Mardi 6 juin 2023
- Présidence de Mme Marie-Noëlle Lienemann, présidente d'âge -
La réunion est ouverte à 9 h 30.
Réunion constitutive
Mme Marie-Noëlle Lienemann, présidente. - En ma qualité de présidente d'âge, il me revient d'ouvrir la première réunion de la commission spéciale sur la proposition de loi visant à sécuriser et réguler l'espace numérique dont la composition a été confirmée en séance publique le jeudi 1er juin dernier.
Conformément au Règlement du Sénat, nous allons tout d'abord désigner le président de la commission.
J'ai reçu la candidature de Mme Catherine Morin-Desailly, qui a déjà travaillé avec la commission des affaires européennes sur les deux règlements qui sont au coeur du projet de loi - le règlement européen sur les services numériques (RSN) ou Digital Services Act (DSA) et le règlement européen sur les marchés numériques (RMN) ou Digital Markets Act (DMA) -, et qui arpente depuis de longues années le monde de l'internet.
Mme Catherine Morin-Desailly est désignée présidente de la commission spéciale.
- Présidence de Mme Catherine Morin-Desailly, présidente -
Mme Catherine Morin-Desailly, présidente. - Je vous remercie pour votre confiance. Le temps qui nous est imparti est très limité, mais nous veillerons à travailler efficacement pour créer un cadre permettant de lutter contre les contenus illicites et les contrefaçons et réguler le marché numérique.
Je commencerai par présenter quelques éléments de contexte.
Pour le Sénat, ce projet de loi est une source de satisfaction, dix ans après l'affaire Snowden qui avait déclenché la création au sein de notre assemblée d'une mission commune d'information sur la gouvernance mondiale de l'internet. L'Europe a pris du retard pour légiférer, même si nous nous félicitons de l'adoption, sous présidence française de l'Union européenne, du DSA et du DMA.
Les enjeux sont les suivants : rouvrir la directive dite « e-commerce » et mettre en place un régime de responsabilité et de redevabilité pour les plateformes. Ces dernières ont abusé de leur position dominante en verrouillant les marchés, et ont permis la prolifération de contenus illicites et contestables, préjudiciables aux utilisateurs. La pandémie, qui a accru la digitalisation de notre économie, a accéléré la prise de conscience de la nécessité d'agir.
Une nouvelle doctrine a vu le jour au niveau européen, au travers de différents textes. Trois règlements ont été adoptés en 2022 : le DSA, le DMA et le Data Governance Act, lequel sera complété par un texte encore en négociation, le Data Act.
Sur ces sujets, notre assemblée a été active, notamment grâce à la commission des affaires européennes et à son président.
Ainsi, sur le DMA, à la suite de notre rapport avec Florence Blatrix Contat, que je suis heureuse de retrouver dans notre commission spéciale, le Sénat a adopté une résolution européenne le 12 novembre 2021, assortie d'un avis politique au Conseil. En particulier, nous avons été suivies sur l'ajout des services essentiels et sur les interdictions, ainsi que sur la coopération entre la Commission européenne et les autorités nationales.
Sur le DSA, et toujours sur notre initiative, le Sénat a adopté une résolution européenne le 14 janvier 2022. Là encore, notre position a été portée au niveau européen : je pense en particulier à l'inclusion des très grands moteurs de recherche dans le périmètre des obligations définies par le règlement et à la prise en compte des critères d'audience.
Enfin, sur un sujet encore en discussion au niveau européen mais très présent dans le projet de loi, nous avons, avec Ludovic Haye et André Reichardt, que je me félicite également de retrouver dans notre commission, émis une nouvelle résolution européenne le 13 février dernier sur le projet de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants.
Notre préoccupation est d'ailleurs en parfait accord avec les travaux de la délégation aux droits de femmes, dont je salue l'engagement - en particulier au travers de son rapport sur l'industrie pornographique. Je me félicite de la présence de nombreux membres de cette délégation parmi nous, dont sa présidente Annick Billon, qui a été rapporteure sur ce sujet avec Alexandra Borchio Fontimp et Laurence Rossignol.
Je salue également Marie Mercier, qui est très impliquée sur ces sujets.
Nous pouvons nous féliciter des avancées que nous avons obtenues, mais nous n'avons pas eu satisfaction sur tout. Il faudra mesurer la marge de manoeuvre dont nous disposons pour améliorer le texte, même si celle-ci risque d'être étroite. En effet, il s'agit non pas de transposer une directive, mais des règlements. Or les règlements sont d'application directe afin d'éviter une « fragmentation » des législations et d'aller vite. Cette limite sera pour beaucoup une frustration, en nous imposant de ne pas « déborder » sur le champ des règlements, sous peine de les fragiliser et de voir certains en Europe s'y engouffrer pour en réduire la portée. Nos débats seront suivis dans l'Union européenne et serviront largement de modèle, car nous sommes les premiers à nous adapter à ces règlements.
Le projet de loi ne se limite néanmoins pas à adapter notre droit et notre régulation à ce cadre européen. Il procède également à plusieurs améliorations destinées à protéger les utilisateurs. Je pense notamment aux dispositions sur « l'informatique en nuage » - le sujet de l'hébergement et du traitement des données est au coeur de la souveraineté numérique -, sur la gestion des locations touristiques de courte durée ou encore sur les jeux à objets numériques monétisables, qui font l'objet d'une demande d'habilitation à légiférer par voie d'ordonnance.
Un énorme travail doit être fait, mais je sais que nous pourrons compter sur nos rapporteurs qui sont très aguerris sur ces sujets !
Sur la forme, si je me félicite bien entendu de voir ce texte arriver en premier au Sénat, je déplore cependant le temps très réduit dont nous disposons. Je regrette également la profusion de textes sur le numérique qui nous sont arrivés ces derniers temps sous forme de propositions de loi - en réalité d'origine gouvernementale -, ce qui nuit à la vision stratégique et globale que nous devons adopter.
Cette vision stratégique, je souhaite précisément que nous puissions tous ensemble la porter, et, au travers de ce texte, faire valoir les positions déjà exprimées par le Sénat afin de marquer notre cohérence.
En tout état de cause, ce projet de loi n'est qu'une étape, même si elle est essentielle. Ainsi, demain, il nous faudra nous pencher sur la question de l'intelligence artificielle, à propos de laquelle nous avons déjà eu un débat en séance. Il faut également mentionner la proposition de règlement européen sur les données (Data Act), encore en cours de négociation, qui fixe des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, et sur lequel, avec Florence Blatrix Contat et André Gattolin, nous venons de déposer une nouvelle proposition de résolution européenne le 11 mai dernier.
Les données sont en effet « l'or noir » du numérique, et nous devons nous organiser pour éviter leur confiscation par quelques grandes plateformes qui verrouillent techniquement, financièrement et juridiquement le marché. Le projet de loi transpose d'ailleurs par anticipation certaines dispositions de cette proposition de règlement aux articles pour l'informatique « en nuage », notamment sur l'interopérabilité et la portabilité des données, de manière à permettre le développement d'une véritable industrie européenne.
J'espère que nous tirerons, en France comme en Europe, les conclusions de nos retards successifs en matière de numérique.
Par ailleurs, et toujours dans le cadre européen, la Commission a présenté en mars 2021 son programme d'actions pour la décennie numérique, dit boussole numérique, qui trace la voie vers une réelle souveraineté européenne. Patrick Chaize a d'ailleurs rapporté pour la commission des affaires économiques la proposition de résolution européenne que nous avions déposée avec Florence Blatrix Contat sur le sujet.
Enfin, en tant que présidente de notre commission spéciale, je serai très attentive à maintenir les règles constitutionnelles de respect des irrecevabilités, s'agissant notamment de l'article 45 de la Constitution. Il nous faudra rester vigilants et parfois réfréner nos ardeurs pour éviter la censure par le Conseil constitutionnel de dispositions qui n'auraient pas de lien avec le texte.
Mes chers collègues, je vous propose maintenant de procéder à la désignation du bureau de notre commission spéciale.
Nous procédons, dans un premier temps, à la désignation des vice-présidents et des secrétaires.
Conformément à l'article 13 de notre Règlement, selon le principe de la représentation proportionnelle et en tenant compte de la représentation déjà acquise au groupe Union Centriste (UC) pour le poste de président, nous devons désigner : quatre vice-présidents du groupe Les Républicains (LR) ; deux du groupe Socialiste, Écologiste et Républicain (SER) ; un du groupe Rassemblement des démocrates, progressistes et indépendants (RDPI) ; un du groupe communiste républicain citoyen et écologiste (CRCE) ; un du groupe du Rassemblement Démocratique et Social Européen (RDSE) ; un du groupe Les Indépendants - République et Territoires (INDEP) ; et un du groupe Écologiste - Solidarité et Territoires (GEST).
Compte tenu des candidatures qui sont parvenues au secrétariat de la commission spéciale, je vous propose de désigner comme vice-présidents : pour le groupe Les Républicains, Mme Alexandra Borchio Fontimp, Mme Toine Bourrat, Mme Micheline Jacques et Mme Marie Mercier ; pour le groupe Socialiste, Écologiste et Républicain, Mme Sylvie Robert et Mme Florence Blatrix-Contat ; pour le groupe Rassemblement des démocrates, progressistes et indépendants, M. Xavier Iacovelli ; pour le groupe communiste républicain citoyen et écologiste, M. Pierre Ouzoulias ; pour le groupe du Rassemblement Démocratique et Social Européen, M. Bernard Fialaire ; pour le groupe Les Indépendants - République et Territoires, celle de Pierre-Jean Verzelen ; pour le groupe Écologiste - Solidarité et Territoires, M. Thomas Dossus.
Conformément aux propositions formulées par les groupes, je vous propose de désigner comme secrétaires : pour le groupe Les Républicains, Mme Nadine Bellurot ; pour le groupe Union Centriste, Mme Anne-Catherine Loisier ; pour le groupe Socialiste, Écologiste et Républicain, M. Jérôme Durain.
Les vice-présidents et secrétaires sont désignés.
Mme Catherine Morin-Desailly, présidente. - Nous procédons, dans un second temps, à la désignation des rapporteurs de notre commission spéciale, dont je précise qu'ils seront membres de droit du Bureau.
J'ai reçu les candidatures suivantes : pour le groupe Les Républicains, M. Patrick Chaize et pour le groupe Union Centriste, M. Loïc Hervé.
M. Patrick Chaize et M. Loïc Hervé sont désignés rapporteurs de la commission spéciale.
Mme Catherine Morin-Desailly, présidente. - Nous sommes en train d'organiser le programme des auditions en plénière, que nous vous diffuserons dès que possible. Nous entendrons la cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), la commissaire divisionnaire Cécile Augeraud, responsable de la plateforme Pharos (plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements) demain, mercredi 7 juin, et le ministre Jean-Noël Barrot le jeudi 8 juin.
Le calendrier pourrait ensuite être le suivant : pour l'examen des amendements de commission et l'adoption du rapport, le délai limite pour les amendements serait fixé au vendredi 23 juin à 12 heures, et la réunion de commission se déroulera le mardi 27 juin à partir de 13 heures 30.
Pour l'examen des amendements de séance publique, le délai limite pourrait être fixé au lundi 3 juillet, 12 heures. Nous examinerions les amendements le mardi 4 juillet à partir de 13 h 30. La séance publique pourrait commencer, sous réserve des contraintes d'ordre du jour, ce même mardi 4 juillet en fin d'après-midi. L'examen du texte nous occuperait mercredi 5, jeudi 6, et peut-être jusqu'au vendredi 7 juillet.
D'ici à l'examen du texte en commission, nous mènerons avec les rapporteurs des auditions pour entendre les parties prenantes sur le texte. Nous proposons d'ouvrir ces auditions à l'ensemble des membres de la commission spéciale qui voudront y participer.
J'indique enfin que M. Loïc Hervé sera chargé des articles 1er à 5, 19 à 21, 23, 24, 28 à 32, 34 et 35 ; et M. Patrick Chaize, des articles 6 à 18, 22, 25 à 27, 33 et 36.
M. Loïc Hervé, rapporteur. - Mme la présidente Catherine Morin-Desailly nous a expliqué l'importance et l'étendue du projet de loi qu'il nous revient d'examiner. Pensé, dès ses origines, comme une zone de liberté, l'espace numérique ne peut pas pour autant être une zone de non-droit. Sa régulation est une nécessité absolue au regard de la place d'internet dans nos vies quotidiennes, au coeur de nos modes de communication, de consommation et d'information. Tel est là tout l'enjeu des règlements dont ce projet de loi tire les conséquences : faire du numérique un espace où chacun peut s'exprimer librement, mais dans le respect des règles qui s'appliquent dans la « vraie vie » et avec le même droit d'entretenir une confiance légitime vis-à-vis de ses interlocuteurs.
Je me réjouis que, sur un sujet complexe, qui touche aux compétences de nombreuses commissions permanentes, le choix ait été fait de constituer une commission spéciale ; cette formule sera le gage de débats nourris par la pluralité de nos points de vue, de nos analyses et de nos sensibilités politiques.
Je regrette en revanche, comme notre présidente, que nous ayons si peu de temps pour conduire nos travaux. Le Conseil d'État a déploré dans son avis n'avoir eu que six jours pour se prononcer. Nous en aurons un peu plus, mais vu la complexité des dispositions et de la construction du texte qui retouche à plusieurs reprises les mêmes articles, ainsi que de sa rédaction a minima perfectible, j'espère que nous arriverons à produire un texte de qualité !
J'en viens aux articles dont j'aurai la charge en tant que rapporteur.
Les articles 1er à 5 portent sur la protection des citoyens dans l'espace numérique, au bénéfice notamment des mineurs.
Les articles 1er et 2 tendent à revoir le dispositif mis en place par l'article 23 de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales qui avait été adopté par la commission des lois sur l'initiative de notre collègue Marie Mercier. La procédure de blocage judiciaire peut actuellement être engagée par l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour bloquer l'accès et déréférencer les sites pornographiques qui ne mettraient pas en place le contrôle de majorité. Il s'agirait de transformer cette procédure judiciaire en procédure administrative, conformément à une recommandation de la délégation aux droits des femmes dans son rapport sur l'industrie de la pornographie, et à permettre aux agents de l'Arcom de dresser eux-mêmes des constats.
L'article 3 vise à créer une infraction pour pénaliser les hébergeurs qui n'agiraient pas dans les 24 heures pour supprimer des contenus pédopornographiques à la demande de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication.
L'article 4 étend les pouvoirs de l'Arcom pour faire respecter les interdictions de diffusion des contenus produits par des médias visés par des sanctions européennes : elle pourra désormais imposer le respect de telles interdictions à de nouveaux acteurs qui ne sont aujourd'hui pas couverts par la loi, comme les services de communication au public en ligne ou les opérateurs de réseaux satellitaires.
Quant à l'article 5, il crée une nouvelle peine complémentaire de suspension du compte d'accès à une plateforme en ligne, applicable aux personnes condamnées pour certains délits commis en utilisant ladite plateforme.
Le titre VII comporte trois articles à la rédaction similaire qui visent à confier respectivement au Conseil d'État, à la Cour de cassation et à la Cour des comptes une nouvelle mission de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions et leur ministère public, dans l'exercice de leur fonction juridictionnelle.
Le titre VIII est un titre « Diverses dispositions d'adaptation au droit de l'Union européenne » (Ddadue) ; il vise à tirer les conséquences des règlements européens dans des textes nationaux sectoriels, s'agissant notamment des prérogatives de l'Arcom, de la Commission nationale de l'informatique et des libertés (Cnil), de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et de l'autorité judiciaire. Je m'intéresserai plus particulièrement aux articles 23, 24 et 28 à 32.
Sans entrer dans le détail des évolutions prévues par ces articles, ceux-ci me semblent cependant soulever des difficultés de fond comme de forme. Je relève tout d'abord qu'un travail de mise en cohérence et de clarification sera probablement nécessaire : en effet, la portée de certaines règles reste floue, faute pour le projet de loi d'être parvenu à en préciser le périmètre, à en définir l'articulation avec d'autres dispositifs ou à en décrire les modalités concrètes d'application. Je pense notamment aux nouvelles compétences données à la Cnil sur l'altruisme en matière de données, dont la rédaction m'apparaît imprécise.
Par ailleurs, il semblerait que, sous couvert de mise en conformité avec le règlement européen sur les services numériques, des pans entiers de notre droit national se trouvent soit abrogés, soit alignés sur le règlement sans mesures complémentaires, alors que ce dernier n'a pas les mêmes seuils, notamment en termes de taille des plateformes soumises aux diverses obligations qu'il prévoit. Il nous conviendra lors de nos travaux d'être particulièrement vigilants pour nous assurer que l'application du règlement n'aura pas pour conséquence de dédouaner certaines plateformes opérant sur notre territoire de leurs responsabilités, par exemple en matière de lutte contre la désinformation.
M. Patrick Chaize, rapporteur. - Mes chers collègues, je vous remercie pour la confiance que vous m'accordez en me nommant corapporteur aux côtés de Loïc Hervé.
Je suis chargé des dix-neuf articles de ce projet de loi qui relèvent des compétences de la commission des affaires économiques, essentiellement en matière de régulation de l'économie numérique et des données, de concurrence, de droit de la consommation et de tourisme.
Ce projet de loi est en très grande partie un projet de loi d'adaptation de notre droit national au droit de l'Union européenne. Autrement dit, c'est un Ddadue qui ne dit pas son nom ! Il s'agit en effet d'adapter la quasi-totalité de nos lois nationales traitant des questions numériques, en particulier la loi de 1986 relative à la liberté de communication (loi Léotard) et la loi de 2004 pour la confiance dans l'économie numérique, à plusieurs règlements européens. Parmi les règlements déjà adoptés, il y a le RSN ou DSA, le règlement RMN ou DMA, et le règlement sur la gouvernance des données (RGA) ou Data Governance Act (DGA). Parmi les règlements toujours en cours de négociation à l'échelle européenne, il y a le règlement fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (Data Act), dont plusieurs articles anticipent l'adoption.
L'ensemble de ces règlements étant d'application directe, nous devons être prudents : il s'agit non seulement de rester fidèle à leur lettre comme à leur esprit, car ces textes sont issus de négociations et de compromis difficiles entre les différents États membres et les opérateurs économiques, mais également de ne pas adopter des dispositions qui seraient trop contraignantes, spécifiques à la France, et qui risqueraient de pénaliser injustement nos opérateurs économiques. Mais il faut aussi faire preuve de vigilance lorsque nos lois françaises se sont montrées particulièrement ambitieuses, protectrices et avant-gardistes, afin d'éviter que l'adoption de ce projet de loi ne se traduise par des dispositions moins-disantes par rapport aux règles existantes.
Je serai ainsi particulièrement vigilant lors de l'examen des articles 7 à 10 relatifs à la régulation du marché de l'informatique en nuage ou cloud. Comme le précisent l'exposé des motifs du projet de loi et l'étude d'impact du Conseil d'État, ces articles s'inscrivent dans la continuité directe des travaux de la commission des affaires économiques sur la souveraineté économique et numérique, dont le rapport a été adopté l'an dernier à l'unanimité et dont certaines recommandations ont été traduites dans le Data Act.
Il s'agit d'encadrer les crédits cloud accordés gratuitement par les grandes plateformes américaines à nos entreprises afin de les inciter à utiliser exclusivement leurs technologies plutôt que d'autres, et de supprimer progressivement les frais de transfert facturés à nos entreprises lorsqu'elles souhaitent changer de fournisseur de services d'informatique en nuage : c'est indispensable pour soutenir le développement de sociétés françaises et européennes d'informatique en nuage, pour garantir une concurrence plus saine et des marchés contestables et pour éviter de rendre nos entreprises « captives » des grandes plateformes américaines.
Je serai également vigilant lors de l'examen des articles 11 à 14, qui anticipent l'adoption des dispositions du Data Act relatives aux services d'intermédiation des données et qui désignent l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) comme autorité nationale compétente en la matière, en renforçant ses pouvoirs d'enquête et de sanction.
Sur les articles 16, 18, 22, 25, 26 et 27, il s'agit essentiellement de désigner les autorités nationales compétentes en matière d'application des grands règlements européens sur le numérique, d'adapter leurs prérogatives en conséquence et de faciliter leur coopération.
L'Arcom est ainsi désignée coordinateur national pour les services numériques et bénéficiera notamment de l'appui de la Cnil et de la DGCCRF pour la mise en oeuvre de ce règlement. De façon plus ponctuelle et plus spécifique, l'Arcom pourra davantage solliciter le pôle d'expertise de la régulation de l'économie numérique (PEReN) afin de mieux comprendre les algorithmes, les traitements de données, les codes et les risques systémiques des grandes plateformes.
L'Autorité de la concurrence (ADLC) est ainsi désignée coordinateur national pour les marchés numériques et bénéficiera notamment de l'appui de la DGCCRF, de la Cnil et de l'Arcom pour la mise en oeuvre de ce règlement.
Si ce projet de loi est en quelque sorte un Ddadue, il y a tout de même quelques mesures nouvelles, intéressantes, qui ne sont pas prévues par les règlements européens et qui méritent toute notre attention.
Je pense à l'article 15 sur les jeux à objets numériques monétisables dont une première définition a failli être adoptée lors de l'examen par la commission des affaires économiques de la loi visant à encadrer l'influence commerciale. Nous serions les premiers en Europe à définir et à encadrer ces innovations, mais, face à la complexité et à l'ampleur du travail à accomplir, le Gouvernement préfère, en l'état, recourir à une habilitation à légiférer par ordonnance.
Je pense également à l'article 17, visant à mettre en place une plateforme unique à destination des communes et des plateformes numériques permettant la location de meublés de tourisme, comme Airbnb. L'objectif de ce texte est de pallier les difficultés opérationnelles de mise en oeuvre des obligations légales actuelles, qui se traduisent notamment par une charge importante pour les communes. C'est sans doute la seule disposition intéressant les collectivités territoriales dans ce texte, nous devons donc être vigilants.
Je pense enfin à l'article 6, visant à mettre en place un dispositif national de cybersécurité grand public, ou « filtre anti-arnaques », afin de mieux lutter contre les actes de cybermalveillance qui font désormais partie de notre quotidien. C'est une promesse de campagne du Président de la République que ce projet de loi tente, à l'instar de ce qui a été fait par plusieurs autres pays européens, de mettre en forme.
Les fournisseurs de navigateurs internet, les fournisseurs d'accès à internet et les fournisseurs de systèmes de résolution des noms de domaine seront tous mis à contribution pour avertir les internautes lorsqu'ils seront sur le point d'accéder à des sites frauduleux, voire pour bloquer l'accès à ces sites, sous le contrôle attentif de la Cnil.
C'est, à la fois, la sécurisation de l'espace numérique et la restauration de la confiance de nos concitoyens dans l'économie numérique qui sont en jeu. Je serai très regardant sur le déploiement de ce filtre anti-arnaques : il complétera utilement l'initiative prise par notre collègue Laurent Lafon, président de la commission de la culture et auteur de la loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public - un texte qui vise à mettre en oeuvre un cyberscore -, et dont notre collègue Anne-Catherine Loisier était rapporteure pour la commission des affaires économiques.
Nous pouvons être fiers, ici au Sénat, d'être à l'avant-garde de la régulation de l'économie numérique, comme nous l'avons dit à plusieurs reprises récemment lors de l'examen de diverses propositions de loi visant à réguler nos usages numériques. Nous le sommes également avec la commission d'enquête sur TikTok constituée sur l'initiative de notre collègue Claude Malhuret.
Dans le cadre de l'ensemble de ces travaux, et y compris lors de l'examen de ce projet de loi, nous devrons être prudents et veiller à la cohérence de l'ensemble des dispositions que nous voterons et recommanderons.
Mme Laurence Rossignol. - Je m'interroge sur l'application de l'article 45 de la Constitution. J'évoquerai la partie du texte qui m'intéresse tout particulièrement, celle dévolue à Loïc Hervé, en particulier les trois premiers articles. Nous sommes nombreux à considérer que ceux-ci ne répondent pas à l'objectif annoncé, et qu'il faudrait les renforcer tout en restant dans le cadre de l'intitulé du titre Ier relatif à la protection des mineurs. Le texte témoigne d'une approche étroite de ce sujet. Comment l'améliorer si l'on nous oppose l'article 45 dès qu'un amendement n'est pas parfaitement « dans les clous » ? Par exemple, s'agissant de l'établissement du référentiel, nous pouvons certes donner toute latitude à la Cnil, mais il serait préférable de prévoir un encadrement.
Mme Annick Billon. - Je vous félicite, madame la présidente, pour votre désignation à la tête de cette commission spéciale, car vous êtes engagée de longue date sur ces sujets. Je félicite également les rapporteurs qui sont des spécialistes, Loïc Hervé étant membre de la Cnil et Patrick Chaize président du groupe Numérique.
En tant que présidente de la délégation aux droits des femmes, et avec les rapporteures Alexandra Borchio Fontimp et Laurence Rossignol, nous serons attentives à la transcription des recommandations que nous avions faites dans le rapport Porno : l'enfer du décor.
Les objectifs sont là, mais les moyens seront-ils suffisants ? Nous approuvons diverses mesures - je pense notamment à l'assermentation des agents de l'Arcom -, mais d'autres sujets ne sont pas évoqués, comme le droit à l'oubli et le dispositif de vérification d'âge.
Il faut aller plus loin et plus rapidement, car des textes ont été votés mais ne sont toujours pas appliqués.
Mme Catherine Morin-Desailly, présidente. - La protection de l'enfance est un de nos sujets prioritaires, et nous allons organiser une table ronde sur cette question.
Madame Rossignol, je ne suis pas habituée à l'exercice de la mise en application d'un règlement européen. Des améliorations ont été apportées par le Gouvernement, nous pouvons donc apporter les nôtres. Il faut néanmoins rester dans l'esprit des règlements, pour ne pas être censurés par le Conseil constitutionnel. Un travail très fin devra être fait avec les rapporteurs. Nous ne partons pas de loin, puisque nous disposons des propositions de la délégation aux droits des femmes et de la commission des affaires européennes.
J'aurais aimé aller plus loin sur la régulation des plateformes, jusqu'à créer un statut spécifique au même titre que les éditeurs de programmes. Mais le Sénat est à la pointe sur ces sujets et sait faire preuve de créativité !
Je m'assurerai que nous puissions améliorer au mieux le texte, mais, je le redis, il s'agit d'appliquer un règlement, ce qui n'est pas la même chose qu'une directive.
Enfin, je précise que l'article 3 n'est pas issu du DSA.
Mme Laurence Rossignol. - Le Gouvernement surtranspose puisqu'il a amélioré le texte.
Mme Catherine Morin-Desailly, présidente. - Nous pourrons évoquer ces questions jeudi avec le ministre Jean-Noël Barrot.
La réunion est close à 10 h 15.
Mercredi 7 juin 2023
- Présidence de Mme Catherine Morin-Desailly, présidente -
La réunion est ouverte à 16 h 45.
Audition de Mme Cécile Augeraud, commissaire divisionnaire, chef de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), M. Pierre-Yves Lebeau, chef de l'état-major de la sous-direction de lutte contre la cybercriminalité (SDLC) et Mme Clara Timsit, conseillère juridique rattachée à l'état-major de la SDLC
Mme Catherine Morin-Desailly, présidente. - Nous sommes aujourd'hui réunis pour recevoir Mme Cécile Augeraud, cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Madame Augeraud, je vous remercie d'avoir accepté notre invitation.
Créée en 2009, la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos) est une branche de la direction centrale de la police judiciaire. Elle constitue la pièce centrale du dispositif de signalement des propos illicites ou offensants tenus en ligne - autant dire que votre mission est vaste.
Nous sommes très sensibles à votre travail et également très préoccupés par la situation des mineurs, victimes d'un grand nombre d'actes délictueux. Nous souhaiterions connaître le fonctionnement de Pharos et nous aimerions que vous puissiez nous présenter un bilan des dispositifs existants.
Le projet de loi reconduit des mécanismes existants, par exemple s'agissant du rôle du juge en matière de blocage des contenus illicites ; c'est pour le Parlement l'occasion de dresser avec vous le bilan de ces procédures. Il crée des outils nouveaux pour lesquels votre expertise sera précieuse : je pense, entre autres, à la peine complémentaire de suspension des comptes d'accès aux plateformes qui serait encourue en cas de condamnation pour certains délits commis en ligne.
Le projet de loi instaure en son article 3une sanction pénale pour défaut d'exécution d'une demande de retrait d'un contenu pédopornographique par un hébergeur. Je rappelle que les contenus à caractère terroriste sont dorénavant régis par la loi du 16 août 2022, qui contraint au retrait dans un délai d'une heure.
Nous sommes donc impatients de vous entendre afin que vous puissiez nous présenter le travail exigeant que vous menez au quotidien, nous donner votre point de vue sur ce nouveau texte et nous donner quelques perspectives d'amélioration des procédures en vigueur.
Mme Cécile Augeraud, cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication. - Merci pour votre présentation très exhaustive.
Pharos est l'une des composantes de l'Office que je dirige. La plateforme fait partie d'un ensemble luttant contre la cybercriminalité : c'est l'action de toutes ces composantes qui rend nos dispositifs efficaces.
L'Office compte 150 agents et assure quatre missions principales. Premièrement, nous enquêtons sur les cyberattaques et sur les cyberservices criminels. Deuxièmement, nous fournissons un appui technique aux services territoriaux de police et de gendarmerie et nous dispensons des formations d'investigateurs en cybercriminalité sur l'ensemble du territoire. Troisièmement, nous effectuons des analyses du renseignement criminel : nous travaillons en étroite collaboration avec les plateformes et nous sommes le point d'entrée pour la France de nos partenaires internationaux. Quatrièmement, nous assurons une mission de détection par le biais de nos deux plateformes : Pharos, la vieille dame du service, née en 2009, mais aussi le dispositif de traitement harmonisé des enquêtes et signalements pour les e-escroqueries (Thésée), créé le 15 mars 2022, qui permet de recueillir les signalements pour huit champs infractionnels. En outre, Thésée offre aux particuliers la possibilité de déposer plainte entièrement en ligne - les victimes ne doivent, à aucun moment, se déplacer.
Pharos est une plateforme qui a connu beaucoup d'évolutions, en raison d'un accroissement des dangers, des menaces, des risques et des infractions. Elle est destinée à recevoir des signalements pour tous les contenus illicites présents sur internet, à condition qu'ils soient publics - Pharos n'intervient pas dans la sphère privée. La plateforme a évolué au gré des événements : l'assassinat à caractère terroriste de Samuel Paty a conduit au doublement de ses effectifs, avec, à ce jour, 43 agents qui se relaient désormais vingt-quatre heures sur vingt-quatre et sept jours sur sept. Elle est en mesure de réagir en permanence à tous les signalements. Les missions sont désormais plus diversifiées, grâce à l'ouverture d'enquêtes sur le fondement des signalements de contenus illicites et à la création d'un pôle judiciaire de 10 enquêteurs. Les effectifs consacrés à la lutte contre la haine en ligne ont augmenté, car c'est un sujet de préoccupation majeure.
Une cellule recueille les signalements, puis une équipe d'enquêteurs est chargée de veiller à l'application de mesures administratives prévues par la loi pour la confiance dans l'économie numérique (LCEN). Son article 6-1 nous permet de demander le retrait de contenus illicites à caractère terroriste ou pédopornographique et d'enjoindre au blocage ou au déréférencement lorsque le retrait n'a pas été effectué.
En 2022, Pharos a reçu près de 176 000 signalements, qui se sont traduits par 89 000 demandes de retrait, dont 83 % visaient des contenus pédopornographiques au titre de l'article 6-1 de la LCEN. Quelque 4 024 injonctions de déréférencement et 354 injonctions de blocage ont été décidées : cela montre que nos demandes de retrait sont suivies. En outre, 78 790 contenus illicites ont été détectés grâce à des actions de veille : nous ne nous contentons plus de recevoir des signalements, par exemple, en matière de lutte contre les discriminations.
J'insiste sur le nombre de signalements : 176 000 en 2022, contre 246 000 en 2021 et 290 000 en 2020. Cette diminution s'explique par la baisse du nombre d'actes terroristes et par la création de la plateforme Thésée. Pharos se concentre désormais sur des faits de pédopornographie et de haine en ligne, tandis que les escroqueries ont été déportées sur la plateforme Thésée. Le traitement des signalements est très différent. Sur Thésée, les particuliers peuvent faire des signalements ou déposer des plaintes en ligne pour chantage, fausse location, faux site de vente, entre autres. Celles-ci feront l'objet d'un recoupement par l'intermédiaire d'un outil d'analyse afin d'en optimiser le traitement. Thésée peut recevoir le signalement de personnes physiques majeures, mais aussi mineures - en revanche, les dépôts de plainte sont inaccessibles aux mineurs. Les personnes ne souhaitant pas se déplacer dans un commissariat ou une gendarmerie peuvent ainsi s'affranchir du regard des forces de l'ordre : ce dispositif est parfois très pertinent pour les parents déposant plainte pour des mineurs victimes de chantage en ligne.
Ces deux plateformes fonctionnent avec des partenaires référencés et des signaleurs de confiance ; le projet de loi participe de la même philosophie. Nous travaillons à la signature de conventions avec les grandes plateformes, qui reçoivent des signalements ou détectent elles-mêmes des contenus très sensibles. Nous voulons prioriser leur traitement afin d'agir rapidement.
Si les faits d'escroquerie ont fait l'objet d'un déport partiel vers Thésée, les attaques de phishing, ou d'hameçonnage, restent prises en charge par Pharos, qui a reçu plus de 11 000 signalements de ce type en 2022.
M. Loïc Hervé, rapporteur. - Merci pour votre présentation.
Quel bilan qualitatif et quantitatif tirez-vous du droit en vigueur en matière de lutte contre les contenus illicites et contre la criminalité en ligne ? Y a-t-il des mécanismes plus efficaces que d'autres ? Certains gagneraient-ils à être étendus ? À l'inverse, d'autres doivent-ils être abandonnés aujourd'hui, parce qu'ils vous semblent obsolètes ou inadaptés ? Comment s'organise la coopération avec vos partenaires à l'échelle européenne ?
Comment analysez-vous les nouvelles obligations imposées aux plateformes et aux hébergeurs par le Digital Services Act (DSA), ou, en français, le règlement sur les services numériques (RSN) en matière de détection et de mise hors d'accès des contenus illicites ?
Quel sera l'impact, pour l'Office et ses services partenaires, des nouveaux pouvoirs qui seraient conférés à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et à la Commission nationale de l'informatique et des libertés (Cnil) ? Des échanges ont-ils été engagés avec ces autorités pour définir des modes d'action partagés en matière de lutte contre les contenus illicites ?
Quelle est votre analyse du nouveau mécanisme d'évaluation des risques par les plateformes et les moteurs de recherche ? Ces évaluations sont-elles de nature, à terme, à avoir une influence sur les méthodes des services chargés de la lutte contre la criminalité en ligne ?
Comment l'action de l'OCLCTIC, notamment celle des plateformes Pharos et Thésée, s'articulera-t-elle avec les nouvelles « injonctions d'agir contre des contenus illicites » créées par l'article 9 du RSN, avec la « notification des soupçons d'infraction pénale » créée par l'article 18 de ce règlement, ou encore avec le statut nouvellement institué de « signaleur de confiance », prévu à l'article 22 ?
Comment évaluez-vous l'efficacité des nouvelles mesures coercitives créées par le projet de loi, comme l'interdiction d'accès aux sites pornographiques aux mineurs, la peine complémentaire de blocage des comptes d'accès aux plateformes, le renforcement de la lutte contre la pédopornographie, entre autres ? En particulier, comment analysez-vous la nouvelle peine complémentaire de blocage des comptes d'accès aux plateformes ? Je rappelle que l'application de cette peine serait limitée à quelques délits et qu'elle ne toucherait que le compte utilisé pour commettre l'infraction.
Y a-t-il, selon vous, des difficultés ou des lacunes, techniques ou juridiques, qui portent atteinte à l'effectivité de la lutte contre les contenus illicites et qui n'auraient pas été couvertes par le RSN et par le projet de loi ? Cette question est sans doute la plus importante : nous pourrions, le cas échéant, améliorer la qualité juridique du texte et combler ses éventuels manques.
Mme Cécile Augeraud. - Votre première question est très vaste. Les dispositifs existants sont nombreux : nous ne connaissons pas tout le spectre et je ne serai pas en mesure de vous dresser un bilan exhaustif. Les textes en vigueur nous permettent de respecter l'indispensable équilibre entre la sécurisation d'internet et des pratiques proches de la censure - ce qui pourrait, à juste titre, nous être reproché. Nous ne travaillons pas uniquement avec des partenaires français ; certains ont des visions très éloignées des nôtres. Il existe une forte disparité parmi les législations européennes, malgré les avancées du RSN et du règlement Terrorist Content Online (TCO) du 29 avril 2021 ou règlement relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.
Le seul bilan quantitatif que nous sommes en mesure de dresser consiste en la recension des signalements reçus sur Pharos et Thésée. Toutefois, leur contenu est très disparate.
La loi pour la confiance dans l'économie numérique est un outil majeur de notre action quotidienne. De plus, le texte n'a cessé d'évoluer depuis 2004, le plus récemment grâce au règlement TCO et à la lutte contre les sites « miroirs » prévue à l'article 6-3 de la LECN. Ces outils nous permettent de formuler des demandes de retrait sur les contenus faisant l'apologie du terrorisme ou pédopornographiques.
L'article 6-1 de la LCEN nous confère des pouvoirs administratifs importants : nous pouvons ainsi traiter un grand volume d'affaires. Grâce à Pharos, la France est très en avance sur les procédures de retrait par rapport à d'autres pays européens. Cela dit, certains textes en cours d'examen risquent d'alourdir les dispositifs que nous avons l'habitude d'utiliser. Lorsque nous devrons fournir des justifications plus détaillées à chaque demande de retrait, nous ne serons plus en mesure de traiter autant de signalements.
M. Loïc Hervé, rapporteur. - C'est là un point très important. Cette diminution de votre capacité d'intervention - que vous redoutez - est-elle imputable à l'application directe du règlement ou à certaines dispositions du projet de loi ? Quelle aide pourrions-nous vous apporter sur ce point ? Bien sûr, nous devons assurer le respect de certaines garanties, mais nous devons aussi ne pas entamer votre productivité.
Mme Cécile Augeraud. - Le projet de loi n'est en rien responsable de cette situation, bien au contraire. Jusqu'à présent, l'article 6-1 nous conférait une autorité limitée : nous ne pouvions que solliciter le retrait des contenus auprès des hébergeurs. Depuis l'entrée en vigueur du règlement TCO, nous bénéficions désormais d'une injonction de retrait. Il en ira de même pour les affaires pédopornographiques. Ce sont des progrès essentiels : le RSN et le projet de loi nous permettront de gagner en efficacité.
M. Pierre-Yves Lebeau, chef de l'état-major de la sous-direction de lutte contre la cybercriminalité. - Nous devons encore nous approprier les outils découlant du règlement TCO qui seront utilisés au sein d'Europol. Dans quelques années, nous pourrons dresser une première comparaison entre les outils fournis par les agences européennes et les instruments que nous offre le droit français depuis 2015.
Mme Cécile Augeraud. - Il nous est impossible de dresser un bilan aujourd'hui. Nous en sommes encore au stade des discussions pour la proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants, dit règlement ASM. Nous craignons qu'un formalisme excessif ne constitue un frein à notre action.
Mme Laurence Rossignol. - Pourriez-vous être plus précise ?
Mme Catherine Morin-Desailly, présidente. - Je reprends la question : pouvez-vous nous préciser votre mode opératoire ? Quels pourraient être les freins à votre action ? Le futur règlement ASM vous apportera-t-il des moyens complémentaires ?
Mme Cécile Augeraud. - Sur Pharos, des compétences en matière de retrait nous sont octroyées par l'article 6-1 de la loi pour la confiance dans l'économie numérique. Lorsque des contenus pédopornographiques ou à caractère terroriste nous sont signalés, nous pouvons demander le retrait de ces contenus auprès de l'éditeur et de l'hébergeur. Si cette première demande n'est pas exécutée, nous pouvons exiger soit un déréférencement des adresses des sites concernés soit un blocage du site.
Aujourd'hui, le règlement TCO et le nouvel article 6-1-1 nous octroient des pouvoirs plus stricts d'injonction : nous pourrons exiger le retrait dans l'heure d'un contenu à caractère terroriste. Le règlement ASM est lui en cours de discussion, mais les contours de ce texte ne sont pas encore clairement établis ; les discussions, auxquelles nous participons, sont en cours. Nous aimerions que les règles définies par le règlement ASM en matière de pédopornographie soient semblables à celles du règlement TCO en matière de contenus terroristes.
Cela dit, l'article 9 du RSN, relatif à l'injonction d'agir sur les contenus illicites, nous impose de fournir des éléments précis pour motiver nos demandes, ce qui n'est pas le cas actuellement. Aujourd'hui, nous sollicitons le retrait d'un contenu au titre des pouvoirs administratifs dont nous disposons - un pouvoir assez exceptionnel pour des policiers. Bien sûr, nous sommes contrôlés par l'Arcom, via la personnalité qualifiée qui formule des recommandations sur nos actions. Le dispositif actuel, grâce auquel nous pouvons formuler des demandes de retrait en masse, est relativement fluide : en 2022, 89 057 demandes de retrait ont été formulées. C'est un chiffre très important : si chaque demande devait faire l'objet d'une justification précise, nous estimons à ce stade que notre travail serait ralenti.
Mme Catherine Morin-Desailly, présidente. - Vous avez mentionné votre mission de veille. À cet égard, quel est le rôle de la personnalité qualifiée de l'Arcom, Mme Laurence Pécaut-Rivolier ?
Mme Cécile Augeraud. - L'Arcom ne nous adresse pas de signalements : elle contrôle notre action sur les retraits, les blocages et les déréférencements que nous prononçons. Elle formule des recommandations quand elle estime que nos demandes ne sont pas légitimes. Elle a récemment rendu son rapport : le nombre de recommandations est peu élevé. De plus, elle a souligné qu'elle pouvait mener à bien aisément son travail de contrôle a posteriori. Mais peut-être votre question portait-elle sur l'évolution du rôle de l'Arcom dans le projet de loi ?
Mme Catherine Morin-Desailly, présidente. - Ma question portait sur le mode opératoire, notamment pour répondre aux préoccupations de Mme Rossignol. La personnalité qualifiée de l'Arcom participe aussi aux travaux de la cellule de veille ; elle indique identifier chaque année 150 000 contenus pédopornographiques et terroristes. Comment sa surveillance constante se traduit-elle très concrètement dans le suivi des signalements ?
Mme Cécile Augeraud. - Toutes nos demandes de retrait relatives aux contenus pédopornographiques et terroristes font l'objet d'un contrôle a posteriori de l'Arcom qui ne mène pas d'actions de détection.
M. Patrick Chaize, rapporteur. - Que pensez-vous de la création, prévue à l'article 6 du projet de loi, d'un filtre national de cybersécurité à destination du grand public ? Les dispositifs déjà existants de filtrage et de retrait sont-ils suffisamment efficaces ?
Comment l'OCLCTIC et la plateforme Pharos sont-ils associés au déploiement du filtre national de cybersécurité grand public ?
Le champ des infractions visées par la base commune de recensement des sites frauduleux vous semble-t-il adapté et suffisant, notamment en matière d'usurpation d'identité ou de collecte de données ? Des infractions supplémentaires correspondant à d'autres actes de cybermalveillance devraient-elles être ajoutées ?
Vous avez évoqué un risque de ralentissement de votre action en raison des futures règles européennes. En avez-vous déjà mesuré les conséquences sur vos missions ?
Les plateformes Pharos et Thésée font-elles l'objet d'opérations de communication à destination du grand public ? Il me semble que ce point devrait faire l'objet d'améliorations.
Mme Cécile Augeraud. - Le filtre anti-arnaques concernera les deux plateformes, surtout Thésée. La création d'un tel filtre est indispensable, tant les usages numériques et la consommation en ligne ont augmenté depuis la crise sanitaire.
Des filtres existent déjà, notamment Signal Spam, la plateforme 33 700, qui lutte contre les appels et les SMS indésirables ou encore le site cybermalveillance.gouv.fr. Je ne suis pas en mesure d'évaluer ces dispositifs. Cela dit, nous constatons que Pharos a recueilli en 2022 plus de 11 160 signalements de phishing. Pour sa part, Thésée a reçu plus de 120 000 déclarations depuis son ouverture. Il faut donc adapter nos moyens de lutte à l'ampleur du phénomène et au nombre de victimes. Le Gouvernement a déterminé une politique ambitieuse afin de mieux lutter contre la cybercriminalité.
Tel qu'il est prévu aujourd'hui, le dispositif du projet de loi ne prend pas en compte un élément central, à savoir les faux sites de vente qui ne sont pas le « miroir » d'un site existant. Or, grâce à Thésée, nous avons recensé plus de 1 500 faux sites, avec plus de 32 000 plaintes, soit autant de victimes : c'est considérable. Certes, les préjudices sont souvent faibles, mais les conséquences peuvent être dramatiques. En raison de la hausse des prix des matières premières, de nombreux internautes se sont reporté l'hiver dernier sur les sites d'achat de bois, pensant ainsi diminuer leur facture, mais les faux sites avaient fleuri. Or ces victimes connaissaient déjà des difficultés financières.
Nous avons été associés à tous les travaux du filtre anti-arnaques depuis le mois d'octobre, notamment sur la détermination du périmètre. Nous déplorons que le périmètre évoqué initialement n'ait pas été retenu, notamment pour ce qui concerne les faux sites de vente. On ne pourrait en effet traiter que les faux sites de vente usurpant l'identité de vrais sites. Ces affaires ne représentent qu'une part très limitée des infractions constatées sur Thésée, puisque nous n'avons enregistré que quarante cas de faux sites depuis sa création en mars 2022.
M. Loïc Hervé, rapporteur. - Pourquoi ?
Mme Cécile Augeraud. - Sans doute s'agit-il d'une volonté de tester le filtre anti-arnaques avant d'envisager, dans un second temps, un élargissement de son périmètre.
Dans la mesure où le règlement TCO vient juste d'entrer en vigueur et que la proposition de règlement ASM n'en est qu'au stade des discussions, je ne suis pas capable d'évaluer les dispositifs qu'ils contiennent ni d'apprécier l'impact qu'ils auront sur Thésée.
Nous cherchons à développer la communication à l'égard du grand public. Vu le nombre de signalements reçus sur Pharos, il n'est pas possible de faire un retour à chaque personne, et ce ne sera pas possible demain non plus. En revanche, une communication plus globale, par thèmes, sur le nombre de retraits de contenus que nous avons obtenus ne peut qu'accroître la notoriété de la plateforme.
Mme Annick Billon. - La délégation aux droits des femmes a travaillé sur l'industrie de la pornographie. Avec Laurence Rossignol, Alexandra Borchio Fontimp et Laurence Cohen, nous avons publié un rapport sur le sujet. Il existe une porosité entre pornographie, prostitution et proxénétisme. Certaines vidéos comportent des actes d'inceste, de barbarie, de racisme, de viol, etc. Il n'est pas nécessaire de visionner les vidéos, la seule lecture des titres et des rubriques des sites pornographiques suffit. La lutte contre les violences pornographiques est insuffisante. Pensez-vous que la création d'une troisième branche au sein de Pharos consacrée aux tortures, aux actes de barbarie et aux violences sexuelles serait utile pour augmenter le nombre de signalements et mieux agir contre ces images illicites ?
Notre arsenal législatif doit-il être complété pour qualifier ces vidéos pornographiques qui mettent en scène, conformément d'ailleurs souvent à la réalité du tournage, des actes de torture, de barbarie ou de viol ? Nous avions proposé d'assermenter les agents de l'Arcom afin de leur permettre de constater eux-mêmes les infractions commises par les sites pornographiques accessibles aux mineurs. Est-ce suffisant pour accélérer les procédures de retrait ou de blocage de ces sites ? Les moyens de l'Arcom sont-ils suffisants selon vous pour répondre à toutes vos demandes dans un temps limité ?
Deux affaires sont en cours devant la justice grâce à l'action des associations : les affaires « French Bukkake » et « Jacquie et Michel ». Disposez-vous des moyens d'enquête suffisants pour avancer sur ces sujets ?
Mme Laurence Rossignol. - Comment définissez-vous la pédocriminalité ? Quels critères retenez-vous ? Faites-vous une distinction entre pédocriminalité et pédopornographie ? Enfin, existe-t-il une convergence au niveau européen sur ces sujets, sur la définition de la pédocriminalité et sur la volonté de purger le net, autant que possible, de ces vidéos ?
M. Laurent Somon. - Comment travaillez-vous avec la gendarmerie, qui a mis en place une application Gend'Élus, laquelle renvoie vers d'autres sites comme cybermalveillance.gouv.fr ou stop-djihadisme.gouv.fr, ou avec la DGCCRF, qui anime le site info-conso.fr ?
M. Pierre-Antoine Levi. - Le projet de loi prévoit d'alourdir les sanctions contre le cyberharcèlement, avec notamment une peine complémentaire de bannissement des réseaux. Pourriez-vous nous donner plus de détails sur la manière dont l'Office compte faire appliquer ces bannissements ? Quels mécanismes seront mis en place pour garantir le respect de ces interdictions ? Enfin, comment envisagez-vous de travailler avec les plateformes de médias sociaux et les autres acteurs pour assurer l'efficacité de ces mesures ?
Mme Cécile Augeraud. - La sémantique est importante. En France, nous avons toujours parlé de pédopornographie et de contenus à caractère pédopornographique. Nous constatons un glissement de langage vers la pédocriminalité. Quoi qu'il en soit, il s'agit toujours d'actes délictuels. Tous les contenus visibles en ligne présentant des actes à caractère sexuel impliquant des mineurs ont un caractère illicite.
Vous avez dit qu'il n'était pas nécessaire de regarder certaines vidéos pour se convaincre de leur caractère illicite, dans la mesure où leur titre serait suffisamment explicite. Certes, mais, en tant que policiers, nous devons les visionner pour pouvoir caractériser les faits.
Nos moyens d'enquête sont importants : ils nous permettent de mener aussi bien des enquêtes sur le fondement des signalements qui nous sont adressés en matière de pédopornographie ou de pédocriminalité, que des enquêtes sous pseudonyme, puisqu'un certain nombre de nos agents sont habilités à procéder à ce type d'investigation visant à détecter des comportements illicites impliquant des mineurs sur les réseaux sociaux. Nous avons ainsi réussi, dans certaines affaires, à faire condamner des individus jusque-là inconnus des services d'enquête.
Les affaires que vous avez citées ne sont pas du ressort de Pharos. L'une d'entre elles a été traitée par la section de recherches de Paris. Pharos n'est pas un service d'enquête de dernier niveau. Notre rôle est d'amorcer les enquêtes afin d'identifier les individus qui se cachent derrière tel ou tel pseudonyme sur internet, afin de pouvoir transmettre ensuite le dossier au service de police ou de gendarmerie territorialement compétent.
Certains de nos voisins européens, notamment les Pays-Bas, ont une définition plus limitée de la pédocriminalité et de la pédopornographie, ce qui aboutit parfois à des divergences de points de vue sur les contenus susceptibles d'être retirés. On l'a constaté dans une affaire concernant des hébergeurs de contenus manifestement pédopornographiques installés aux Pays-Bas : l'appréciation des autorités néerlandaises était très différente de la nôtre. Il n'y a donc pas d'homogénéité au niveau européen, même s'il existe un consensus global sur le caractère intolérable de la diffusion de contenus pédopornographiques en ligne. On obtient ainsi des retraits de contenus dans 95 % des cas.
Notre action est essentiellement concentrée sur la pédopornographie : en 2022, sur les 89 000 demandes de retrait, 83 % d'entre elles concernaient la pédopornographie.
Sur les moyens de l'Arcom, je ne me permettrai pas de répondre pas en lieu et place de Laurence Pécaut-Rivolier. L'Arcom est la seule apte à juger des moyens qui sont mis à sa disposition.
Mme Catherine Morin-Desailly, présidente. - Mme Pécaut-Rivolier est bien seule !
Mme Cécile Augeraud. - Effectivement, mais elle est entourée de personnes auxquelles nous apportons notre concours et que nous rencontrons régulièrement. Ses équipes sont, comme les miennes, soumises à la difficulté de visionner en permanence des contenus très difficiles. J'y insiste, pour les policiers c'est tout aussi difficile que pour les membres de l'Arcom. Je rappelle que les personnels de Pharos font l'objet d'un suivi psychologique obligatoire.
La plus grande difficulté de l'Arcom, c'est de visionner l'ensemble des contenus. Cette autorité joue pleinement son rôle de contrôle et vérifie chaque contenu pour lesquels nous sollicitons un retrait - et le volume est très important. Pour que les équipes puissent déconnecter de temps en temps, il faut qu'elles soient en effectifs suffisants.
Mme Catherine Morin-Desailly, présidente. - Nous avons auditionné longuement Mme Pécaut-Rivolier, nous connaissons bien le sujet.
Mme Annick Billon. - En lien avec la question de Patrick Chaize sur l'information de Pharos à destination du public, les rubriques de la plateforme sont-elles suffisamment explicites ? D'autres rubriques devraient-elles être créées pour de meilleurs signalements ?
Mme Cécile Augeraud. - Nous avons modifié en avril 2022 l'interface de Pharos pour la rendre plus ergonomique. Nous avons également simplifié, à la demande d'un certain nombre d'internautes, de parlementaires et de partenaires, certaines rubriques. Nous créons une nouvelle rubrique lorsqu'émerge un besoin particulier non couvert par les rubriques existantes. Je pense notamment à la dernière que nous venons d'ajouter, celle liée à la maltraitance animale. L'ensemble des rubriques semble pouvoir répondre aux demandes d'une grande majorité d'internautes. Le nombre de signalements sur la plateforme en est la preuve.
Mme Laurence Rossignol. - Je vous ai demandé quels étaient les critères pour établir la pédocriminalité ou la pédopornographie - je constate comme vous, le glissement de vocabulaire qui crée une certaine confusion. Est-ce la présence d'un mineur de moins de 18 ans ? Pour être très claire, lorsque vous avez été auditionnée devant le Haut Conseil à l'égalité, vous avez indiqué que l'identification de la minorité se faisait sur des critères d'apparence, liés à des signes de puberté. Est-ce bien cela ? Votre réponse a suscité bon nombre d'interrogations chez les personnes engagées dans la lutte contre la pédopornographie. Mais peut-être y a-t-il eu un malentendu dans la manière dont les choses ont été perçues et retranscrites ?
Mme Cécile Augeraud. - Lors de cette audition, j'ai dit que nous appliquions les critères définis par Interpol, qui héberge la plateforme recensant la majorité des images à caractère pédopornographique. Lorsque nous avons de nouveaux contenus à caractère pédopornographique, nous les transmettons pour alimenter la plateforme d'Interpol.
Nous nous fondons donc sur ces critères, dont celui que vous venez d'évoquer, mais nous ne nous contentons pas de ça. Comme je l'ai expliqué, Pharos fait un travail proactif, complété par de la recherche en sources ouvertes. Les policiers ou gendarmes de la plateforme essayent de retrouver en source « ouverte » des images des jeunes filles ou jeunes garçons mis en scène dans les vidéos dont nous disposons afin d'obtenir des éléments permettant de déterminer leur âge. Quand nous avons un doute extrêmement sérieux, nous contactons Europol, Interpol, et nous travaillons en concertation avec l'Office central pour la répression des violences aux personnes qui traite de tout ce qui relève de la pédocriminalité - un office « mineurs » est en cours de création.
Sur les arnaques commerciales, Gend'Élus est un outil parmi tant d'autres. Nous avons une démarche collective et guidée. Nous considérons qu'une victime ne doit pas avoir à chercher l'endroit où elle pourra faire son signalement ou son dépôt de plainte. Nous travaillons avec de très nombreux partenaires - avec la gendarmerie nationale bien sûr, puisqu'elle est partie prenante à la plateforme Pharos, mais également avec le site cybermalveillance.gouv.fr, la DGCCRF, etc. Le site cybermalveillance.gouv.fr renvoie vers Thésée et Pharos, tout comme le site masecurite.interieur.gouv.fr, commun à la police et à la gendarmerie. La démarche de la victime est guidée pour qu'elle n'ait pas à tout recommencer si elle s'est trompée de site.
Le travail en collaboration avec la DGCCRF est très profitable pour nous. Elle est, avec cybermalveillance.gouv.fr, l'un des premiers partenaires pour Thésée, puisque ses personnels font un travail de recensement et de détection et qu'ils initient une sorte de travail d'enquête, même si leurs moyens restent limités. Ils nous ont aidés à aboutir sur des enquêtes, et nous les aidons également dans leurs démarches.
Sur le bannissement des réseaux, celui-ci se fera sur le fondement d'une décision judiciaire. L'avantage de cette mesure, c'est qu'elle permet de supprimer non pas seulement le compte concerné, mais l'ensemble des comptes qui pourraient être créés sur une plateforme. L'inconvénient, c'est le non-échange entre les différents réseaux sociaux. Pour davantage d'efficience, il faudrait bannir la personne sur l'ensemble des réseaux à un instant T, car il est extrêmement facile d'aller recréer un compte ailleurs.
Il faudrait lutter de manière plus importante contre l'utilisation d'adresses mails jetables et d'adresses IP Tor, associée à des numéros virtuels Onoff. Autant de dispositifs qui visent à camoufler une identité et qui complexifient considérablement notre action. S'il semble impossible d'interdire complètement l'utilisation de ces dispositifs - certaines personnes ont besoin d'anonymat -, il faudrait peut-être soumettre cette utilisation à la justification d'un besoin d'anonymat. Certaines plateformes et certains réseaux sociaux sont plus coopératifs que d'autres.
M. Patrick Chaize, rapporteur. - Si l'on imposait une identité numérique réelle à tous les sites, réglerait-on une grande partie du problème ?
Mme Cécile Augeraud. - Je le pense, mais c'est sûrement un voeu pieux. Il me semble assez difficile d'imposer une telle régulation : elle pourrait être assimilée à une censure trop importante. Néanmoins, l'utilisation cumulée et régulière de tous les dispositifs que j'ai cités est un véritable sujet.
M. Pierre-Yves Lebeau. - Le projet de loi prévoit le bannissement des individus multirécidivistes de la diffusion de contenus illicites. Les plateformes et les réseaux sociaux voient arriver la création de certains comptes à l'aide des outils qui permettent de s'anonymiser, tels que Tor et les adresses e-mail jetables. Ils peuvent être proactifs, mais encore ont-ils besoin d'une sécurité juridique pour empêcher la création de nouveaux comptes utilisés pour commettre des infractions.
Mme Catherine Morin-Desailly, présidente. - Je vous remercie pour le très bon travail que vous faites. J'ai pu constater que la France est à la pointe sur ce sujet au niveau européen.
Cette réunion a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 00.
Jeudi 8 juin 2023
- Présidence de Mme Catherine Morin-Desailly, présidente -
La réunion est ouverte à 14 h 35.
Audition de M. Jean-Noël Barrot, ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications
Mme Catherine Morin-Desailly, présidente. - Messieurs les rapporteurs, chers Loïc Hervé et Patrick Chaize, mes chers collègues membres de la commission spéciale, nous sommes aujourd'hui réunis pour recevoir Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications.
Monsieur le ministre, je vous remercie d'avoir pu vous rendre disponible dans un délai assez court pour venir présenter devant les membres de notre commission spéciale ce projet de loi que vous allez porter devant nous dans quelques semaines.
Monsieur le ministre, le Sénat a choisi de constituer une commission spéciale sur ce texte. Elle rassemble des membres de toutes les commissions permanentes, ce qui est assez rare. C'est dire la transversalité du sujet et cela met en exergue le fait que les sujets présents dans votre texte remplissent un large espace qui mobilise toutes les compétences du Sénat.
Ces compétences, justement, je crois que vous avez pu largement les mesurer dans le domaine du numérique. Notre assemblée a été très active dans le cadre des négociations sur les projets de règlement sur les services et les marchés numériques, avec des résolutions européennes adoptées à l'unanimité. Le Sénat a également apporté des contributions décisives au débat sur la protection de l'enfance, avec le rapport sur l'industrie pornographique de la Délégation aux droits des femmes et une nouvelle résolution européenne sur les abus sexuels sur les enfants, ou encore sur la souveraineté économique, avec le rapport de juillet 2022 de la commission des affaires économiques.
Le Sénat appelle de ses voeux une réelle régulation d'Internet, non seulement pour des raisons de souveraineté nationale et européenne, mais aussi pour donner un cadre à un espace qui fait souvent figure de véritable jungle, avec de graves dysfonctionnements : harcèlement sur des enfants, cybersécurité, pornographie, manipulation d'informations, attaques contre le secteur économique....
Je crois pouvoir dire que la voix du Sénat a été entendue, et nous reconnaissons dans les règlements européens et dans le projet de loi de nombreux éléments que nous avions défendus. Nous aurions aimé aller plus loin, mais c'est déjà un motif de satisfaction.
Vous devez, mais je crois que vous y prendrez plaisir, vous attendre à un débat de fond avec de vrais experts, à commencer par les rapporteurs, un débat comme le Sénat sait les mener, et qui nous permettra de donner une nouvelle preuve de la cohérence de nos positions.
Je vous propose donc l'organisation suivante pour nos débats : je vais vous laisser une dizaine de minutes pour nous présenter les grandes lignes de votre projet de loi, puis je donnerai la parole successivement à Patrick Chaize et Loïc Hervé, nos deux rapporteurs, pour des questions. L'ensemble des membres de la commission spéciale pourra alors engager le dialogue avec vous.
Je précise que nos débats sont retransmis en direct sur le site du Sénat.
Monsieur le ministre, je vous donne la parole.
M. Jean-Noël Barrot, ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications. - Merci beaucoup madame la présidente. Messieurs les rapporteurs, mesdames et messieurs les sénateurs, c'est un grand honneur et un grand plaisir d'être parmi vous aujourd'hui. Je vous remercie pour votre invitation, notamment la présidente Catherine Morin-Desailly, ainsi que les rapporteurs Patrick Chaize et Loïc Hervé.
La commission spéciale qui s'est constituée est une assemblée d'experts dont les travaux ont fortement nourri ce projet de loi. Je pense particulièrement aux travaux sur l'industrie de la pornographie (chantier transpartisan d'ampleur), qui ont souligné le potentiel de régulation du secteur. Un grand nombre des recommandations ont été reprises dans le projet de loi. Je remercie Alexandra Borchio Fontimp, Annick Billon, Laurence Rossignol et Laurence Cohen pour leurs travaux. Je voudrais également saluer les rapports de Mme Florence Blatrix Contat et de la présidente, notamment sur les enjeux et les ambitions relatifs au règlement DSA (règlement sur les services numériques et sur les marchés numériques), ainsi que le travail de Sophie Primas sur les enjeux et propositions d'action en vue d'accroître notre souveraineté numérique, notamment sur le marché de l'hébergement en nuage.
Je pourrai citer également les travaux de :
- Rémi Cardon et d'Anne-Catherine Loisier sur la cybersécurité ;
- Catherine Morin-Desailly, Patrick Chaize, Loïc Hervé, Sylvie Robert et Pierre Ouzoulias sur les sujets de concurrence et de souveraineté économique ;
- Alexandra Borchio Fontimp, Marie Mercier, Xavier Iacovelli et Pierre-Jean Verzelen en matière de lutte contre la haine en ligne ;
- Sylviane Noël sur le contrôle parental ;
- André Gattolin, Catherine Morin-Desailly, Cyril Pellevat et Elsa Schalck sur l'intelligence artificielle, qui constituent un autre sujet d'actualité, même s'il n'est pas traité directement dans le texte.
L'insécurité que nos concitoyens rencontrent au quotidien sur internet sape leur confiance dans le numérique. Tous les Français sont concernés, particulièrement les plus vulnérables. Nos concitoyens les plus modestes, les plus âgés, les plus éloignés du numérique sont les proies privilégiées des cybercriminels. Nos enfants subissent en ligne des attaques brutales contre leur innocence. Nos entreprises également - que la loi du plus fort place dans la dépendance des géants du numérique -, sont concernées, ainsi que notre démocratie dans son ensemble, soumise aux coups de boutoir incessants des professionnels de la désinformation.
Face à l'accumulation de ces désordres, qui viennent parfois questionner, aux yeux de nos concitoyens, la pertinence de la transition numérique, la France a montré la voie, ces dernières années, au plan national, à travers des textes pris pour lutter contre la désinformation ou protéger l'enfance en ligne. Au niveau européen, la France, notamment, a porté des projets de règlement. Au niveau international, notre pays a pris part à des initiatives multipartites comme l'appel de Christchurch ou le Forum de Paris sur la paix, qui ont permis, à défaut d'ériger des règles contraignantes, d'éveiller la conscience mondiale sur certaines de ces questions.
Avec ce projet de loi, que la Première ministre a souhaité inscrire à l'ordre du jour parlementaire avant l'été, et qui a vocation à être enrichi et renforcé au Parlement, l'objectif est d'apporter des réponses concrètes aux inquiétudes, aux difficultés et aux souffrances que le numérique peut parfois causer dans la vie quotidienne de nos concitoyens.
Ce projet de loi s'est formé à partir des trois affluents que vous avez rappelés, madame la présidente.
Il s'agit d'abord des règlements européens que la France a portés l'an dernier, lorsqu'elle présidait l'Union européenne, pour mettre fin aux abus du numérique, qui nécessitent que nous prenions des mesures d'adaptation afin qu'ils puissent correctement s'appliquer dans notre pays. Le règlement sur les services numériques (DSA) fait entrer les grandes plateformes dans l'ère de la responsabilité :
- en leur imposant des obligations de modération des contenus qui leur sont signalés ;
- en leur enjoignant à analyser et corriger le risque systémique qu'elles font peser sur le bien-être et la santé de leurs utilisateurs ainsi que sur la qualité du débat public ;
- en leur interdisant de proposer de la publicité ciblée sur les mineurs, notamment ;
- en les contraignant à faire auditer leurs algorithmes et à ouvrir leurs données aux chercheurs.
Certaines des dispositions prévues par ce règlement ont d'ores et déjà été mises en oeuvre par les géants du numérique. Il s'agit d'un compromis européen qui n'est peut-être pas allé aussi loin que ce que la France aurait souhaité, mais qui a la force du compromis européen. Il prévoit un régime de sanctions extrêmement lourd en cas de manquements par les entreprises concernées par ces obligations, avec des amendes pouvant aller jusqu'à 6 % du chiffre d'affaires mondial et une exclusion de l'Union européenne en cas de manquements répétés.
Le règlement sur les marchés numériques (DMA) a pour objet de rétablir l'équité commerciale dans l'économie numérique et de favoriser ainsi l'émergence d'acteurs français et européens, en fixant 26 interdictions qui correspondent à des pratiques commerciales déloyales. C'est le cas par exemple de l'auto-préférence qui consiste, pour l'éditeur d'un moteur de recherche, par exemple, à faire remonter plus haut dans les résultats des contenus produits par une entreprise avec laquelle cet éditeur de moteur de recherche est lié. Cette pratique est déloyale. Elle sera désormais interdite.
Un autre exemple est la pratique qui consiste, pour le vendeur d'un smartphone, à y préinstaller le moteur de recherche, le navigateur et l'assistant personnel. Il y a là une pratique déloyale, puisque c'est de la vente liée. Un autre éditeur d'un moteur de recherche ne peut alors prendre pied sur le marché, tant celui-ci est verrouillé.
Citons aussi l'utilisation à des fins publicitaires, par l'éditeur d'un réseau social, de contenus ou de données collectés sur un autre service édité par la même entreprise du numérique. Il y a là aussi une forme d'accaparement du marché et donc une pratique commerciale déloyale.
Auparavant, ces pratiques déloyales étaient constatées et sanctionnées a posteriori, souvent des années plus tard, par les autorités de la concurrence. Désormais, les 26 interdictions sont faites par le règlement a priori, sans attendre un délai éventuel de plusieurs années d'instruction de la plainte.
Il faut également souligner la puissance des sanctions, qui peuvent atteindre 10 % du chiffre d'affaires mondial la première fois, puis 20 % en cas de manquements répétés.
Les travaux parlementaires (députés et sénateurs de toutes les sensibilités politiques) ont également nourri ce projet de loi. Je citais tout à l'heure le rapport d'Annick Billon, Alexandra Borchio Fontimp, Laurence Cohen et Laurence Rossignol sur l'exposition des mineurs à la pornographie. Je voudrais citer également le rapport d'Amel Gacquerre, Franck Montaugé et Sophie Primas sur la souveraineté économique. Il comporte un chapitre dédié à la souveraineté numérique et a inspiré les mesures concernant le marché du cloud.
Le troisième affluent réside dans les consultations menées, notamment dans le cadre du Conseil national de la Refondation. Le texte instaure des protections nouvelles pour nos concitoyens, pour nos enfants, nos entreprises et collectivités et pour la démocratie.
Au chapitre des mesures visant à protéger nos concitoyens figure notamment le filtre anti-arnaques, qui servira de rempart contre les campagnes de mails et de SMS frauduleux. Nous avons tous reçu un SMS prétendument du Compte personnel de Formation ou de la Sécurité sociale nous invitant à suivre un lien malveillant. C'est ainsi que 18 millions de Français ont été victimes de cybercriminalité l'an dernier, dont la moitié ont perdu de l'argent. Ce sont les Français les plus fragiles, les plus démunis, les plus éloignés du numérique qui se retrouvent spoliés de leurs économies ou entraînés dans la spirale infernale de l'usurpation d'identité, dont ils mettent parfois une décennie à pouvoir sortir. Il faut donc couper le mal à la racine et dévitaliser le commerce de ces mafias qui se sont professionnalisées, et qui ont fait de nos smartphones et tablettes l'instrument de leur racket.
Une peine complémentaire de bannissement des réseaux sociaux est également prévue, durant six mois, pour les personnes reconnues coupables par le juge de cyberharcèlement. Ce phénomène, comme vous le savez, se développe massivement. Il touche toutes les catégories d'âge, plus particulièrement les femmes, qui sont 27 fois plus exposées au cyberharcèlement que les hommes. C'est une violence dont nos consultations ont montré qu'elle se délocalise dans l'espace physique, puisque le cyberharcèlement peut muter en harcèlement physique alors qu'il a commencé sur les réseaux sociaux. Les responsables sont une minorité d'internautes qui se comportent en chefs de meute et propagent la haine et la violence sur les réseaux sociaux, en désignant à leur communauté des victimes vers lesquelles ils déclenchent des raids de haine et de violence. Cette mesure les frappera là où cela fait mal, en les privant de leur caisse de résonance, en confisquant leur notoriété. À l'image de l'interdiction de stade, elle préviendra la récidive. C'est donc une peine complémentaire à une condamnation pour cyberharcèlement, pour une durée de six mois portée à un an en cas de récidive.
Je citerai un troisième exemple des mesures de protection de nos concitoyens instaurées par ce texte, à travers l'encadrement des nouveaux types de jeux en ligne. L'objectif est de définir un régime pionnier et protecteur des utilisateurs pour l'encadrement des jeux numériques fondés sur une technologie émergente du web 3, c'est-à-dire des registres distribués (blockchain) qui offrent les garanties nécessaires de protection des mineurs, de lutte contre le blanchiment et de lutte contre le financement du terrorisme, tout en permettant le développement en France de ce type d'activité.
Au chapitre de la protection de nos enfants, deux mesures sont prévues. Il s'agit d'abord du blocage, du déréférencement et d'amendes dissuasives prononcées par l'Arcom à l'encontre des sites pornographiques qui ne vérifient pas l'âge de leurs utilisateurs. Vous avez pu prendre connaissance comme moi de la publication de l'Arcom, il y a quelques jours, confirmant que deux millions d'enfants sont exposés chaque mois, dans notre pays, à des contenus pornographiques. À douze ans, la moitié des garçons de notre pays sont exposés à ces contenus dont nous voulons les préserver, tant les conséquences de cette exposition sont majeures sur leur santé (troubles du sommeil, troubles de l'attention, troubles de l'amélioration, développement de conduites à risque, hypersexualisation précoce, pour ne citer que ces conséquences possibles).
Les sites pornographiques ne vérifient en effet pas l'âge de leurs utilisateurs, malgré l'obligation qui leur est faite par la loi du 30 juillet 2020.
Il faut donc soustraire nos enfants au déferlement d'images pornographiques en accès libre sur internet, déversées par des mercenaires cupides et irresponsables qui considèrent que les recettes publicitaires valent mieux que la santé de nos enfants. Une procédure est en cours. Le tribunal judiciaire de Paris rendra son verdict le 7 juillet prochain dans le cas de cinq sites pornographiques. Pour l'avenir, les mesures prévues par le projet de loi permettront d'agir plus vite et plus fort.
Une peine d'un an d'emprisonnement est également prévue, complétée par 250 000 euros d'amende, pour les hébergeurs qui ne retireront pas les contenus pédopornographiques qui leur sont signalés par la police ou la gendarmerie en moins de 24 heures, sur le modèle de la sanction qui s'applique en cas de non-retrait des contenus terroristes. Il existe aujourd'hui une obligation inscrite dans le droit, mais elle n'est pas sanctionnée par des peines, alors même qu'il s'agit d'un phénomène assez massif. Vos auditions passées et à venir vous confirmeront que l'an dernier, 72 000 demandes de retrait de contenus pédopornographiques ont été adressées aux hébergeurs, ce qui est considérable.
Pour les entreprises, le texte prévoit l'interdiction des frais de transfert, l'encadrement des avoirs commerciaux et l'interopérabilité sur le marché de l'informatique en nuage et de l'hébergement en nuage, c'est-à-dire le marché du cloud. Celui-ci est très concentré entre les mains d'une poignée d'entreprises qui abusent de leur position dominante, se livrent à des pratiques commerciales déloyales et placent nos entreprises dans une position d'assujettissement. Il faut en finir avec la loi du plus fort et libérer nos entreprises de ce joug. C'est un enjeu de souveraineté, ce qui constitue une priorité de l'action que nous menons avec Bruno Le Maire et l'une du Sénat également, je crois, à la lueur des rapports rendus sur ce sujet. J'ai fait référence à un certain nombre d'entre eux dans mon introduction. Inspirée par les travaux parlementaires, cette mesure permettra aux entreprises françaises de changer beaucoup plus facilement de fournisseur de cloud et de retrouver une forme de liberté en faisant jouer la concurrence.
Pour nos collectivités, il est prévu la création d'une base de données unique pour recenser l'activité des meublés de tourisme. Cette mesure pérennise une expérimentation initiée par la loi Elan, qui a associé cinq collectivités et cinq plateformes de location. Elle a vocation à permettre aux collectivités de mesurer de façon beaucoup plus simple la durée de location des meublés de tourisme sur leur territoire, de façon à faire respecter la limite des 120 nuitées par an.
Sur le plan de la protection de la démocratie, la capacité sera donnée à l'Arcom de mettre en demeure et d'ordonner le blocage des sites internet diffusant des médias frappés par les sanctions internationales, comme celles que l'Union européenne a prises contre RT France et Sputnik. La désinformation sur internet est une des menaces les plus lourdes qui pèsent sur la démocratie. Nous l'avons vu avec l'assaut sur le Capitole aux États-Unis et avec la montée des mouvements « antivax » qui aurait pu aggraver la situation sanitaire. Cette mesure complétera notre arsenal pour lutter efficacement et rapidement contre la propagande des ennemis de la démocratie, même si, en matière de lutte contre la désinformation, il faut toujours agir avec la main tremblante et dans le respect de la liberté d'expression.
Ce texte emprunte à vos travaux et a vocation à être enrichi par les travaux de cette commission spéciale et les travaux en séance. Nous soutiendrons des propositions qui pourraient naître dans ce cadre, avec deux lignes rouges. La première sera le respect des compromis trouvés au niveau européen : c'est grâce à ces compromis que nous allons obtenir collectivement des concessions très significatives des géants du numérique. En contrepartie de ces compromis, lorsque, au niveau des États membres, des dispositions sont adoptées et empiètent sur le champ de ces compromis européens, elles deviennent fragiles, car elles peuvent alors être contestées devant les juridictions européennes, qui ont donné raison de façon constante aux plaignants dans de tels cas.
Par ailleurs, face aux drames parfois vécus par nos concitoyens, nous pourrions être tentés d'aller très loin dans les protections que nous souhaitons instaurer dans l'espace numérique. Il nous faut être vigilants à ne pas aller trop loin dans l'empiètement sur les libertés fondamentales, qui constituent le socle de notre démocratie. Connaissant la sagesse du Sénat et son attachement aux libertés fondamentales, je suis convaincu que vous saurez améliorer, par vos travaux, le projet de loi qui vous est soumis.
Mme Catherine Morin-Desailly, présidente. - Merci, monsieur le ministre. Soyez assurés qu'au Sénat, nous tentons toujours de trouver le juste équilibre. Nous sommes attachés à la rigueur, mais aussi aux libertés fondamentales. Nous avons également bien conscience des limites de l'exercice, s'agissant de règlements européens d'application directe, mais souhaitons malgré tout travailler le mieux possible à l'amélioration du texte présenté ici.
Patrick Chaize va d'abord aborder le volet économique du projet de loi.
M. Patrick Chaize, rapporteur. - Vous indiquez, monsieur le ministre, que nous sommes dans un jeu d'équilibre entre la stricte adaptation du droit national aux règlements européens, alors que la communication gouvernementale se concentre sur les dispositifs nouveaux. Pouvez-vous nous préciser le périmètre que vous souhaitez donner à ce projet de loi, du fait de ces deux contraintes ?
Je vais poser une série de questions sur le filtre national de cybersécurité grand public. Le dispositif déjà existant de filtrage et de retrait des contenus illicites est-il suffisamment efficace ? Qu'est-ce qui justifie la mise en place d'un nouveau dispositif de filtrage des contenus pour les actes quotidiens de cybermalveillance ?
Pourquoi avoir choisi un dispositif de filtrage des contenus ordonné par voie administrative plutôt que par voie judiciaire ?
Le champ des infractions visées par ce dispositif vous semble-t-il adapté et suffisant ? Des infractions supplémentaires correspondant à d'autres actes quotidiens de cybermalveillance devraient-elles être ajoutées ?
Quelle sera l'autorité administrative désignée pour constater les infractions et notifier la mise en oeuvre des mesures conservatoires ? Plusieurs autorités administratives seront-elles concernées et si oui, lesquelles ?
Que pensez-vous de la désignation de la CNIL comme garante du caractère proportionné et justifié des mesures prises par l'autorité administrative ?
M. Jean-Noël Barrot, ministre. - S'agissant du périmètre du texte, des mesures d'adaptation du droit national devaient être prises, afin que les règlements sur les marchés numériques, sur les services numériques et sur la gouvernance des données puissent être appliqués. Il ne faut pas sous-estimer l'importance de ces règlements, qui ont fait l'objet de travaux dans lesquels la France a joué un rôle moteur, et qui permettent de changer la donne, à condition qu'ils soient mis en oeuvre. Nous avons des échanges réguliers avec la Commission européenne, qui sera en première ligne pour les faire appliquer. Le poids du Marché unique est le seul susceptible de faire réellement évoluer les pratiques des géants du numérique. Le mérite de ces règlements est d'utiliser la force du Marché unique pour obtenir des concessions significatives de ces acteurs ou en tout cas une mise en conformité avec nos valeurs.
Si nous régulions en ordre dispersé dans l'Union européenne, les géants du numérique se joueraient des disparités nationales de nos régulations et procéderaient à des arbitrages en conséquence, ce qui pourrait favoriser par exemple des pratiques de dumping. Nous ne parviendrions pas à faire fondamentalement changer un certain nombre de pratiques, par exemple en matière de responsabilité sur les réseaux sociaux ou en matière d'équité commerciale.
Les dispositifs existants de filtrage et de retrait des contenus existants ont prouvé leur efficacité. La représentation nationale se penche régulièrement sur ces dispositifs, qu'ils opèrent par voie administrative ou judiciaire. Ils visent tous à protéger les internautes contre différentes catégories de contenus (contenus haineux, atteintes aux personnes, atteintes au droit d'auteur, apologie du terrorisme, désinformation en période électorale, etc.).
Cependant, aucun dispositif existant ne permet de couvrir le périmètre et l'objet de ce filtre national de cybersécurité, à savoir les sites intrinsèquement et ontologiquement cybermalveillants, créés par des cybercriminels pour leur permettre de conduire des opérations d'hameçonnage, c'est-à-dire de pillage des données personnelles ou d'injection de logiciels malveillants dans des terminaux pour détourner des moyens de paiement. Tel est l'objectif qui différencie le filtre anti-arnaques des dispositifs de filtrage existants.
Nous avons effectivement prévu un dispositif de filtrage par voie administrative plutôt que par voie judiciaire. Nous nous sommes basés sur une analyse précise et éclairée des phénomènes que nous souhaitions endiguer, ainsi que sur des comparaisons internationales. Aujourd'hui, une campagne d'hameçonnage s'orchestre en quelques clics et touche plusieurs centaines de milliers de nos concitoyens en quelques jours. Si vous avez reçu il y a quelques semaines de tels messages, je vous invite à cliquer sur les liens de ces faux SMS. Bien souvent, quelques jours après la réception du message, le site est d'ores et déjà désactivé : une fois que le cybercriminel a touché suffisamment de comptes, il fait disparaître le site. Il faut donc agir très rapidement, d'où la voie administrative, tout en entourant le dispositif de toutes les garanties et précautions requises. C'est la raison pour laquelle nous avons procédé à la rédaction de cet article.
Quant au champ des infractions visées, notre objectif a été double : nous inscrire dans les canons de la jurisprudence constitutionnelle, en prévoyant un champ d'application précis, afin de minimiser le risque d'atteinte aux libertés protégées par la Constitution. On va automatiquement rediriger des internautes vers une page sécurisée. Il s'agit aussi de nous conformer de la façon la plus stricte à l'esprit de la mesure : il s'agit d'un outil de protection cyber, qui doit donc être limité à la lutte contre la cybercriminalité. Tel est le sens des infractions que nous avons retenues, généralement mobilisées par le juge lorsqu'il est saisi dans une affaire d'hameçonnage. Quant à savoir s'il faut en ajouter d'autres, nous sommes ouverts à la réflexion, à condition que cela ne dénature pas le dispositif, qui n'a pas vocation à filtrer de façon aveugle tous les contenus à problèmes sur internet, mais bien ceux qui visent à piller les internautes de leurs données personnelles ou bancaires.
S'agissant de l'autorité administrative désignée pour constater les infractions, le champ d'application du dispositif porte sur des objets qui sont parfois à cheval sur les compétences de plusieurs autorités administratives. Dès lors, plusieurs de ces autorités seront sollicitées. Je pense à l'ANSSI (Agence nationale de sécurité des systèmes d'information), au GIP ACYMA (Action contre la cybermalveillance), à la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes), au COMCyberGend (Commandement de la gendarmerie dans le cyberespace) ou à l'OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication) ainsi qu'à des autorités administratives indépendantes telles que l'Autorité des marchés financiers (AMF), l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Autorité nationale des jeux (ANJ), qui chacune reçoit ponctuellement des notifications de sites identifiés comme malveillants. L'objectif est de mutualiser l'information reçue en temps réel par l'ensemble de ces structures et, au travers du filtre anti-arnaques, diffuser cette information le plus rapidement possible aux fournisseurs d'accès internet afin qu'ils puissent mettre en oeuvre le filtre et éviter ce type de cyber-arnaques.
Il nous a paru souhaitable que la CNIL soit associée à ce filtre anti-arnaques, s'agissant d'un régulateur qui est au fait des enjeux de liberté sur internet et soucieux de la protection de la vie privée des utilisateurs, bien que le filtre n'ait pas vocation à faire intervenir des traitements de données personnelles. Nous n'avons pas décidé unilatéralement de confier cette responsabilité à une personnalité qualifiée rattachée à la CNIL. Nous l'avons fait dans le cadre d'un dialogue avec la CNIL elle-même et pris en compte ses observations sur le dispositif, ainsi que son souhait d'en contrôler l'application. Je pense que la CNIL pourra vous le confirmer lors de son audition.
Mme Catherine Morin-Desailly, présidente. - Abordons le deuxième chapitre, celui de la régulation du marché de l'informatique en nuage. Monsieur le rapporteur, vous avez la parole.
M. Patrick Chaize, rapporteur. - Un encadrement des crédits de l'informatique en nuage est-il prévu à l'échelle européenne ou s'agit-il d'une initiative française ? Autrement dit, n'y a-t-il pas un risque de pénaliser injustement les opérateurs français et leur activité sur notre territoire, si nous sommes les seuls à anticiper l'application du Data Act ou à adopter des dispositions plus restrictives ?
S'agissant de l'encadrement de l'informatique en nuage, pourquoi la durée maximale de validité et les conditions de renouvellement ne sont-elles pas fixées par la loi ? Quelle durée et quelles conditions de renouvellement recommanderiez-vous ?
Pourquoi maintenir des frais de migration facturés lorsqu'une entreprise change définitivement de fournisseur de cloud, alors que les autres frais sont supprimés ? Comment ces dispositions s'articulent-elles avec le Data Act, qui prévoit une période de trois ans pour la suppression de ces frais ?
Concrètement, qu'est-ce que l'interopérabilité des services du cloud ? Pourquoi n'est-ce pas défini et précisé dans la loi ? Qu'est-ce que la portabilité des services du cloud ? Pourquoi n'est-ce pas précisé et défini dans la loi ?
Enfin, que pensez-vous du rôle attribué à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), du renforcement de ses pouvoirs de sanction, d'enquête et de règlement des litiges ? Est-ce suffisant ? Nous sommes un peu sceptiques quant à sa capacité à assurer cette régulation supplémentaire.
Mme Catherine Morin-Desailly, présidente. - Nous sommes extrêmement attentifs à ces questions, ici au Sénat, monsieur le ministre, eu égard notamment au rapport de Mme Primas et de ses co-auteurs.
M. Jean-Noël Barrot, ministre. - S'agissant de l'encadrement des crédits d'informatique en nuage, la réponse est non : cette disposition n'est pas prévue à ce stade dans le règlement sur les données en cours de discussion au niveau européen, dans le cadre de trilogues (Commission européenne, Parlement, Conseil européen).
L'interdiction des frais de transfert et l'interopérabilité figurent dans le règlement sur les données. Le texte prévoit des clauses d'extinction : dès lors que le règlement sur les données s'appliquera de plein droit, les dispositions contenues dans le projet de loi s'éteindront.
Nous avons introduit les crédits d'informatique en nuage dans le texte, suivant en cela les recommandations des rapports que vous venez de citer. Cette proposition nous semblait en effet pertinente dès lors que l'objectif, ici, est de déverrouiller un marché sur lequel quelques acteurs se sont octroyé une position de monopole en offrant des avoirs commerciaux à l'entrée qui s'apparentent à une forme de dumping. Ils empêchent ou du moins compromettent l'arrivée de nouveaux acteurs sur ce marché. À la sortie, des frais de transfert parfois démesurés sont facturés. Ce sont donc, à l'entrée et à la sortie, des pratiques déloyales mises en oeuvre par les acteurs dominants, qui éliminent toute forme de concurrence, plaçant les entreprises utilisatrices dans une situation de grande dépendance.
Comme je le soulignais, les compromis européens ne sont pas toujours pleinement satisfaisants, mais ils présentent le mérite de bénéficier de la puissance du Marché unique. Dans le règlement sur les données ne figurent pas les crédits d'informatique en nuage, mais une mesure nous semble pouvoir être prise au plan national sans entrer dans le champ d'application du règlement sur les données. Nous l'avons vérifiée. C'est la raison pour laquelle cette disposition figure dans le texte.
Ensuite se pose la question de la durée de validité de ces avoirs d'informatique en nuage. Deux possibilités s'offraient à nous. La première aurait consisté à supprimer ou plafonner ces crédits. Nous avons écarté cette possibilité, dans la mesure où de nombreuses entreprises utilisatrices de ces crédits commerciaux sont de jeunes entreprises innovantes pour lesquelles ils peuvent s'apparenter à une forme de financement. Nous avons retenu le principe d'un encadrement dans le temps. Plutôt que de brider les montants qu'une jeune entreprise innovante pourrait solliciter pour cofinancer son développement, cela permet de faire apparaître ces crédits commerciaux pour ce qu'ils sont, c'est-à-dire une forme d'échantillonnage.
Se pose la question de la durée de validité, que le texte renvoie aux décrets. Je crois qu'il est nécessaire d'essayer de faire en sorte que ces avoirs commerciaux demeurent une forme d'échantillon, pour tester la solution de tel ou tel et non rester avec lui durant des années, au point d'être, à un moment donné, enfermé dans la solution d'un acteur dominant. Une durée de validité relativement courte, de trois à six mois, nous paraît donc un point de départ intéressant. Cela suppose sans doute quelques discussions complémentaires. Aussi avons-nous proposé que cela passe par voie réglementaire.
Pourquoi maintenir les frais de migration alors que le texte propose la suppression des frais de transfert ? Si le manque de transparence et de prévisibilité des frais de migration contribue à la dynamique d'enfermement sur le marché, ceux-ci peuvent correspondre à des coûts légitimes et incompressibles pour les fournisseurs de services. En particulier, les frais de migration varient de manière significative en fonction de la complexité du projet de migration considéré. La migration des données RH d'une PME mobilisera moins de ressources que la migration du système d'information d'une grande entreprise bancaire. Il peut ainsi y avoir des frais qui se justifient en cas de migration. Les autorités françaises ont défendu, dans le cadre de la négociation du règlement sur les données, un encadrement basé sur les coûts réels supportés par le fournisseur de services dans le cadre du processus de migration, afin d'éviter de faire peser un poids disproportionné sur les fournisseurs de services français et européens, qui seraient davantage impactés en raison de la difficulté à amortir ces coûts du fait de la plus petite taille de leur base de clients. L'interdiction de la facturation des frais au titre du transfert de données s'inscrit en pleine cohérence avec l'esprit de ce qui a été défendu au plan européen, c'est-à-dire une approche par les coûts. Une période transitoire est prévue, durant laquelle les fournisseurs ne pourront facturer des frais dépassant les coûts réels supportés au titre des transferts de données.
Au regard de la baisse constante du prix de la bande passante (principal coût lié au transfert de données) et des importantes divergences entre les pratiques des fournisseurs de services alternatifs et dominants, la suppression des frais de transfert de données apparaît comme la meilleure approximation du coût réel supporté par les fournisseurs de services.
Pourquoi la portabilité et l'interopérabilité ne sont-elles pas définies en tant que telles dans le texte ? L'interopérabilité repose sur la compatibilité des formats de données et sur l'accès à des interfaces permettant aux différents services de dialoguer et d'échanger des données, à l'instar des interfaces de programmation applicative (API). Ces principes d'interopérabilité et de portabilité ne peuvent trouver une définition satisfaisante qu'au travers de l'énonciation de spécifications techniques (nature des API, caractéristiques techniques, etc.). Les dispositions introduites dans le projet de loi, directement inspirées du projet de règlement européen sur les données, visent à définir, en lien étroit avec les utilisateurs et fournisseurs de services, les éléments techniques qui devront faire l'objet d'un travail de définition collective afin de rendre effectives l'interopérabilité et la portabilité entre les services de cloud. C'est donc l'Arcep qui sera le « régulateur » de cette interopérabilité et de cette portabilité.
Vous m'interrogez, monsieur le rapporteur, sur le rôle dévolu à l'Arcep. L'évolution constante du paysage numérique et de l'économie de la donnée crée un contexte dans lequel la proposition d'étendre le mandat de l'Arcep pour y inclure la régulation des services d'informatique en nuage est un choix logique et stratégique, l'Arcep ayant démontré une expertise notable dans les domaines de la régulation numérique, de la normalisation technique et de l'interopérabilité. Elle est donc bien positionnée pour assumer ces nouvelles responsabilités. Son expérience solide en gestion des sujets à enjeux économiques, dans le secteur des télécommunications, renforce cette proposition. Cette approche est alignée avec les objectifs du règlement sur les données, du règlement sur la gouvernance des données et converge avec la vision de la Commission européenne et de nos partenaires européens.
Évidemment, pour permettre à l'Arcep de répondre effectivement à ces nouvelles exigences, une augmentation de personnel est actuellement à l'étude dans le cadre du prochain projet de loi de finances.
Mme Catherine Morin-Desailly, présidente. - Y a-t-il des questions complémentaires sur la question de l'informatique en nuage ?
Mme Florence Blatrix Contat. - Cette dimension du texte me semble importante. Nous y avons longuement travaillé dans le cadre de notre rapport sur le DSA. C'est un marché stratégique, qui conditionne la souveraineté numérique et la compétitivité économique. Nous nous sommes rendu compte, au cours de nos auditions, que ce marché était très largement dominé par des opérateurs extra-européens, comme vous l'avez souligné. Même si les acteurs européens ont progressé en termes de chiffre d'affaires, leur part de marché a reculé, passant de 27 % à 13 % en cinq ans. Il faut mettre un frein à cette hémorragie pour nos entreprises.
Globalement, les PME (petites et moyennes entreprises) et ETI (entreprises de taille intermédiaire) sont encore peu présentes sur ce marché. Il y a donc un enjeu à permettre aux entreprises européennes d'y prendre pied. Ne pourrions-nous pas envisager de ne pas facturer les frais de migration aux PME et TPE (très petites entreprises) compte tenu de ces enjeux ? Pourquoi avez-vous écarté cette option ?
Mme Catherine Morin-Desailly, présidente. - Je prolonge cette question. Les grandes plateformes, pour capter des marchés, font des offres gratuites. Doit-on autoriser les offres gratuites, qui représentent une forme de dumping ?
M. Jean-Noël Barrot, ministre. - Madame la sénatrice, j'entends votre remarque. Le principal objectif poursuivi par ces articles est de permettre de déverrouiller un marché qui concerne aujourd'hui les grandes entreprises plutôt que les petites et moyennes, qui n'ont pas encore fait leur migration vers le cloud. Je propose d'examiner l'idée que vous soulevez, notamment afin d'avoir un ordre de grandeur des frais de migration s'appliquant aux PME qui sont en cours de migration vers le cloud. Je reviendrai donc vers vous avec un avis plus définitif quant à l'opportunité d'une différenciation du régime qui s'appliquerait à la migration selon la taille de l'entreprise.
Les offres gratuites me semblent s'apparenter à des avoirs commerciaux, madame la présidente. Elles me semblent donc tomber sous le coup de l'interdiction prévue par le texte. Je propose de le vérifier avant de vous apporter une réponse définitive.
Mme Catherine Morin-Desailly, présidente. - Le déverrouillage de ce marché de l'informatique en nuage, appelé à connaître un fort développement, paraît nécessaire sur les plans technique, financier et juridique, car nous avons besoin de solutions souveraines pour nos données sensibles et critiques. Ne pourrait-on pas envisager d'afficher, à travers ce texte, d'une manière ou d'une autre, ce qu'est une donnée sensible, ce qu'est une donnée critique pour notre sécurité nationale et affirmer que ces données doivent relever d'un cloud souverain ? C'est une proposition que nous avions faite. Nous sommes très préoccupés par le devenir de nos données de santé. Nous avons maintes fois interrogé le ministre de la santé, vous-même et votre prédécesseur, quant au devenir de la plateforme de données de santé, aussi appelée HealthDataHub et confiée à Microsoft. Nous aimerions que soit rapidement mise en place une solution souveraine.
M. Jean-Noël Barrot, ministre. - C'est effectivement un point très important et je vous remercie, madame la présidente, de le soulever. Le 12 septembre dernier, à l'occasion de l'inauguration du nouveau centre de données d'OVH Cloud, Bruno Le Maire a indiqué que l'obligation serait faite aux administrations, en vertu de la doctrine du « cloud au centre », de loger leurs données sensibles dans des services d'informatique en nuage certifiés SecNumCloud, c'est-à-dire faisant partie de solutions immunisées contre l'extra-territorialité de législations extra-européennes. Bruno Le Maire a également précisé, le même jour, que la définition des données sensibles serait prochainement présentée dans le cadre de l'actualisation de la circulaire « cloud au centre », dans son neuvième paragraphe. Les entreprises, en particulier celles qui se trouvent dans des secteurs critiques et celles qui sont des OSE (opérateurs de services essentiels) ou des OIV (opérateurs d'importance vitale), ont aussi été encouragées à considérer très sérieusement de procéder comme les administrations, faute de quoi des mesures de coercition pourraient, à terme, être prises.
Le schéma de certification du cloud est en cours de discussion au niveau européen en vertu du règlement sur la cybersécurité. Celui-ci prévoit que ces schémas de certification peuvent être créés dans un certain nombre de secteurs, auquel cas les États membres peuvent s'y référer de manière volontaire. Une fois créés, ils écrasent les schémas de certification nationaux. Nous consacrons beaucoup d'énergie à convaincre certains de nos amis européens réticents à imposer l'immunité à l'extraterritorialité des législations extra-européennes (et américaine en particulier), car si ce schéma de certification intégrait, dans son niveau de sécurité le plus élevé, les mêmes critères que ceux que nous avons retenus pour notre certification nationale (ce qui est mon souhait), alors les acteurs français et européens qui auront choisi de faire certifier leur solution pourront les faire reconnaître dans le reste de l'Union européenne. En revanche, si ce schéma de certification européen ne retenait pas, dans son niveau de sécurité le plus élevé, l'immunité vis-à-vis de la législation extraterritoriale, notre certification SecNumCloud deviendrait illégale en France, sauf pour des motifs explicites de sécurité nationale. Nous avons des débats serrés avec un certain nombre d'États membres, notamment les Pays-Bas, qui emmènent derrière eux le groupe des pays les plus réticents. Nous avons bon espoir de parvenir à convaincre nos partenaires. Nous n'avions pas, jusqu'à la semaine dernière, publié cette circulaire actualisée. Elle l'a été le 31 mai et fait apparaître, dans son neuvième paragraphe, la définition des données sensibles que les administrations devront désormais, en cas de migration vers l'informatique en nuage, placer dans un cloud certifié SecNumCloud.
Parallèlement, nous soutenons les acteurs - notamment français - qui engagent le processus de certification de l'ANSSI afin que leurs offres soient certifiées SecNumCloud, notamment grâce à un guichet que nous avons ouvert il y a quelques mois. Nous nous y étions engagés le 12 septembre dernier. Il donne un petit coup de pouce financier, en particulier aux petites et moyennes entreprises du cloud, lorsqu'elles souhaitent faire certifier une solution sans avoir la taille suffisante pour absorber les coûts fixes induits par le processus de certification.
Mme Catherine Morin-Desailly, présidente. - Il nous importe que les données sensibles des Français et des Européens soient bien protégées contre une législation extraterritoriale qui nous est, pour l'instant, défavorable. Les discussions se poursuivront sur ce point et nous y serons très attentifs.
Je redonne la parole au rapporteur, qui va aborder le chapitre des jeux à objets numériques monétisables.
M. Patrick Chaize, rapporteur. - Monsieur le ministre, si vous deviez définir simplement les jeux à objets numériques monétisables, quelle définition retiendriez-vous ? Quel encadrement de ces nouvelles pratiques de jeux en ligne préconisez-vous compte tenu des risques sociaux et sanitaires qui leur sont associés ? Comment justifiez-vous le recours, dans cet article, à une habilitation à légiférer par ordonnance ?
Mme Catherine Morin-Desailly, présidente. - Vous savez que le Sénat n'aime pas beaucoup habiliter le gouvernement à légiférer par ordonnance.
M. Jean-Noël Barrot, ministre. - Comment définir ces jeux ? Il s'agit de jeux d'un nouveau genre, à la confluence entre les jeux vidéo et les jeux d'argent et de hasard. Ils sont nés de la technologie des registres distribués (la blockchain), qui permet d'isoler la propriété d'un actif numérique. Ainsi, l'on peut désormais détenir un actif numérique en pleine propriété et en quelque sorte l'utiliser comme un support de jeu. J'en prends pour exemple le jeu Stables, développé par le PMU et lancé il y a quelques mois. Il repose sur une plateforme numérique permettant aux utilisateurs d'acquérir des jetons qui prennent l'apparence de chevaux de course, reliés à un cheval dans le monde physique et à ses performances dans le monde réel. Cela permet d'organiser des jeux d'un nouveau type.
C'est parce que ces jeux se trouvent à la confluence de deux types de jeux existants (les jeux vidéo et les jeux d'argent et de hasard), et alors que nous avons un écosystème florissant dans le Web 3, qu'il nous paraît important de créer un cadre permettant à l'innovation de se développer en France et en Europe, tout en instaurant un niveau de protection suffisant pour les utilisateurs, sans oublier la lutte effective contre le blanchiment d'argent et le financement du terrorisme.
L'esprit qui nous a guidés est celui qui a présidé à la conception, en 2018, d'un régime « PSAN » (prestataire de services sur actifs numériques) défini pour les cryptoactifs dans le cadre de la loi Pacte. Ce régime soulevait au départ quelques interrogations, mais il a été conçu de façon à offrir un cadre suffisamment souple pour que l'innovation puisse se développer (de sorte que notre pays reste attractif pour l'innovation) tout en offrant un niveau de protection suffisamment élevé pour susciter un haut niveau de confiance.
Cinq ans plus tard, il apparaît que ce cadre a permis d'attirer en France les principaux leaders mondiaux dans ce domaine et de susciter dans notre pays des vocations entrepreneuriales très importantes. Hier soir encore, nous avons reçu la confirmation du fait qu'un acteur américain de ce domaine avait choisi la France pour s'implanter. Les États-Unis ne s'étaient initialement donné aucun cadre de régulation et lorsque des scandales ont éclaté à l'automne dernier (en particulier avec la société FTX), les autorités américaines ont fait machine arrière, serrant les boulons de façon probablement excessive. Cela a conduit un certain nombre d'acteurs américains à se délocaliser et à quitter les États-Unis au profit de l'Europe. Le cadre européen qui s'appliquera à partir de 2024, dit MICA, est directement inspiré du cadre français, qui avait donc fait ses preuves. Celui-ci nous met dans une certaine mesure à l'abri de scandales tels que ceux qui ont éclaté aux États-Unis à l'automne dernier, même si l'on n'est jamais à l'abri d'une fraude massive.
C'est la même démarche, au fond, qui nous guide pour ce type de jeux, c'est-à-dire la construction d'une réglementation protectrice et susceptible de favoriser l'innovation. Si nous définissons ses contours de façon suffisamment judicieuse, elle peut même inspirer la réglementation qui viendra au niveau européen, afin que les acteurs fassent de la France leur camp de base pour leur expansion européenne.
Le recours à une habilitation à légiférer par ordonnance est nécessaire pour pouvoir coordonner dans des délais suffisants des travaux interministériels particulièrement techniques et complexes, qui mobilisent de nombreuses administrations au sein de différentes branches de l'exécutif (ministère de l'économie, ministère de l'intérieur, ministère de l'agriculture, ministère des sports, ministère de la culture) et nécessitent le concours de plusieurs autorités de régulation (ANJ, CNIL, Tracfin, AMF, ACPR, Arcom). Il est par ailleurs nécessaire pour permettre des consultations des différents acteurs du secteur et des secteurs voisins des jeux vidéo et des jeux d'argent et de hasard. Il n'en demeure pas moins que l'objectif est d'avancer le plus rapidement possible dans la création de ces dispositions, afin de pouvoir présenter au plus vite au Parlement des dispositions stabilisées. Nous avons pris note de vos remarques et ferons en sorte que ces dispositions puissent vous être présentées au plus vite.
Mme Catherine Morin-Desailly, présidente. - Nous avons été saisis, comme vous pouvez vous en douter, par l'ensemble des acteurs du monde des jeux plus classiques, qui craignent une distorsion de concurrence à travers l'adaptation d'un texte qui leur serait défavorable et qui comporterait moins d'exigences vis-à-vis du secteur des jeux en ligne. Nous serons attentifs à ces sujets, afin que le texte proposé, le cas échéant, ne soit pas en quelque sorte un dégonflage d'une architecture classique. Cette perspective serait terrible, car nous avons besoin d'une régulation sérieuse sur l'internet. Ce sont des jeux d'argent, comme vous l'avez vous-même souligné.
M. Patrick Chaize, rapporteur. - J'en viens aux questions sur les meublés de tourisme. Comment le dispositif de centralisation des données relatives aux meublés de tourisme permettra-t-il aux communes de mieux contrôler la conformité des locations sur leur territoire ? Selon l'étude d'impact du projet de loi, le taux de non-conformité de l'offre de meublés de tourisme atteindrait 34 % à Paris et 46 % à Lyon. Comment expliquez-vous de tels taux?
Quel serait l'organisme unique désigné pour mettre en place la plateforme de déclaration à destination des communes et les plateformes numériques de la location touristique. La proposition de règlement européen sur les locations de courte durée est en cours de négociation. Comment situez-vous cette future régulation au niveau européen et le dispositif prévu par le présent projet de loi ?
S'agissant du droit de la consommation, comment se matérialisera la lutte contre les « dark patterns », ces interfaces conçues de manière à tromper ou manipuler les internautes-consommateurs ? Est-il prévu de créer une équipe dédiée au sein de la DGCCRF, à l'image de la brigade chargée de l'influence commerciale ?
M. Jean-Noël Barrot, ministre. - Aujourd'hui, les communes concernées par un fort développement de l'activité de meublés touristiques sont contraintes d'aller chercher « à la main » les informations liées la limite des 120 jours applicables à la location de la résidence principale. Grâce au dispositif de centralisation des échanges, elles n'auront plus à formuler qu'une seule demande par plateforme pour obtenir ces informations. Il leur sera donc beaucoup plus facile d'identifier les manquements des loueurs au regard de leur obligation de déclaration et du respect du plafond de 120 jours de location par an applicable aux résidences principales. Cette base de données unique permettra une harmonisation et une fiabilisation des données, ainsi qu'une automatisation des processus. Ce sera donc une vraie simplification.
Le taux de non-conformité réglementaire correspond au pourcentage d'annonces publiées qui ne présentent pas de numéro d'enregistrement. Il est relativement élevé dans l'ensemble des marchés touristiques pour lesquels les données sont mises à disposition par « Inside Airbnb » et collectées par des techniques de moissonnage sur internet. Il s'agit d'estimations effectuées à partir de données partielles. Le niveau élevé du taux de non-conformité tient à un facteur qui relève des loueurs eux-mêmes. Ex ante, un certain nombre de propriétaires ne respectent pas la réglementation en vigueur, en particulier l'obtention d'un numéro d'enregistrement ou la déclaration de changement d'usage, ou encore la limitation des 120 jours de location pour la résidence principale.
S'agissant de l'organisme unique qui serait désigné pour mettre en place la plateforme de déclaration, plusieurs pistes sont encore à l'étude. Il est certain que le guichet de centralisation ne sera pas géré par une autorité administrative indépendante ni par une autorité publique indépendante, car la désignation d'une telle autorité ne pourrait se faire que par décret et nécessiterait l'intervention du législateur. La création d'une personne morale ad hoc n'est pas non plus prévue, afin de ne pas multiplier les personnes morales ou les organisations, étant donné la relative modicité des moyens nécessaires à la gestion de ce guichet. Il est envisagé à ce stade, sans préjuger de la décision finale, l'attribution de cette compétence à un service d'administration centrale ou à un opérateur de l'État existant.
Vous m'interrogez sur l'articulation avec le règlement européen en cours de discussion. Il s'agit effectivement d'une anticipation partielle du projet de règlement européen proposé en novembre 2022 par la Commission européenne concernant la collecte et le partage de données relatives aux services de location de logements de courte durée. La proposition de règlement vise à renforcer la transparence dans la collecte et la transmission de ces données. Les deux objectifs principaux de ce règlement sont l'harmonisation des exigences nationales en matière d'enregistrement et la facilitation de la transmission de données entre plateformes et autorités publiques compétentes. À ce stade, la proposition qui doit être débattue au Parlement européen prévoit que les États membres exigeant des opérateurs numériques qu'ils leur communiquent les données mettent en place un point d'entrée numérique unique. Nous sommes donc parfaitement alignés avec l'esprit du projet de règlement.
S'agissant des places de marché en ligne, l'article 26 du projet de loi comporte une habilitation des agents de la DGCCRF à rechercher et constater les infractions aux dispositions de l'article 25 du règlement sur les services numériques qui prohibe les « dark patterns ». Le règlement sur les services numériques traite des réseaux sociaux et des places de marché. À cet effet, les agents disposent de pouvoirs d'enquête prévus par le code de la consommation. Ils sont considérés comme des pouvoirs de police judiciaire exercés sous l'autorité du Procureur de la République puisqu'il s'agit d'infractions pénales punies à titre principal d'un emprisonnement de deux ans et d'une amende de 300 000 euros. Ce montant peut être porté de manière proportionnée aux avantages tirés du délit à 6 % du chiffre d'affaires mondial. L'ensemble des enquêteurs de la DGCCRF pourront donc être amenés, lors de leurs contrôles en ligne, à rechercher et constater ces « dark patterns ». L'enquête sur ce sujet sera diligentée dans le cadre du programme national d'enquête de la DGCCRF pour l'année 2024.
Mme Catherine Morin-Desailly, présidente. - Je donne la parole à Loïc Hervé, rapporteur de l'autre partie du texte.
M. Loïc Hervé, rapporteur. - Une très grande partie des acteurs de l'internet sont établis hors de notre pays et nombre d'entre eux se trouvent hors de l'espace européen. Comment assurer l'effectivité des règles (notamment en matière de sanctions pénales) que ce projet de loi propose de soumettre à notre vote ?
J'en viens à la question de la pornographie et à la régulation de l'accès des mineurs à ces contenus. Dans quelle mesure la transformation de la procédure judiciaire en procédure administrative permettra-t-elle d'être plus efficace pour vérifier qu'un contrôle de la majorité sérieux est bien mis en place ? Les sites semblent déployer des moyens très importants pour s'opposer aux procédures judiciaires. J'imagine qu'ils feront de même dans le cadre d'une procédure administrative.
L'Arcom aura-t-elle suffisamment de moyens pour mettre en oeuvre la nouvelle procédure, qui supposera l'établissement de constats par ses agents ?
Peut-être pouvez-vous également préciser les modalités techniques envisagées sur la question du contrôle de l'âge à proprement parler. Ce sujet a été abordé à de très nombreuses reprises dans cette maison, en particulier dans le cadre des travaux de la Délégation aux droits des femmes. Il suscite un certain nombre d'interrogations de notre part et plusieurs de nos voisins européens semblent être légèrement en avance sur nous, notamment l'Allemagne et l'Italie.
Le projet de loi répartit la compétence de mise en oeuvre du RSN entre l'Arcom, la CNIL et la DGCCRF, l'Arcom étant consacrée en tant que coordinateur des services numériques. Le choix de recourir à plusieurs acteurs procède-t-il d'une spécialisation bienvenue ou crée-t-il le risque d'une dispersion qui rendrait le dispositif moins lisible et moins efficace ? Comment envisagez-vous la coopération entre les différents acteurs ?
Récemment, la commission des lois a adopté une proposition de loi qui sera débattue lundi 12 juin, comportant un amendement permettant d'intégrer le président de l'Arcom ainsi que la présidente de l'Arcep au sein du Collège de la CNIL. Qu'en pensez-vous ? Est-il prévu, réciproquement, qu'un membre de la CNIL siège dans les différentes autorités que je viens d'évoquer ?
Les plateformes disposent-elles, en l'état, des moyens techniques et humains pour mettre en oeuvre les nouvelles règles européennes ? Ont-elles déjà adapté leurs moyens et leurs procédures à cette nouvelle réglementation ? Quel est l'état du dialogue entre le gouvernement, votre ministère et les acteurs du secteur, s'agissant non seulement de l'entrée en application du règlement, mais aussi des mesures autonomes prévues par le projet de loi en matière d'interdiction d'accès des mineurs aux sites pornographiques et de renforcement de la lutte contre les contenus à caractère pédocriminel, voire terroriste ? Comment la France se positionne-t-elle en ces matières, par rapport à ses voisins et partenaires européens ?
Comme le reconnait implicitement l'étude d'impact de votre projet de loi, l'application du règlement ne couvrira pas entièrement certaines dispositions du droit national modifiées, voire abrogées par ce texte. Je pense aux articles 29 et 30, qui vont passer le seuil à partir duquel les plateformes sont soumises à des obligations en matière de transparence et de lutte contre la désinformation. Nous passerions de 5 millions d'utilisateurs nationaux à 45 millions d'utilisateurs européens. Est-ce un choix délibéré de votre part de ne pas prévoir de mesures complémentaires pour les plateformes qui ne seraient plus, dès lors, soumises à ces obligations ? Disposez-vous de données quant au nombre d'opérateurs n'entrant pas dans le champ des très grandes plateformes et des très grands moteurs de recherche au sens du règlement, qui seraient donc soustraits à ces obligations ?
Pensez-vous que la loi du 21 juin 2004 pour la confiance dans l'économie numérique gagnerait en lisibilité et en intelligibilité une fois que ce texte sera adopté ? Il me semble que l'on continue de juxtaposer des dispositifs sans une réécriture globale, ce qui semble, d'abord au plan juridique, mais aussi au plan intellectuel, rendre les choses plus complexes. J'imagine que vous avez des contacts nombreux avec un certain nombre d'acteurs du secteur pour les informer des évolutions envisagées. Peut-être pouvez-vous tracer d'autres perspectives à l'issue de cette discussion parlementaire.
M. Jean-Noël Barrot, ministre. - S'agissant de l'effectivité des règles que le gouvernement entend soumettre à votre analyse, alors que nous avons face à nous des acteurs qui se jouent parfois des frontières, j'avancerai deux éléments qu'il me paraît important de rappeler.
Dans les règlements européens que ce projet de loi permet de faire appliquer correctement, en France comme dans les autres États membres de l'Union européenne, en se donnant des règles communes et en confiant à la Commission européenne, épaulée par les régulateurs nationaux, le soin de faire appliquer ces règlements, on écarte une fois pour toutes le risque d'arbitrages et de dumping réglementaire permettant à des géants du numérique de se réfugier dans des pays considérés comme plus souples ou plus tolérants dans leur appréciation des règles européennes.
Même si, notamment pour le DSA, les régulateurs nationaux sont appelés à jouer un rôle important, c'est bien la Commission européenne qui sera en première ligne. Elle veillera à ce que l'application du droit soit uniforme dans les différents États. C'est un point très important, car nous nous sommes souvent heurtés à une forme d'hétérogénéité dans les approches par les autorités chargées de ces sujets, y compris concernant l'application de règles européennes. Je pense notamment au Luxembourg ou à l'Irlande.
Si certaines sanctions pénales pourraient s'avérer plus difficilement applicables à des acteurs situés loin de l'Union européenne, les mesures de blocage (en particulier celles qui s'appliquent aux sites diffusant des contenus pornographiques ou diffusant des médias frappés par les interdictions telles que celles que l'Union européenne a prises à l'encontre des médias russes) reposent sur des acteurs basés en France, les fournisseurs d'accès internet. Leur effectivité sera donc immédiate.
S'agissant de l'accès des mineurs aux sites pornographiques, la loi du 30 juillet 2020 précise que l'interdiction d'exposer des mineurs à des contenus pornographiques doit également s'appliquer lorsqu'un site internet se contente de demander l'âge de l'utilisateur, sans le vérifier sérieusement. Le décret d'application de cette loi a été pris en octobre 2021. La loi et le décret d'application prévoient que l'Arcom mette en demeure un site qui ne vérifie pas l'âge de l'utilisateur. Si au bout de quinze jours, le site ne s'y est pas conformé, l'Arcom saisit le tribunal judiciaire de Paris, qui instruit ensuite l'affaire.
En octobre 2021, l'Arcom a mis en demeure cinq des principaux sites pornographiques de mettre en place un système de vérification de l'âge des utilisateurs. Constatant, quinze jours plus tard, que cette mise en demeure n'a pas été suivie d'effets, l'Arcom a saisi, au mois de novembre 2021, le tribunal judiciaire de Paris. En septembre 2022, le tribunal judiciaire de Paris a convoqué une audience qui rassemble les sites concernés et l'Arcom. Les sites concernés ont brandi à l'audience une question prioritaire de constitutionnalité (QPC). Le tribunal judiciaire de Paris a transmis la question prioritaire de constitutionnalité à la Cour de cassation et ordonné une médiation entre les sites pornographiques et l'Arcom. En janvier 2023, la Cour de cassation a annoncé ne pas transmettre la question prioritaire de constitutionnalité au Conseil constitutionnel. Quelques semaines plus tard, l'Arcom a indiqué sortir de la médiation avec les sites pornographiques. L'Arcom s'est alors tournée à nouveau vers le tribunal judiciaire de Paris, qui a convoqué une audience. Celle-ci a eu lieu en avril 2023 et le délibéré est attendu le 7 juillet prochain. Il aura donc fallu attendre environ un an et demi pour qu'un jugement soit éventuellement rendu. Il me paraît important que nous puissions aller plus vite, en donnant à l'Arcom la capacité, après avoir assermenté ses agents à cet effet, de constater et mettre en demeure, mais aussi d'ordonner plus directement le blocage.
L'Arcom devra d'abord disposer des moyens humains nécessaires pour exercer cette compétence nouvelle. L'Arcom compte actuellement 370 agents (en comptant les 16 antennes territoriales) et dix recrutements sont en cours pour la mise en oeuvre des compétences nouvelles qui seraient confiées à l'Arcom par le DSA.
La question de la vérification de l'âge a fait l'objet de travaux approfondis par la mission parlementaire. Le texte prévoit que l'Arcom publie, après avis de la CNIL, un référentiel qui indiquera ce que doivent être, au minimum, des dispositions acceptables pour la vérification d'âge. Sans attendre que ce projet de loi soit adopté, il appartient aux sites internet concernés notamment par la procédure en cours de mettre dès aujourd'hui en place des systèmes de vérification d'âge. Il en existe. Ils ne sont pas absolument parfaits, mais ils permettraient d'éviter l'exposition massive de mineurs aux contenus pornographiques, que l'Arcom a encore dénoncée dans son étude parue il y a quelques semaines.
Pour anticiper sur l'adoption de ce projet de loi, nous avons encouragé des entreprises françaises à se saisir de cette problématique de la vérification de l'âge en ligne et de développer, comme le proposent les recommandations du rapport des sénateurs, des solutions qui soient doublement anonymes, de sorte que le fournisseur de la preuve de majorité ne puisse pas connaître ce pour quoi cette preuve est utilisée. Peut-être le sera-t-elle pour consulter un site pornographique. Peut-être le sera-t-elle pour l'achat de produits alcoolisés, ou encore pour des transactions sur des sites proposant des jeux d'argent et de hasard, qui sont également soumis à des restrictions d'âge. Le site qui sollicitera la preuve de majorité pour donner l'accès à ce service ne doit pas non plus avoir à connaître l'identité de la personne concernée.
Du point de vue de la répartition des compétences entre les autorités et de la mise en oeuvre du RSN autour du coordinateur des services numériques, le RSN est avant tout un règlement transversal qui modélise un régime d'obligation appliqué à un environnement de plateformes intervenant sur une multitude de secteurs économiques. Il est logique que sa mise en oeuvre soit organisée de façon distribuée entre les principales autorités de régulation qui disposent, en France, des compétences statutaires dans chaque domaine traité par le RSN. Notre choix repose sur une double conviction : privilégier les compétences et les expertises acquises dans chaque domaine (la CNIL pour la protection des données personnelles, l'Arcom sur la problématique des contenus, la DGCCRF pour les pratiques du commerce en ligne), tout en veillant à une coordination et à une synergie efficaces de l'ensemble. Nous sommes conscients des écueils liés à cette gouvernance « distribuée » entre différentes autorités administratives. C'est la raison pour laquelle le projet de loi prévoit des dispositions particulières en matière de dialogue et de consultation parmi ces différentes entités.
Vous soulevez une question qui était évoquée dans l'avis du Conseil d'État, dès lors que le règlement sur les services numériques pourrait « écraser » certaines dispositions de la loi de lutte contre la manipulation de l'information que le Sénat avait passée au tamis de son examen. Il est vrai que le règlement sur les services numériques est un règlement d'harmonisation maximale, qui interdit en principe le maintien, au niveau national, de législations poursuivant le même objectif, notamment en matière de lutte contre la désinformation en ligne. En conséquence, le projet de loi que nous proposons abroge, comme vous le soulignez, certaines dispositions de la loi relative à la lutte contre la manipulation de l'information, qui prévoit des mesures applicables aux opérateurs de plateformes en ligne. Ceci concerne en particulier les articles 11, 13 et 14 de la loi du 22 décembre 2018.
Néanmoins, ces dispositions abrogées sont couvertes en grande partie par le règlement sur les services numériques. Les articles 11, 13 et 14 de la loi de lutte contre la manipulation de l'information ont des équivalents directs dans le règlement sur les services numériques et les obligations prévues restent donc pleinement exécutoires. Ce règlement prévoit notamment l'obligation, pour les très grandes plateformes et les très grands moteurs de recherche, d'analyser les risques systémiques de désinformation engendrés par le fonctionnement de leurs services (algorithmes, systèmes de recommandation) et de prendre les mesures nécessaires pour les atténuer. Le projet de loi n'entraîne donc pas de recul sur ce point.
S'agissant du code électoral, vous pouvez constater que le gouvernement a suivi l'avis du Conseil d'État et n'a pas procédé à l'abrogation de l'article L. 163-1. Il a seulement procédé à de légères modifications de cohérence avec le DSA. Il a été décidé, eu égard à la sensibilité de l'information des personnes en période électorale, de conserver l'obligation, pour les très grandes plateformes et les très grands moteurs de recherche, de faire figurer les informations listées par ces articles. Cette obligation pourra ensuite être abrogée avec l'entrée en application du projet de règlement relatif au ciblage et à l'amplification des publicités à caractère politique - règlement en cours de discussion au niveau européen, à l'étape des trilogues. L'impact de cette modification sera donc quasiment nul dans la mesure où les dispositions abrogées ont un équivalent dans le DSA et où celles qui n'ont pas d'équivalent dans le DSA seront maintenues.
Enfin, s'agissant de la lisibilité de la loi pour la confiance dans l'économie numérique (LCEN), il est évident que ce texte y introduit des changements importants. La LCEN sert de socle à notre législation pour le numérique. Cette loi fondatrice a porté, depuis vingt ans, un cadre propice et dynamique en faveur de l'économie et de la société numériques. Après vingt ans de résultats, compte tenu de la transformation profonde liée à la numérisation de l'économie, à l'occasion de l'adoption du RSN, il est aujourd'hui indispensable de refonder cette loi. Le projet de loi s'emploie à cette réorganisation du corpus de la LCEN pour le rendre plus logique, lisible et l'articuler avec ces règlements européens nouveaux qui vont continuer à être adoptés. Après celui sur la gouvernance des données, le règlement sur les services numériques et les marchés numériques, viendront le règlement sur les données, celui sur l'intelligence artificielle et d'autres encore, en vue de construire un marché unique du numérique au sein duquel devront être respectés un ensemble de principes auxquels nous sommes très attachés.
Mme Catherine Morin-Desailly, présidente. - Cela nous oblige à une certaine gymnastique dans l'anticipation de futures transpositions et dans la recherche de cohérence d'un texte à l'autre, du point de vue des dispositifs proposés.
Mme Annick Billon. - Merci, monsieur le ministre, d'avoir balayé un certain nombre de sujets en réponse à nos deux rapporteurs. Nous avons déjà eu l'occasion de nous rencontrer et de vous présenter les conclusions des travaux de la Délégation aux droits des femmes.
Nous avions préconisé la création d'une nouvelle rubrique sur la plateforme Pharos, car il se pose un problème de visibilité. Pensez-vous que la création d'une nouvelle rubrique qui concernerait notamment les actes de barbarie, de violence sexuelle ou de torture, serait de nature à faciliter les signalements ?
Lors de nos travaux au sein de la Délégation aux droits des femmes, nous avons entendu des témoignages extrêmement violents, difficiles à entendre, qui nous ont profondément marqués du point de vue du regard que nous portons sur l'industrie de la pornographie. Le retrait des vidéos serait-il possible selon vous, sans avoir à les visionner, dès lors que dans le titre d'une vidéo apparaît par exemple l'apologie d'un crime ? Serait-il envisageable de permettre le retrait plus rapide de tels contenus, sans nécessairement avoir à visionner ces vidéos pour vérifier ce qu'elles contiennent ?
La question du droit à l'oubli se pose aussi au regard de la demande potentielle de retrait de vidéos, sans contrepartie financière, de la part des actrices. Une actrice de pornographie gagne 400 euros pour une vidéo et il lui est actuellement demandé 4 000 à 5 000 euros pour le retrait d'une vidéo dans laquelle elle apparaît.
Mme Florence Blatrix Contat. - Monsieur le ministre, vous avez évoqué l'inégale diligence des différentes autorités de régulation nationales dans l'application des régulations numériques et indiqué que, dorénavant, la commission en aurait la charge. Lorsque nous avons travaillé sur le DSA est apparue la question suivante : la commission se dotera-t-elle des moyens, humains notamment, requis pour exercer cette régulation ?
Lors de nos auditions, qui ont notamment conduit à entendre des acteurs connaissant très bien les réseaux sociaux, nous nous sommes rendus compte qu'il manquait souvent des modérateurs dans chaque langue, notamment en français. C'est une carence dans la lutte contre la désinformation et la haine en ligne. En quoi ce texte permettra-t-il de répondre à cela ?
Mme Catherine Morin-Desailly, présidente. - Je me permets d'insister sur la question du droit à l'oubli, qui a été évoquée à plusieurs reprises au Sénat et qui a fait l'objet d'une de nos préconisations.
M. Jean-Noël Barrot, ministre. - Concernant la question de la nouvelle rubrique, qui était liée, si j'ai bien compris, à celle du retrait de vidéos diffusées par des sites pornographiques, lorsque ces contenus s'apparentent à des actes criminels, nous avons avec ma collègue Isabelle Rome, à l'appui de vos travaux, engagé des discussions avec le Haut Conseil à l'Égalité entre les femmes et les hommes, en vue d'explorer les moyens juridiques qui permettraient de caractériser de façon suffisamment précise, y compris du point de vue juridique, des catégories de vidéos dont le retrait serait justifié. Nous devons le faire avec le souci de ne pas franchir la limite de la liberté d'expression et avec à l'esprit la réalité des violences que vous évoquez. Autrement dit, il s'agit de se demander si, de manière suffisamment précise, une vidéo peut être identifiée comme un acte de barbarie et faire l'objet d'un retrait sur injonction de la plateforme Pharos ou des forces de l'ordre, comme c'est le cas pour des contenus de nature terroriste ou de nature pédopornographique. Nous avions évoqué ce sujet. Nous continuons d'y réfléchir et nous n'avons pas encore trouvé la solution.
Le RGPD (règlement général de protection des données personnelles) prévoit le droit à l'oubli dans le cas de données ou d'images personnelles n'ayant pas fait l'objet d'un contrat. Vous proposez de venir écraser un contrat, dans le cas que vous citez, qui est celui des images pornographiques. Nous avons saisi le Garde des Sceaux, qui souhaite constituer un groupe de travail réunissant des experts de la question afin de trouver des réponses satisfaisantes. Ces travaux feront appel au droit des contrats et aux dispositions relatives à la protection de la vie privée des personnes.
Vous m'interrogez, madame Blatrix Contat, sur les moyens de la Commission européenne. C'est une question que je pose chaque fois que je rencontre le commissaire compétent, c'est-à-dire Thierry Breton. Il y a huit mois, nous avions des inquiétudes à ce sujet. Elles se sont dissipées, car 80 ETP (équivalents temps plein) ont été recrutés au sein de la DG Connect et de la DG Comp pour l'exécution de ces règlements. Il y aura des infractions à ces deux règlements et tant que les premières sanctions n'auront pas été prononcées, nous serons extrêmement vigilants et continuerons de faire connaître à la Commission européenne notre exigence forte de voir ces DG dotées de moyens. Il est à noter que, selon l'architecture prévue pour ce dispositif, nous solliciterons de la part des régulés une partie de la prise en charge des moyens nécessaires à leur régulation.
S'agissant de la modération, le DSA imposera désormais aux plateformes la mise en place de dispositifs qui devront être par ailleurs audités, avec à la clé des amendes particulièrement lourdes. Nous estimons que cela les conduira à améliorer leurs processus de modération. Ceux-ci ne passent pas toujours, ou pas intégralement, par des moyens humains : l'intelligence artificielle, notamment, est utilisée et a contribué, sur certaines plateformes, à un retrait beaucoup plus rapide qu'auparavant de contenus qui étaient immédiatement identifiables comme illicites. La diversité de ces moyens de modération doit tenir compte de la variété des langues des pays dans lesquels ces services sont utilisés et le non-respect de ces règles sera sanctionné par des amendes particulièrement lourdes.
Au-delà de l'audit de ces processus de modération et de signalement, toutes les plateformes devront publier de manière transparente les retraits de contenus et le nombre de signalements traités, c'est-à-dire leur activité de modération. Tel est déjà le cas en France.
Mme Toine Bourrat. - Je voudrais aborder le chapitre du cyberharcèlement. Je suis préoccupée par la proposition (contenue dans le projet de loi) consistant à bannir des réseaux sociaux les personnes condamnées pour avoir diffusé des contenus haineux ou violents sur un réseau social. Compte tenu du décalage qui existe entre la vitesse à laquelle fonctionne la justice et la viralité des réseaux sociaux, serait-il envisageable de prévoir des dispositions enjoignant les réseaux sociaux à mieux traiter et mieux réguler les signalements ? Entre le moment où l'on est victime de cyberharcèlement et le moment où l'agresseur potentiel est condamné, je crains que les délais ne soient très longs, ce qui rendrait cette disposition inefficace.
M. Jean-Noël Barrot, ministre. - Effectivement, il y a assez peu de condamnations aujourd'hui et ces condamnations méritent d'être diffusées. Lorsqu'on examine qui étaient les agresseurs de Mila, d'Eddy de Pretto ou de Hoshi, on se rend compte que des personnes se pensant à l'abri derrière un pseudonyme ont participé à des raids de haine et de violence sans soupçonner qu'elles pouvaient être punies par des peines d'emprisonnement. Cette mesure de bannissement qui vient s'ajouter à une éventuelle condamnation ne constitue qu'un des éléments du dispositif.
On peut rappeler certaines des condamnations qui ont été prononcées dans ces cas. Dans l'affaire Mila, douze mois de prison ferme ont été prononcés à l'encontre d'un jardinier de 23 ans, pour des menaces de mort et de viol diffusées sur internet. En juillet 2021, des peines de quatre à six mois de prison ont été prononcées à l'encontre de onze personnes et deux mois plus tard, une personne ayant menacé Mila de mort a été condamnée à dix mois de prison.
Dans le cas d'Eddy de Pretto, onze cyberharceleurs ont été condamnés en décembre 2022 à des peines de trois à six mois de prison.
Vendredi dernier, une peine de huit mois de prison, dont deux mois de prison ferme, a été prononcée à l'encontre de l'un des cyberharceleurs de Hoshi. Celui-ci devra également verser à l'artiste 5 000 euros de dommages et intérêts. Cette personne a dit qu'elle n'avait aucune conscience du fait que les actes qu'elle avait perpétrés étaient passibles de sanctions aussi lourdes.
Il nous paraît important que les peines, lorsqu'elles sont prononcées, soient particulièrement lourdes. Dans certains cas, le bannissement des réseaux sociaux ajoutera au caractère très symbolique de ces peines, qui doivent être connues afin que chacun réalise qu'il peut être poursuivi et que ce qui est illégal dans la rue l'est aussi sur internet.
Mais ce n'est qu'un des éléments du dispositif « à 360 degrés » que nous devons mettre en place pour lutter contre le cyberharcèlement. Il commence avec la sensibilisation, notamment des plus jeunes. Nous allons généraliser à la rentrée prochaine le passeport numérique, c'est-à-dire la sensibilisation de tous les élèves, en sixième, aux risques et aux attitudes à adopter lorsqu'ils sont témoins ou victimes de cyberharcèlement.
Je souhaite aussi que, grâce à la loi d'orientation et de programmation du ministère de l'intérieur et grâce à la loi de programmation de la justice en cours de discussion au Sénat, des moyens viennent renforcer les capacités d'enquête et d'instruction de ce type d'affaires.
Dans le cadre de la loi de programmation du ministère de l'intérieur, il sera désormais possible de déposer une plainte en ligne et d'être accompagné par un avocat lors du dépôt de plainte. Ce sont autant d'éléments qui permettront d'améliorer la prise en compte des plaintes des nombreuses victimes de cyberharcèlement. Peut-être faudra-t-il aller plus loin. Nous étudierons toutes les propositions d'amendements que vous défendrez, tant ce phénomène doit être contenu, d'abord, puis éliminé.
Enfin, le règlement sur les services numériques va imposer aux plateformes un niveau de responsabilité particulièrement élevé. La loi existant en France leur impose, lorsqu'elles ont connaissance de faits de cyberharcèlement, d'y mettre fin, à la condition que ces faits leur aient été signalés. Deux nouveautés vont s'appliquer dès le 25 août au titre du règlement sur les services numériques. D'une part, les plateformes devront - parallèlement au traitement du signalement et à l'élimination du comportement de cyberharcèlement - signaler ces faits de cyberharcèlement aux autorités compétentes. D'autre part, là où les peines encourues actuellement dans le droit français, en cas de non-respect de cette obligation, sont d'un an d'emprisonnement et 250 000 euros d'amende, leur plafond passera à 6 % du chiffre d'affaires mondial. La peine encourue par la plateforme augmente donc de manière très significative.
Mme Catherine Morin-Desailly, présidente. - Vous avez souligné à juste titre, dans l'exposé des motifs, que la Présidence française de l'Union européenne avait été à la pointe de cette grande avancée en 2022. Force est de reconnaître également que le commissaire français, Thierry Breton, s'est montré très actif au niveau européen, où les choses ont enfin bougé, avec plusieurs textes qui nous sont proposés. Le gouvernement entend continuer de porter de hautes ambitions dans ce domaine. Il faut s'en réjouir. Le Sénat y est très attentif, comme vous le savez. Nous avons néanmoins du mal à comprendre quelle cohérence et quelle visibilité existent lorsque, il y a quelques jours, le Président de la République déroulait en quelque sorte le tapis rouge à Elon Musk, lequel nous défie, quelques jours après, en se retirant du code des bonnes pratiques. Il a d'ailleurs été sévèrement rappelé à l'ordre par Thierry Breton, qui a assuré que le RSN s'appliquerait partout, y compris à Twitter, faute de quoi cette plateforme serait déréférencée. Nous avons du mal à comprendre cette fascination pour les représentants des Big Tech, dont vous avez dit à juste titre, en préambule, que pour elles, les recettes publicitaires primaient sur toute autre considération, y compris la sécurité des enfants. Nous vous soutenons sur ce sujet. En son temps, François Hollande avait également déroulé le tapis rouge à Mark Zuckerberg, en pleine affaire Cambridge Analytica. Le fait d'attribuer la plateforme de données de santé à Microsoft sans appel d'offres nous a aussi particulièrement heurtés. Nous aimerions recevoir des garanties, car nous portons la même ambition que vous. Nous serons regardés au niveau international. Je crois pouvoir dire que le RGPD constitue en quelque sorte un étalon-or. On en parle dans le monde entier, par exemple au sein des assemblées parlementaires de la francophonie. Nous sommes également attendus du point de vue de ce texte. Quelle cohérence et quelle lisibilité lieront ces différentes actions, qui engloberont également la politique industrielle de soutien à nos entreprises du cloud européen ?
M. Jean-Noël Barrot, ministre. - Vous avez tout à fait raison. Elon Musk a repris, il y a moins d'un an, un réseau social. Il était auparavant et reste par ailleurs constructeur de fusées et de voitures électriques. En tant que tels, compte tenu de sa position sur ces marchés, comme pour les investisseurs étrangers, nous évoquons avec lui et ses équipes toutes les possibilités d'implantation de sites industriels en France. Nous le faisons non seulement parce que nous voulons revitaliser des territoires qui ont subi de plein fouet la désindustrialisation depuis des décennies, mais aussi parce que lorsque les usines de fabrication de véhicules de M. Musk seront présentes en Europe, elles seront le client d'entreprises qui, en France, concevront des batteries électriques. Nous devons donc, pour le secteur automobile, entretenir avec les constructeurs les meilleures relations, de façon à faire advenir, dans la mutation assez brutale que représente le passage du thermique à l'électrique, la réussite industrielle de cette filière à laquelle nous sommes attachés. Les projets de « gigafactories » que nous avons réussi à attirer sur notre territoire doivent avoir des débouchés et les constructeurs automobiles en font partie.
M. Musk a repris l'an dernier un réseau social qui ne relève pas autant que la construction de fusées ou de voitures de logiques physiques : cette activité relève principalement de logiques humaines. Après un certain nombre d'expérimentations qui n'ont pas été couronnées de succès, il a fait quelques pas en matière de transparence en ouvrant son algorithme de recommandation en open source. Il semble néanmoins rencontrer les plus grandes difficultés à se conformer à nos attentes, notamment en matière de lutte contre la désinformation. L'annonce, la semaine dernière, du retrait de la signature de Twitter du code volontaire de lutte contre la désinformation n'est pas l'aveu du fait que Twitter ne se conformera pas aux obligations existantes, puisque ce code est d'application volontaire. L'on peut d'ailleurs appliquer les mesures du code de bonnes pratiques contre la désinformation sans avoir signé ce code.
Je suis, pour ma part, relativement inquiet, car je ne vois pas de signaux très encourageants quant à la capacité de Twitter à se conformer à cette partie des obligations nouvelles qui lui sont faites par le règlement sur les services numériques, malgré les déclarations répétées qu'Elon Musk a pu faire au Président de la République, au ministre de l'économie et des finances et à moi-même quant à sa ferme intention de conformer Twitter à ses obligations, en particulier celles du DSA. Elon Musk ne cesse de répéter que le DSA est une bonne régulation. Nous verrons le 25 août si Twitter se conforme à ces obligations. S'il s'y plie, la plateforme pourra continuer d'exercer. Dans le cas contraire, la Commission européenne sera fondée à appliquer une amende très lourde. Je le souhaite vivement, dans une telle hypothèse, car il en va de la crédibilité de ces règlements européens et donc de l'Europe.
Mme Catherine Morin-Desailly, présidente. - Merci, monsieur le ministre, pour ces propos rassurants. Je vous remercie vivement de nous avoir consacré ces deux heures, qui ont été utiles. Je pense que des échanges auront encore lieu entre nous d'ici l'examen du texte. Certaines propositions du Sénat seront mises en débat au sein de notre commission pour pouvoir parfaire le sujet. Nous allons travailler à un rythme soutenu d'ici début juillet.
Cette réunion a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 16 h 30.