants qui sortent des cursus de formation ont acquis des qualifications et expertises nouvelles. Nous rémunérons donc des étudiants et leur garantissons une embauche contre cet engagement à servir et nous envisageons de faire de même vis-à-vis des personnels civils.
En opération extérieure, nous devons maintenir un flux de communications et pour ce faire disposons de systèmes de communication propres. Dans le cadre de la loi de programmation militaire, nous avons prévu le renouvellement de l'ensemble de nos capacités satellitaires. Le programme Syracuse 4 doit nous permettre de disposer des capacités d'échanges et de flux de données encore plus importantes qu'actuellement. Nous devons lancer deux satellites en 2020 et 2021 et notre système devrait être entièrement renouvelé. Nous ne sommes donc pas tributaires des opérateurs de télécommunications.
Pour ce qui concerne le droit, la question est vaste et va au-delà du cyber. Sont posées les questions des robots, de la place de l'homme dans leur intervention et face au développement de l'intelligence artificielle qui équipera un certain nombre de nos armes. Nous avons décidé de créer un comité ministériel d'éthique, car nous devons avoir une doctrine claire sur des sujets complexes.
Lors de mon annonce de l'utilisation prochaine de drones armés, j'ai rappelé le socle de notre doctrine : à aucun moment le recours à une arme ne doit être automatique ; un humain doit toujours être dans la boucle. Dans ce cas de figure, celui qui appuiera sur le bouton sera sur le théâtre d'opérations et sera intégré aux équipages qui recourent à d'autres moyens aéronautiques. C'est fondamental dans la manière de concevoir l'utilisation de ces armes.
Il en va de même pour les robots : celui qui actionnera l'arme ne sera pas le robot. En matière d'intelligence artificielle, nous devrons veiller à ce que les algorithmes ne puissent pas prendre le pas sur l'humain. Mieux vaut soulever ces défis majeurs dès le départ pour se donner une chance d'y répondre de façon satisfaisante. Nous voulons avoir la main sur ces choix fondamentaux.
M. Rachel Mazuir. - Merci, madame la ministre, d'avoir répondu à la question de savoir comment les robots terrestres vont interagir : ils ne tireront pas depuis Balard.
Mme Florence Parly, ministre des armées. - Et d'autant moins que ceux que nous expérimentons ne sont pas armés.
M. Rachel Mazuir. - Mais ils peuvent l'être !
Mme Florence Parly, ministre des armées. - Le robot peut être très utile dans de nombreux cas sans être armé. Nous avons présenté un robot mule pour aider au transport de charges, à l'évacuation de blessés. Mais la question se posera et il vaut mieux y avoir réfléchi. Le comité ministériel d'éthique devra nous y aider.
Sur l'évolution du droit international, nous partagerons avec vous nos travaux conduits avec différents groupes de travail de l'ONU. Nous avons travaillé sur les thèmes suivants : le droit de répondre à toute cyberopération constitutive d'une violation du droit international ; une cyberopération peut constituer une agression armée justifiant l'usage de la légitime défense ; l'attribution d'une cyberopération d'origine étatique relève d'une décision de politique nationale.
L'entreprise Palantir fournit des services utilisés par certains ministères ou services de l'État faute d'alternative souveraine. Notre défi est de développer des solutions de confiance. Le programme Artemis (Architecture de traitement et d'exploitation massive de l'information multi-source) lancé par la DGA sera doté de 60 millions d'euros. Il a pour objectif de trouver une solution souveraine de traitement massif de données pour le ministère des armées à travers un partenariat innovant, avec Thales, Sopra-Steria, Atos et Capgemini, qui a démarré en 2017. L'industrialisation devrait commencer en 2022. Mais ce n'est pas le ministère des armées seul qui pourra assurer le financement de solutions dont notre pays, comme d'autres membres de l'Union européenne, a besoin. Nous ne pouvons pas être dépendants d'un unique fournisseur de services.
Enfin, le partenariat développé par l'école Polytechnique n'est pas sous notre radar.
La réunion est close à 12 h 35.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est ouverte à 16 h 15.
Audition de MM. Julien Groues, directeur général et Stéphan Hadinger, directeur technique pour Amazon Web services
M. Franck Montaugé, président. - Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition des représentants de l'entreprise Amazon Web Services France, M. Julien Groues, directeur général, et Stéphan Hadinger, directeur technique.
Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines de prison prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, MM. Julien Groues et Stéphan Hadinger prêtent serment.
M. Franck Montaugé, président. - Nous connaissons tous les activités d'Amazon, du site de vente en ligne à la place de marché et la logistique en passant par le Cloud, la distribution physique, les assistants vocaux, la maison connectée, la musique, le cinéma, le textile, la reconnaissance faciale, le micro-travail avec Amazon Mechanical Turk ... et même le développement de lanceurs spatiaux, même si cette activité est portée par une entreprise bien distincte d'Amazon. C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser ! Je commencerai par deux questions relatives aux données.
Le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français, car sont concernées tant les données personnelles que les données stratégiques des entreprises, qui peuvent ainsi être pillées. Or de nombreuses entreprises françaises vous confient leurs données en utilisant vos solutions de cloud.
Pouvez-vous nous assurer qu'Amazon, ou ses filiales, ne permet pas et ne permettra pas aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, le RGPD ?
Par ailleurs, en avril dernier, la presse a rendu public le fait qu'Amazon collecte, à travers l'assistant Alexa, les conversations de ses utilisateurs à leur insu. Surtout, les données enregistrées sont transmises à des centres d'écoute où des humains les analysent, afin d'améliorer les performances de reconnaissance vocale. Certains employés de ces centres auraient confié avoir été témoins de moments intimes, criminels, voire des deux. Or cette information n'a jamais été clairement communiquée aux consommateurs et on peut légitimement penser que nombre de ceux-ci n'auraient pas acheté votre enceinte connectée s'ils avaient su qu'ils pouvaient être écoutés par des humains.
Cet été, une autorité allemande de protection des données a ordonné à Google de mettre un terme à cette pratique. Dans la foulée, Apple a annoncé une suspension temporaire de cette pratique, le temps de permettre à ses clients de choisir d'y participer ou non. Quid d'Amazon ? Pourquoi ne pas avoir été plus clair avec les utilisateurs ? Plus généralement, quelle est votre politique de protection des données à caractère personnel ?
M. Julien Groues, directeur général d'Amazon Web Services France. - Je vous remercie de votre invitation. Ces deux questions d'introduction vont me permettre d'apporter un certain nombre d'éclaircissements. Il s'agit de sujets extrêmement importants et complexes, qui méritent le temps de la réflexion et de l'échange.
Avant d'y répondre et d'aborder le sujet de la souveraineté numérique, qui nous amène ici, je voudrais revenir sur les activités d'Amazon Web Services que nous représentons aujourd'hui - j'utiliserai l'acronyme AWS pour plus de simplicité -, et sur notre approche de la sécurité et la confidentialité.
AWS, au sein du groupe Amazon, est une entité séparée du reste des activités de distribution et de détaillant d'Amazon.com et d'Amazon.fr. Le groupe Amazon.com a ouvert ses portes virtuelles en 1995 et, comme toute entreprise, a eu des besoins grandissants en matière d'informatique, d'infrastructures pour gérer une base de clientèle de plus en plus large, avec des besoins de création d'applications et de mise à disposition de ces applications à un nombre croissant de clients à travers le monde.
Après une décennie où ont été créées ces infrastructures informatiques, nous nous sommes rendu compte que nous avions de réelles compétences dans la création d'applications modernes, sécurisées et rapides, d'une part, et en matière d'opération de centres de données de taille importante, d'autre part.
Depuis environ 13 ans aujourd'hui, c'est-à-dire depuis 2006, où nous avons lancé les premiers services d'AWS, nous proposons des solutions cloud à nos clients. Nous avons désormais une nouvelle mission, qui est d'accompagner les développeurs et les entreprises dans leur utilisation de plateformes webs afin de leur permettre de créer leurs propres applications sécurisées et performantes. Concrètement, nous proposons aujourd'hui 165 services à la demande, que les entreprises et les développeurs peuvent utiliser. Il s'agit principalement de puissance de calcul de stockage, d'intelligence artificielle, avec la reconnaissance faciale, la sécurité, l'Internet des objets, etc.
Nous avons des centres de données dans 22 régions dans le monde, notamment en Europe, aux États-Unis, au Brésil, au Japon et en Afrique du Sud, de sorte que nous pouvons servir nos clients à peu près partout sur la planète. Depuis 2017, nous avons ouvert une « région » en France. Constitue une région, pour AWS, trois zones de disponibilité, chacune disposant au moins d'un centre de données, ce qui nous permet d'offrir des services dans la région de Paris à nos clients, mais aussi à nos clients étrangers qui souhaitent héberger leurs données sur le territoire français.
Il s'agit d'investissements importants, comme vous pouvez l'imaginer, mais qui permettent à nos clients d'avoir des applications extrêmement rapides en France, et aussi, pour ceux qui le souhaitent, de pouvoir héberger leurs données sur le territoire français.
AWS a des millions de clients dans plus de 190 pays aujourd'hui. Cela va des multinationales aux petites entreprises, des universités aux hôpitaux, des agences d'État aux sociétés pharmaceutiques, mais il y a aussi Amazon.com, le détaillant.
On peut dire que nos clients utilisent les services d'AWS pour réinventer l'expérience de leurs propres clients. Cela se voit aujourd'hui dans le divertissement, dans l'hôtellerie, dans le luxe, dans les jeux vidéo. Des organismes privés et publics utilisent les services d'AWS pour améliorer la vie de nos concitoyens. Ainsi, le centre de recherche contre le cancer de Londres utilise la puissance du cloud AWS pour calculer en quelques minutes les dosages des traitements, ce qui améliore la vie des patients. De même, l'organisation Thorn, aux États-Unis, utilise la reconnaissance faciale sur les images d'Internet pour identifier les victimes du trafic d'êtres humains.
En France, nous avons des dizaines de milliers de clients, qui vont des start-up aux multinationales et aux grandes entreprises du CAC 40. Des organisations à but non lucratif bénéficient elles aussi des services du cloud AWS pour innover et améliorer l'expérience de nos concitoyens. Ces entreprises et organismes s'appuient sur un large réseau de partenaires en France, avec notamment Atos, Capgemini ou Accenture.
Aujourd'hui, lorsque nous interrogeons nos clients, ils nous disent faire confiance à AWS pour cinq raisons : l'agilité, la réduction des coûts informatiques, l'élasticité, la capacité à innover et la capacité de se déployer mondialement.
J'en viens à la sécurité, qui faisait l'objet de votre question. Effectivement, c'est une question prioritaire pour nos clients comme pour nous. Je vous rassure, chez AWS, c'est même la première des priorités. D'ailleurs, notre directeur technique nous le rappelle souvent : sans sécurité, nous perdrions bien évidemment la confiance de nos clients.
Il y a, parmi nos clients, des prestataires de services financiers ou de soins, des organisations opérant sur des marchés régulés, qui attachent une importance toute particulière à cette question de la sécurité des données. En général, ils se tournent vers nous pour quatre raisons.
La première, c'est la protection des données. Les infrastructures physiques d'AWS permettent des dispositifs de protection efficace pour assurer la confidentialité des clients. Toutes les données sont stockées dans des centres de données hautement sécurisés.
La deuxième, c'est le respect des exigences en matière de conformité. Nous gérons des dizaines de programmes de conformité dans nos infrastructures, dont nous faisons bénéficier tous nos clients. Nous sommes d'ailleurs contrôlés très fréquemment par des auditeurs tiers.
La troisième raison, c'est la mise à l'échelle rapide. Aujourd'hui, que vous soyez un développeur ou une grande entreprise, vous bénéficiez des mêmes niveaux de sécurité dans le cloud, quelle que soit la taille de votre entreprise.
Enfin, la dernière, c'est de pouvoir réaliser des économies considérables. La sécurité nécessite des investissements extrêmement importants pour les entreprises. En utilisant le cloud AWS, vous bénéficiez des investissements que nous avons réalisés. Nos équipes parlent énormément de sécurité avec nos clients, avec les développeurs, avec les start-up, et les accompagnent pour partager les bonnes pratiques, notamment l'utilisation du chiffrement.
J'en viens au sujet de la souveraineté numérique, qui nous réunit aujourd'hui. C'est un sujet qui est complexe, et vous êtes bien placés pour le savoir après avoir auditionné de nombreuses entreprises, experts et représentants du Gouvernement.
À mon sens, s'agissant de l'utilisation de la technologie cloud, la question de la souveraineté peut se réduire à celle de la sécurité de données qui sont confiés aux fournisseurs tels qu'AWS. Pour répondre à cet enjeu, il faut, selon nous, assurer la combinaison de quatre facteurs. Tout d'abord, il faut que nos clients gardent la propriété et le contrôle de leurs données. Dans les contrats d'Amazon Web Services, ce point est extrêmement clair : nos clients gardent le contrôle de leurs données. Qui y a accès ? À quelles données ? Ce contrôle, c'est nos clients qui le décident. Par ailleurs, même si ces données nous sont confiées pour des traitements, nos clients en gardent la propriété.
Ensuite, nos clients choisissent la localisation de leur stockage, quel que soit leur pays d'origine. En outre, ils ont la garantie de la réversibilité. Ils peuvent changer de fournisseur ou rapatrier leurs données dans leurs propres centres d'hébergement. C'est un point extrêmement important de cette souveraineté. Enfin, l'utilisation de notre technologie permet aux entreprises de libérer de la main-d'oeuvre et des marges de manoeuvre financières qu'elles peuvent concentrer sur l'innovation et la création de nouveaux services.
Pour conclure, et avant de laisser Stéphan Hadinger vous répondre sur la question plus précise du Cloud Act, je tiens à dire que nous offrons de véritables opportunités à nos entreprises pour innover au profit des citoyens. L'avenir des entreprises, c'est de savoir exploiter leurs données pour créer de la valeur. De plus en plus de start-up françaises doivent émerger et se déployer mondialement. C'est pour cela que nous soutenons de nombreux programmes d'éducation avec les universités pour former les personnes qui le souhaitent aux nouvelles technologies. Nous allons former environ 3 000 personnes cette année. Nous fournissons enfin un accompagnement technique aux start-up afin qu'elles puissent se concentrer sur la création de leur modèle d'affaires. C'est un enjeu extrêmement important pour la souveraineté d'un pays que de savoir maîtriser cet environnement.
M. Stéphan Hadinger, directeur technique d'Amazon Web Services France. - Le Cloud Act est effectivement une question essentielle qui a suscité de nombreuses interrogations, en particulier depuis son entrée en vigueur début 2018. Nous avons assisté à beaucoup de controverses, notamment sur l'idée que le Cloud Act permettait au gouvernement américain d'avoir un accès libre et sans entrave aux données des clients de fournisseurs de cloud, ce qui est faux. Il a également été avancé que l'on ne pouvait plus avoir confiance dans les fournisseurs de cloud américains, ce qui est également faux. Par ailleurs, il faut savoir qu'il ne s'applique pas qu'aux fournisseurs de cloud.
Je vous propose donc d'aborder quelques-uns des plus grands mythes, qui sont autant d'idées fausses, autour du Cloud Act. Tout d'abord, d'après l'analyse de nos juristes, le Cloud Act ne fournit pas aux autorités judiciaires américaines un accès direct et illimité aux données stockées. C'est un mécanisme qui permet aux autorités de saisir un tribunal pour demander l'accès à des données dans le cadre d'affaires criminelles et pénales graves, comme des cas de terrorisme, des cas de pédophilie ou d'infractions liées à la drogue. Les autorités doivent respecter des normes juridiques rigoureuses pour obtenir un mandat délivré par un tribunal américain. Notamment, un juge indépendant doit conclure que les preuves recherchées sont clairement spécifiées et que les motifs qui sont présentés par les autorités sont raisonnables et directement liés à un crime. Enfin, la demande doit être claire, précise et proportionnée. Notons que ces normes sont parmi les plus strictes au monde.
Ensuite, le Cloud Act ne modifie pas la manière dont AWS protège les données de ses clients. Nous sommes toujours extrêmement précautionneux et rigoureux quant à la protection des données. En effet, le Cloud Act reconnaît spécifiquement le droit pour les fournisseurs de cloud de contester toute demande d'accès. Concrètement, chaque fois que nous recevons une demande, quel qu'en soit, d'ailleurs, le pays d'origine, nous avons une équipe dédiée de juristes qui analyse la demande et qui vérifie que l'émetteur de la demande est bien habilité. Nous informons également nos clients afin qu'ils puissent se défendre contre cette demande. Généralement, l'analyse conclut soit à une contestation de la demande, si elle n'est pas conforme aux normes, ou si nous la jugeons contraire à des lois internationales ou à des intérêts de pays étrangers, soit à une réponse partielle ou complète. Dans ce dernier cas, la décision remonte directement au plus haut niveau de l'entreprise, et, pour nos équipes techniques, ce sujet est traité comme un incident de sécurité.
Les deux points que je viens de présenter englobent la partie juridique de la protection des données, mais il y aussi des mécanismes techniques. Nous invitons très fortement nos clients à chiffrer leurs données, en particulier leurs données sensibles, dans le cloud. Pour cela, nous leur fournissons des services, mais ils sont libres d'utiliser toute technologie qu'ils souhaitent. Notons également que le Cloud Act n'oblige pas les fournisseurs de cloud à déchiffrer les données. Or, comme vous le savez, une donnée chiffrée sans la clé correspondante est complètement inutilisable.
Enfin, il faut savoir que le Cloud Act ne s'applique pas qu'aux fournisseurs de cloud. Ce terme est un acronyme qui signifie clarifying lawful overseas use of data, que je traduirai par « clarifier l'utilisation licite de données à l'étranger ». Malheureusement, l'utilisation de cet acronyme a laissé penser que le Cloud Act ne s'appliquait qu'au cloud, ce qui est une idée fausse. En réalité, il s'applique de manière beaucoup plus large, notamment aux services de télécommunication, et concerne donc les opérateurs de téléphonie mobile ou fixe, aux plateformes de médias sociaux, aux plateformes de messagerie, et bien sûr, aux plateformes de cloud.
Notons également qu'en vertu d'un droit international bien établi et complètement indépendant du Cloud Act, une entreprise est soumise à la juridiction des États-Unis si elle est américaine, bien sûr, mais également si elle entretient des contacts minimaux avec les États-Unis. En conséquence, une société non américaine sera aussi soumise au Cloud Act si elle a, par exemple, une succursale, un bureau, une filiale ou des employés sur le territoire américain. Le ministère de la justice a récemment fait remarquer que le fait d'avoir un site web qui vend à des clients américains, sans même avoir une présence sur le territoire américain, était probablement suffisant pour relever de la juridiction des États-Unis. M. Richard Downing, du département de la justice, a conclu qu'aujourd'hui la plupart des grands fournisseurs de cloud américains ou non américains étaient soumis à la juridiction des États-Unis.
En conclusion, comme vous le constatez, nous prenons le Cloud Act très au sérieux. Nous n'en faisons pas la promotion ; néanmoins, nous appliquons la loi, et nous devons à nos clients des explications et de la transparence. Toutefois, nous constatons qu'il provoque beaucoup de confusion. C'est pourquoi il me semble nécessaire de mener rapidement des négociations entre la France et les États-Unis, ou entre l'Europe et les États-Unis, afin d'établir un cadre juridique clair. C'est d'ailleurs ce qu'a déclaré M. Bruno Le Maire le 2 juillet dernier à Bruxelles.
M. Gérard Longuet, rapporteur. - Vous êtes au fond prestataire des concurrents de votre maison-mère ...
M Julien Groues. - Nous opérons dans de nombreux secteurs, et effectivement, parmi nos millions de clients, certains ont des services ou des offres qui peuvent être concurrents de ceux du groupe Amazon.
M. Gérard Longuet, rapporteur. - Est-ce qu'AWS pourrait exister indépendamment d'Amazon ?
M Julien Groues. - Aujourd'hui, ce sont deux entreprises distinctes, toutes les deux avec un PDG à sa tête. Amazon.com est client d'AWS.
M. Gérard Longuet, rapporteur. - Et AWS a-t-il l'exclusivité des prestations informatiques pour le compte d'Amazon.com ?
M Julien Groues. - Je n'ai pas la réponse. Une majorité de ces prestations, je pense.
M. Gérard Longuet, rapporteur. - Je n'ai pas de question à proprement parler, puisque nous n'avons pas assez de recul par rapport au Cloud Act. Certains de nos interlocuteurs nous ont déjà présenté cet argument qui consiste à dire qu'il ne s'agit pas d'un pouvoir absolu de l'administration américaine, laquelle doit passer par un juge indépendant, ce qui n'est pas tout à fait la même chose, surtout quand on connaît les magistrats américains. Quelle est la procédure d'appel si un magistrat refuse l'accès aux données au Trésor américain ?
M. Stéphan Hadinger. - Comme vous avez pu le constater, je ne suis pas juriste...
M. Gérard Longuet, rapporteur. - Vous maîtrisez pourtant parfaitement votre sujet !
M. Stéphan Hadinger. - Je ne pourrai cependant pas entrer dans les détails. Je le répète, la sécurité est vraiment la priorité pour nos clients, et nous leur offrons une protection tant juridique que technique.
M. Gérard Longuet, rapporteur. - J'ai du mal à concevoir que vous puissiez transmettre avec un grand sourire à un procureur américain ayant obtenu satisfaction auprès d'un juge indépendant des données chiffrées, donc parfaitement incompréhensibles...
M. Stéphan Hadinger. - Nous mettons à disposition de nos clients des solutions de chiffrement intégrées. C'est un progrès pour nombre de nos clients qui devaient suivre un cheminement lent et coûteux quand ils souhaitaient procéder au chiffrement dans leurs propres infrastructures. Avec notre cloud, en quelques clics, vous pouvez assurer la totalité du chiffrement sur la totalité de vos infrastructures. Après, il reste la question des clés de chiffrement. Nous proposons des solutions intégrées où les clés sont gérées dans des boîtiers - des HSM (Hardware Security Module), des modules de sécurité matérielle -, qui sont construits pour que les clés ne puissent jamais en sortir. Cela reste une option, et nos clients peuvent choisir de surchiffrer leurs données les plus sensibles avec des solutions de partenaires tels que Thalès.
M. Gérard Longuet, rapporteur. - Quelle sera l'attitude de l'hébergeur vis-à-vis d'un procureur américain ayant obtenu la communication partielle de données chiffrées et se retrouvant comme une poule avec un couteau ? Il faut bien expliquer à la poule comment fonctionne le couteau...
M. Stéphan Hadinger. - Ces mécanismes de boîtiers de sécurité que nous utilisons, et que certains de nos partenaires commercialisent, sont conçus techniquement pour que seul le client ait accès aux clés pour déclencher un déchiffrement.
M. Gérard Longuet, rapporteur. - Vous renvoyez donc le procureur vers le client.
M. Jérôme Bignon. - Vous ne pouvez donner que ce que vous avez.
M. Jérôme Bascher. - Monsieur le directeur, avez-vous un lien autre qu'actionnarial avec votre société-mère ? Autrement dit, est-ce que les données dont vous disposez peuvent être réclamées par votre société-mère ?
Par ailleurs, vous nous avez un peu rassurés sur le Cloud Act, mais qu'est-ce qui empêche de faire un second Cloud Act qui irait un cran plus loin et qui vous obligerait plus qu'avant par rapport aux autorités américaines ? On peut penser à l'affaire du pétrole iranien.
M Julien Groues. - Sur les liens entre Amazon.com et AWS, je le répète, il s'agit de deux entités séparées du groupe Amazon. Au sein d'AWS, nous gérons le groupe Amazon comme tous les autres clients, avec une séparation des données, des environnements et de nos procédures.
M. Jérôme Bascher. - Ce n'est pas tout à fait ma question. Sans violer le secret des affaires, pouvez-vous nous dire si vous avez un lien contractuel avec Amazon.com qui vous obligerait à faire remonter vers cette entité des données sur vos autres clients ?
M Julien Groues. - Je n'ai jamais connu ce cas de figure. Je me renseignerai et reviendrai vers vous pour vous donner la réponse.
M. Franck Montaugé, président. - Existe-t-il des solutions fiables et accessibles financièrement aux particuliers pour le chiffrement des données personnelles ? Je pense par exemple aux données captées par Amazon.com.
M. Stéphan Hadinger. - Je vais revenir sur le modèle de sécurité, ce que l'on appelle le modèle de responsabilité partagée d'AWS. Nous faisons en sorte que les données appartiennent à tout moment exclusivement à nos clients, qui ont tous les contrôles sur les modalités d'accès à ces données et qui peuvent mettre en place des mécanismes de chiffrement s'ils le souhaitent. Cela signifie aussi qu'eux seuls connaissent la nature de ces données. Nos services opérant de manière automatique, nous n'avons aucune connaissance, dans la majorité des cas, du type de données pour lesquelles nos clients utilisent le cloud AWS. Le seul cas où nous en avons connaissance, c'est quand nous travaillons avec eux sur des références publiques. J'y insiste, grâce à la plateforme, nous n'avons pas connaissance du type de données que mettent de nos clients. Partant de là, nous appliquons des normes de sécurité internationales, comme l'ISO 27001, le PCI DSS (Payment Card Industry Data Security Standard), norme de sécurité protégeant les informations confidentielles, qui est lié à la sécurisation des numéros de carte bancaire, et ce de manière uniforme sur l'ensemble des données de nos millions de clients. Si vous utilisez AWS pour mettre des données personnelles, la plateforme est sécurisée comme s'il s'agissait de données bancaires ou de données de santé, car nous appliquons toujours ce même modèle.
La réponse est donc oui : vous pouvez utiliser le cloud AWS pour vos données personnelles et vous pouvez les chiffrer. Nous proposons un service simple, qui s'active en un seul clic, et dont le coût est nul ou quasi nul selon les cas.
M. Franck Montaugé, président. - Ce n'est pas tout à fait ma question. Si j'utilise Amazon « commerce » pour une recherche, cela crée un flux de données, de connexions. Est-ce que ces données de navigation, de circulation peuvent rester personnelles et non utilisables par un tiers, fût-il Amazon ?
M. Stéphan Hadinger. - Vous l'avez compris Amazon.com et Amazon.fr sont des clients d'AWS, et opèrent leurs propres applications ...
M. Franck Montaugé, président. - Donc vous ne pouvez pas me répondre...
M. Stéphan Hadinger. - Effectivement, je ne connais pas en détail les mécanismes qu'utilisent Amazon.fr et Amazon.com.
M. Gérard Longuet, rapporteur. - Lorsque l'on cherche quelque chose chez Amazon, la Pierre philosophale, par exemple, on accumule toute une série de de recherches et toutes ces démarches sont chez Amazon.com, qui, peut-être, va demander à AWS de les stocker s'il considère que cela vaut le coup de les garder. AWS n'est pas saisi par le client final. C'est Amazon qui apporte des données à héberger.
M. Franck Montaugé, président. - Lesquelles données sont réutilisées, mais cela ne me pose pas de problème. Je souhaitais juste des précisions sur l'enjeu fondamental que vous avez pointé, à savoir le chiffrement des données. Pour conclure, j'aurai deux questions à vous poser. Comment prenez-vous en compte d'éventuelles contradictions entre le Cloud Act et le RGPD ? Avez-vous des statistiques concernant les demandes d'accès formulées par les États-Unis ?
M. Julien Groues. - Effectivement, entre le RGPD et le Cloud Act, d'après nos juristes, il peut y avoir un confit. Cela nous donne des éléments supplémentaires pour contester les demandes américaines. Le Cloud Act prévoit d'ailleurs ce cas de conflit avec les droits des pays dans lesquels sont stockées les données.
M. Stéphan Hadinger. - Sur ces questions de sécurité, nous publions des rapports de transparence. Dans les douze derniers mois, nous avons reçu 25 demandes émanant des autorités judiciaires américaines. La majorité de ces demandes concernait des clients américains sur le territoire américain. La majorité de ces demandes a été contestée. Aucune de ces demandes ne concernait une société cotée, une organisation publique ou un client français.
La réunion est close à 16 h 50.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est ouverte à 16 h 55.
Audition de MM. Michel Coulomb, responsable des ventes, région sud incl. France, Daniel Matray, responsable App Store Europe, et Erik Neuenschwander, responsable Vie privée des utilisateurs, d'Apple
M. Franck Montaugé, président. - Nous entendons à présent des représentants de l'entreprise Apple : MM. Michel Coulomb, responsable des ventes pour l'Europe du Sud, Daniel Matray, responsable App Store pour l'Europe, et Erik Neuenschwander, responsable Vie privée des utilisateurs.
Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Conformément à la procédure applicable aux commissions d'enquête, MM. Michel Coulomb, Daniel Matray et Erik Neuenschwander prêtent serment.
M. Franck Montaugé, président. - Nous connaissons tous les activités d'Apple, du concepteur de terminaux - ordinateurs, téléphones intelligents, tablettes - au navigateur web en passant par le système d'exploitation, le magasin d'applications, les assistants vocaux ou encore les objets connectés.
Je commencerai par deux questions relatives aux données.
Le Cloud Act permet aux autorités américaines de disposer des données stockées, et ce quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car les données personnelles aussi bien que les données stratégiques des entreprises peuvent ainsi être pillées. Or de nombreux utilisateurs confient leurs données à iCloud, dans le cadre duquel votre firme a au demeurant recours à des sous-traitants comme Google ou Amazon. Pouvez-vous nous assurer qu'Apple ne permet pas et ne permettra pas aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?
Par ailleurs, la presse a rendu public le fait que les assistants vocaux d'Amazon, de Google, de Microsoft et d'Apple enregistraient les conversations de ses utilisateurs à leur insu. Les données enregistrées sont transmises à des centres d'écoute où des humains les analysent, afin d'améliorer les performances des systèmes de reconnaissance vocale. Certains employés de ces centres auraient confié avoir été témoins de moments intimes, criminels, voire des deux. Cette information n'a jamais été clairement communiquée aux consommateurs et on peut légitimement penser que nombre d'entre eux n'auraient pas acheté votre enceinte connectée s'ils avaient su qu'ils pouvaient être écoutés par des humains.
Cet été, une autorité allemande de protection des données a ordonné à Google de remédier à cette situation. Dans la foulée, Apple a annoncé une suspension temporaire de cette pratique, le temps de laisser à ses clients la possibilité d'accepter ou de refuser d'y participer. Pourquoi ne pas avoir été plus clair avec vos utilisateurs ?
Enfin, Apple communique beaucoup sur sa volonté de se différencier des autres Gafam, professionnels de la collecte de données personnelles. Quelles mesures avez-vous mises en place pour respecter la vie privée des utilisateurs ?
M. Michel Coulomb, responsable des ventes d'Apple pour l'Europe du Sud. - Le respect de la vie privée est au coeur de nos activités, de la conception et du développement de nos produits et services, depuis 44 ans qu'Apple existe et 38 ans que l'entreprise est implantée en France. Nous respectons toutes les lois européennes en la matière : les données de nos utilisateurs européens sont régies par le RGPD, et nous faisons du respect de ce règlement une priorité absolue.
M. Erik Neuenschwander, responsable Vie privée des utilisateurs d'Apple. - Nous avons une équipe basée à Cork, en Irlande, dirigée par un officier de protection des données, qui travaille avec les autorités au niveau mondial, afin d'examiner la légitimité des requêtes de ces dernières et d'y répondre. Le RGPD est appliqué à ces requêtes, quel que soit l'endroit où les données sont stockées. Quant aux sous-traitants, ils conservent les données que nous leur confions sous une forme encryptée, sans avoir accès à la clé de décryptage qui est stockée dans les centres de données d'Apple.
Avant même le lancement de l'assistance vocale Siri, nous avons conduit une évaluation sur ses conséquences en matière de vie privée, et appliqué à cet outil le privacy by design (le respect de la vie privée dès la conception), comme à tous nos produits et services. Son principe le plus important est la « minimisation » des données, qui consiste à laisser autant que possible ces données sur l'appareil lui-même et à en « minimiser » la collecte. Nous limitons également l'utilisation des données récoltées au service lui-même. Ainsi les données remontées par Siri ne sont utilisées que pour servir à l'amélioration du programme, avec un identifiant anonymisé généré de manière aléatoire par l'appareil lui-même. Ainsi, les données sont associées à l'appareil, mais pas à l'utilisateur lui-même.
Autres principes importants du privacy by design, la transparence et le consentement. L'utilisation de Siri sur un appareil est au libre choix de son propriétaire : un écran lui propose de donner ou non son consentement, en lui fournissant des informations sur la conception de Siri et en précisant que l'utilisation des données est exclusivement prévue pour améliorer le programme dans une procédure de contrôle qualité appelée grading.
Malgré cela, le public a estimé qu'Apple ne respectait pas ses standards élevés en matière de vie privée. Nous avons donc, de manière proactive, suspendu le grading tout en menant une évaluation en interne afin de garantir que l'ensemble de nos procédures respectent ces standards. Le grading ne sera rétabli qu'après des changements en ce sens. Ainsi, nous ne stockerons plus les données audio des utilisateurs par défaut ; à la place, ceux-ci devront donner leur consentement pour qu'elles soient stockées et utilisées pour améliorer Siri.
M. Gérard Longuet, rapporteur. - Comment stockez-vous et traitez-vous les empreintes digitales que vous recueilliez via TouchID et les photographies qui vous sont envoyées par FaceID ? Ces données restent-elles sur l'appareil ou sont-elles stockées sur l'iCloud ?
M. Michel Coulomb. - Les informations recueillies via FaceID et TouchID sont uniquement stockées sur l'appareil et ni Apple, ni une tierce partie ne peuvent y accéder. Pour les photographies, plusieurs méthodes de stockage sont possibles. Beaucoup de consommateurs préfèrent les stocker sur le cloud afin de les partager. Elles y sont alors stockées sous forme encryptée, et Apple n'y a pas accès.
M. Gérard Longuet, rapporteur. - Que ferez-vous des données recueillies par la nouvelle fonctionnalité de signature de documents ?
M. Michel Coulomb. - Nous avons en effet annoncé au moins de juin cette nouvelle fonctionnalité, Sign In with Apple, qui sera intégrée à la prochaine mise à jour d'iOS et des autres logiciels au mois d'octobre.
M. Erik Neuenschwander. - Sign in with Apple donne aux utilisateurs la possibilité de s'identifier sans avoir à créer de nouveaux mots de passe - ce qui multiplie les risques d'oubli et expose au phishing, une pratique consistant à subtiliser les mots de passe des utilisateurs pour prendre le contrôle de leur compte.
De plus, nous proposons une authentification à deux facteurs (two-factor authentication) pour améliorer la sécurité des comptes Apple : un code sera envoyé sur le téléphone de l'utilisateur, en plus du code d'accès. La grande majorité de nos comptes ont désormais cette fonctionnalité.
Mais la troisième fonctionnalité est la plus importante, car elle assure que les données collectées ne sont pas utilisées à d'autres fins. D'abord, Apple ne construit pas de profil utilisateur sur la base d'une connexion via l'identification Apple à une application de sport ou de restauration par exemple. Ensuite, Apple donnera la possibilité à l'utilisateur de fournir à chacune des entreprises avec lesquelles il est en relation une adresse électronique ad hoc pour le contacter. Ainsi, il sera plus difficile pour ces entreprises de réunir et combiner les données qu'elles auront reçues.
C'est pourquoi nous estimons que Sign in with Apple améliorera la sécurité et la confidentialité des données des utilisateurs.
M. Gérard Longuet, rapporteur. - Apple fait l'objet d'un récent recours collectif déposé par des développeurs, qui contestent notamment la commission de 30 % prélevée par l'entreprise contre l'accès à son magasin d'applications. Ce chiffre est-il immuable ou négociable ?
M. Michel Coulomb. - Nous avons développé un système d'exploitation pour chacun de nos produits. En revanche, nous développons peu de logiciels nous-mêmes et nous préférons travailler avec des développeurs extérieurs afin d'enrichir le panel à disposition des utilisateurs. 20 millions de développeurs travaillent avec nous dans le monde, dont plusieurs centaines de milliers en France. Nous avons créé une véritable économie à partir de rien, puisque l'App Store n'existait pas il y a onze ans. En une décennie, nous avons versé 1,3 milliard d'euros aux développeurs français au titre des ventes réalisées sur l'App Store en France et partout dans le monde. Nous sommes présents dans 155 pays : autant de marchés accessibles immédiatement aux développeurs qui lancent une application sur notre plateforme.
M. Daniel Matray, responsable App Store Europe. - Nos deux millions d'apps sont disponibles dans 155 pays et 81 langues. L'App Store a révolutionné la distribution de logiciels, qui voici onze ans s'effectuait encore par voie physique.
Notre premier objectif est que les consommateurs puissent trouver sur l'App Store les meilleures applications adaptées à leurs besoins. Le deuxième pilier, c'est que les développeurs d'applications aient un canal de distribution dans les 155 pays où nous sommes présents pour toucher le plus grand nombre possible de clients. Ces 20 millions de développeurs se trouvent aussi bien dans un garage en Californie que dans une grande entreprise à Paris ou une PME dans la Marne. Nous les rencontrons régulièrement, pour leur expliquer les outils et les procédures. Il y a beaucoup de success stories liées à l'App Store en France.
Le développeur peut choisir de rendre son logiciel payant, mais il existe d'autres options comme la publicité ou la vente de produits physiques. Pour les applications gratuites, Apple ne perçoit pas de commission. En revanche, nous prélevons une commission de 30 % pour la vente des applications payantes, qui utilisent nos moyens de paiement. Ayant moi-même été développeur, je rappelle néanmoins qu'à l'époque de la distribution physique de logiciels, la commission était comprise entre 60 et 70 %. Le développeur d'aujourd'hui peut créer une application à domicile, avec toute la technologie mise à disposition par Apple, qui la distribue ensuite. Plus besoin, pour le développeur, de trouver un distributeur local pour chaque marché.
La commission est de 30 % pour les achats uniques. Pour les abonnements, elle est de 30 % la première année et de 15 % les suivantes, ce qui est extrêmement avantageux et ce qui fait de ce service un succès.
M. Gérard Longuet, rapporteur. - Qu'en est-il de votre pénétration du secteur bancaire, avec le lancement d'ApplePay et bientôt de l'Apple Card ? Qu'en est-il également de vos intentions dans le domaine des véhicules autonomes ?
M. Michel Coulomb. - Nous cherchons à développer des services visant à simplifier la vie de nos utilisateurs. Lancé en France il y a trois ans, ApplePay s'inscrit dans cette logique en proposant sous forme dématérialisée les cartes de crédit de nos 34 banques partenaires. En d'autres termes, c'est une carte de crédit virtuelle. Apple n'est pas un établissement financier, mais se présente comme un relais technologique pour faciliter l'utilisation des cartes de crédit.
L'Apple Card a été lancée au mois de juillet aux États-Unis, en partenariat avec Goldman Sachs.
Quant aux véhicules autonomes, Apple n'a pas annoncé de nouveaux produits pour l'automobile. Nous proposons seulement le logiciel CarPlay, disponible sur presque tous les modèles automobiles, qui fait apparaître les fonctionnalités de l'iPhone sur l'écran de la voiture.
M. Gérard Longuet, rapporteur. - Apple a récemment racheté la start-up Drive.ai, qui travaille sur les véhicules autonomes...
M. Michel Coulomb. - Les rachats de start-ups ne font pas l'objet d'annonces, c'est pourquoi je ne puis vous en dire davantage sur ce point, mais j'essaierai de vous apporter des précisions.
M. Jérôme Bascher. - Le fait qu'une partie des données soit exploitée par Apple, et l'autre non rend les choses illisibles et incompréhensibles. Une solution du type « tout ou rien » ne serait-elle pas préférable ?
Comment expliquez-vous qu'Apple n'ait pas percé dans le monde administratif français, laissant d'autres technologies s'imposer ?
M. Michel Coulomb. - Nous avons un succès considérable auprès des consommateurs français et des professionnels : depuis nos débuts, nous sommes présents sur le marché de l'éducation, et dans le monde de l'entreprise et du secteur public. Cependant, nous sommes un fournisseur parmi d'autres, dans un secteur très compétitif, avec un nombre d'options très important pour les utilisateurs et avec des concurrents venant du monde entier.
M. Daniel Matray. - Toutes les administrations sont présentes sur nos plateformes : la majorité des entreprises publiques ont une application dans l'Apple Store ou sont disponibles sur nos différentes plateformes. Nous sommes très ouverts aux administrations, comme aux entreprises privées, et nous travaillons avec elles pour développer des applications à l'intention de leurs administrés et de leurs clients.
La sécurité est très importante : pour développer une application et accéder à notre plateforme, il faut respecter des règles très précises. Les consommateurs doivent être protégés et connaître la provenance de leurs applications.
M. Erik Neuenschwander. - La compréhension et la confiance de l'utilisateur constituent une part importante du respect de la vie privée. Nous essayons de diminuer les sources de confusion. Nous y contribuons notamment en développant une technologie embarquée dans l'appareil pour améliorer l'expérience utilisateur sans qu'Apple ait à traiter les données. Ainsi, la reconnaissance faciale est entièrement traitée par l'appareil de l'utilisateur, grâce aux photographies qu'il a fournies, sans remontée jusqu'à Apple. C'est l'ambition que nous nous sommes fixée : améliorer l'expérience utilisateur sous le contrôle direct de ce dernier.
Lorsqu'il est nécessaire de faire remonter des données, nous avons développé les alertes au moment approprié (just in time alerts or just in time consents, l'alerte au bon moment ou le consentement au bon moment) pour avertir le consommateur des avantages d'une utilisation donnée et de l'usage qui sera fait des données transmises. Ce n'est pas parfait, mais nous nous engageons à améliorer nos processus et à réduire les erreurs dans ce domaine.
M. Pierre Ouzoulias. - J'utilise probablement des ordinateurs Mac depuis 38 ans... J'ai commencé avec un Mac 512, à une époque où le logiciel devait être chargé dans l'ordinateur via une disquette. Mais pendant ces 38 ans, Apple a aussi formaté mon esprit, au point que je n'arrive pas à changer de système d'exploitation ! Votre modèle économique est d'autant plus réussi que vous ne vendez plus de logiciels : une grande partie de votre notoriété repose sur votre capacité à formater la manière dont nous utilisons vos produits. N'y voyez aucun reproche, mais plutôt une servitude volontaire ! Apple a néanmoins une certaine réticence à accepter l'interopérabilité et à nous permettre de recréer le même univers numérique avec d'autres matériels. N'y a-t-il pas une contradiction entre ce modèle économique et l'interopérabilité, qui est l'une des conditions de la souveraineté numérique ?
M. Michel Coulomb. -En matière de technologie, 38 ans, c'est une très longue période. Nous avons su conserver la confiance de nos clients en innovant et en créant constamment de nouveaux produits et services sans dévier de nos fondamentaux : excellence des produits, respect de l'environnement et de la vie privée, recherche d'une technologie au croisement avec les sciences humaines. Apple est spécial parce que nous avons toujours développé, de façon synchrone, des produits matériels et des logiciels.
M. Erik Neuenschwander. - Nous avons fait en sorte que les données des utilisateurs puissent être transférées librement d'un service à l'autre grâce à un portail que nous avons mis à leur disposition, et à partir duquel ils peuvent obtenir des copies de leurs données. C'est l'une des exigences fondamentales du RGPD. Nous sommes heureux de le faire et confiants dans le fait que nos clients resteront convaincus de l'intérêt de nos services.
M. Daniel Matray. - La très grande majorité de nos services, comme iTunes ou Apple Music, sont disponibles sur d'autres plateformes, que ce soit Windows, Android ou Google. Nous sommes un environnement ouvert. Les applications de l'App Store peuvent être transférées sur des périphériques et d'autres accessoires. Cette liberté, tout en garantissant une sécurité optimale, est dans l'intérêt du consommateur.
M. Patrick Chaize. - Que se passe-t-il si, en vertu du Cloud Act, un juge américain persiste à donner aux autorités des États-Unis un accès à des données personnelles protégées par le RGPD ? Quel volume de demandes a été adressé à Apple par un juge, et combien d'entre elles ont été acceptées ?
M. Erik Neuenschwander. - Les demandes de ce type sont adressées au bureau de la protection des données d'Apple, qui applique le RGPD.
Les statistiques sur le nombre de demandes et les réponses qui y ont été apportées, pays par pays, sont disponibles sur notre site, sur une page dédiée : www.apple.com/legal/transparency/.
La réunion est close à 17 h 45.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.