Mardi 13 juin 2023
- Présidence de Mme Catherine Morin-Desailly, présidente -
La réunion est ouverte à 9 heures.
Audition des régulateurs
Mme Catherine Morin-Desailly, présidente. - Bonjour à tous. J'ai le plaisir d'accueillir Roch-Olivier Maistre, président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), Laure de La Raudière, présidente de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), et Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (CNIL).
Mesdames les présidentes, monsieur le président, notre Commission spéciale a été constituée afin d'examiner le projet de loi visant à sécuriser et réguler l'espace numérique. La variété des missions que vous remplissez suffit à souligner l'ampleur de ce texte, et plus profondément l'orientation qui est la sienne et que je crois nous approuvons tous, qui est de mettre enfin en place une régulation efficace du monde numérique.
Monsieur Maistre, l'Arcom est, avec le temps et de multiples projets et propositions de loi, devenue le grand régulateur des contenus numériques, à tel point que votre désignation comme coordinateur pour les services numériques en application de l'article 49 du Règlement sur les services numériques (RSN) n'a souffert d'aucune contestation.
Le projet de loi redéfinit également votre mission en matière de contrôle de l'accès des sites à caractère pornographique, sujet très suivi par de nombreux membres de la commission spéciale, avec trois rapporteurs sur quatre du rapport de la Délégation aux droits des femmes sur l'industrie pornographique : Annick Billon, Alexandra Borchio Fontimp et Laurence Rossignol, sans oublier bien sûr Marie Mercier, à l'origine de l'article 23 de la loi du 30 juillet 2020 qui n'a jamais été réellement appliquée.
Je n'oublie pas l'article 4 qui étend votre compétence au numérique pour la mise en oeuvre des mesures restrictives au niveau européen. Je réitère notre souhait que vos moyens soient à l'avenir au niveau de vos missions.
Madame de La Raudière, l'Arcep se voit attribuer le rôle de gendarme de l'informatique en nuage, ou « Cloud », et ce sera au coeur du suivi de l'application des dispositions relatives à la régulation, à l'interopérabilité, à la portabilité des services d'informatique en nuage ainsi que des dispositions relatives au service d'intermédiation des données. Vos pouvoirs d'enquête, de sanction et de saisine sont ainsi renforcés, des mesures essentielles pour mieux affirmer notre souveraineté numérique dans les prochaines décennies. Cela soulève bien sûr de redoutables questions techniques et juridiques.
Enfin, madame Denis, la CNIL est également placée au coeur des enjeux numériques, et ce n'est pas un hasard si deux membres du Sénat de votre collège sont également membres de la Commission spéciale, notre rapporteur Loïc Hervé et Sylvie Robert. Car « l'or noir » du numérique, ce sont les données personnelles, mais aussi les données de nos administrations et de nos entreprises, et ces données doivent faire l'objet d'une protection toute particulière, encore plus à l'heure de l'Intelligence artificielle.
Il nous faut donc à chaque fois, je pense notamment au contrôle de l'âge, équilibrer entre les aspirations légitimes de protection des mineurs, et la collecte de données. Vous serez ainsi chargée avec l'Arcom de l'élaboration du référentiel prévu à l'article 2, mais vous aurez également à intervenir sur le déploiement du filtre « anti-arnaques » prévu à l'article 6, la CNIL étant désignée comme autorité garante du caractère justifié et proportionné des mesures prises dans le cadre de ce dispositif, ce qui ne constitue pas un petit rôle.
Je vous propose donc l'organisation suivante : je vais demander à chacun d'entre vous d'exposer les enjeux propres à son autorité dans le projet de loi, et les éventuels points de vigilance.
M. Roch-Olivier Maistre, président de l'Arcom. - Merci madame la présidente pour votre invitation. Je suis très heureux de retrouver ce matin les membres de la Commission spéciale, et je veux souligner d'emblée combien l'Autorité est sensible à la confiance que le Parlement lui manifeste. Grâce à cette confiance, cette autorité aura été très singulièrement transformée.
Le projet de loi qui nous réunit est bien évidemment important, notamment pour la mise en oeuvre du Règlement européen sur les services numériques, qui va changer la donne en Europe, puisqu'il s'agit du premier texte au niveau européen qui s'attache à réguler les grands acteurs du numérique.
Au préalable, je souhaite souligner trois points.
Tout d'abord, la nécessité et l'importance de l'inter-régulation aujourd'hui, car les acteurs que nous avons en face de nos Autorités sont en grande partie les mêmes. Avec Marie-Laure Denis et Laure de La Raudière, mais également d'autres autorités, nous avons eu à coeur, depuis le début de nos mandats respectifs, de tisser des liens étroits de confiance et de collaboration quotidienne qui sont essentiels. L'Arcep comme la CNIL sont pour nous des interlocuteurs très importants dans la mise en oeuvre de notre action.
Le deuxième point de vigilance réside dans la cohérence des textes nationaux et des textes européens. La régulation que nous déployons possède une dimension toujours plus européenne, et l'Arcom joue un rôle central au sein du Groupe des régulateurs européens (ERGA). Nous dialoguons avec la Commission sur beaucoup de textes, comme la directive « Services de médias audiovisuels », la mise en oeuvre du RSN, la législation européenne sur la liberté des médias, sur laquelle vous allez travailler prochainement. L'articulation des textes nationaux et européens constitue donc un élément très important.
Le troisième point sur lequel nous serons très attentifs concerne la liberté de communication. Nous devons ainsi toujours veiller à l'équilibre entre les mesures de protection des publics, en l'occurrence des plus jeunes, et la protection d'une liberté essentielle, celle de communication.
À l'égard du texte qui est soumis au Parlement aujourd'hui par le Gouvernement, l'Arcom a rendu un avis favorable. Je rappelle que ce texte comporte trois types de données. Tout d'abord, une première série de dispositions ayant trait à la protection des mineurs en ligne, à l'égard en particulier des sites pornographiques. La sénatrice Marie Mercier pourra le souligner : ce texte vise à répondre aux difficultés que nous rencontrons depuis la loi de 2020 sur les violences conjugales, en raison de manoeuvres dilatoires de la part des sites de l'industrie pornographique. Depuis l'adoption de ce texte en 2020, ces sites n'ont pris aucune initiative pour s'y conformer, et ont multiplié toutes les initiatives juridiques que permet un État de droit pour faire obstacle à sa mise en oeuvre.
L'Arcom a combattu pied à pied pour déployer cette mise en oeuvre par les procédures de mise en demeure que permet le texte. Chacune d'entre elles ont été contestées devant les juridictions ad-hoc, puis par une saisine du Tribunal judiciaire de Paris pour demander le blocage de ces sites. Nous attendons maintenant la décision du Tribunal, prévue le 7 juillet prochain. Nous formons le voeu que notre demande de blocage soit suivie, en ayant la conviction que rien ne bougera tant que cette décision n'aura pas été rendue.
Nous accueillons donc favorablement le texte qui vous est proposé aujourd'hui, et qui doit permettre à l'Autorité de disposer elle-même d'un pouvoir de blocage, et d'une capacité de demander le déréférencement de ces sites sur les moteurs de recherche s'ils ne se conforment pas aux dispositions du code pénal en matière de protection des mineurs. Nous formons néanmoins avec la CNIL une proposition conjointe de rédaction de texte, comme nous l'avons évoqué avec le rapporteur Loïc Hervé pour une meilleure articulation entre les articles 1 et 2, qui ont des finalités un peu différentes. Nous proposons également d'instaurer avant la mise en oeuvre d'une procédure coercitive engagée sur le fondement de l'atteinte à la vie privée, une procédure de consultation formelle de la CNIL par l'Arcom. Le texte présente en effet une double finalité : la protection des mineurs, mais également une dimension touchant à la protection de la vie privée.
Ce texte ne met pas à l'abri de difficultés contentieuses. Lorsqu'il sera adopté, nous n'échapperons pas à des procédures, et à une question prioritaire de constitutionnalité (QPC). Beaucoup des sites évoqués sont localisés à l'étranger, ce qui complexifie la situation.
La deuxième dimension du texte a trait aux chaînes étrangères. Cette proposition découle de ce que nous avons vécu avec les événements se déroulant en Ukraine. Nous avons été dès le début du conflit confrontés à la question de la suspension de chaînes diffusant de la propagande russe, ce qui a donné lieu à des décisions de sanctions d'application immédiate directe adoptées par la Commission européenne. Du fait de ses compétences, l'Arcom a participé à la mise en oeuvre de ces sanctions, et a prononcé elle-même des mesures de blocage. Mais nous avons constaté des cas de contournements, auquel le cadre juridique actuel n'apportait pas de réponse satisfaisante. Le signal de la chaîne RT, pourtant bloqué, a ainsi été repris sur le site Odysee. Nous avons alors été confrontés aux lacunes pour assurer le blocage effectif de cette diffusion.
Le texte vise précisément à renforcer l'efficacité de la mise en oeuvre des mesures de sanctions décidées par l'Union européenne à l'encontre de chaînes étrangères, en application de l'article 215 du Traité. Le texte renforce les pouvoirs du régulateur, en lui donnant un pouvoir d'injonction et de retrait auprès des services qui diffuseraient ou hébergeraient des contenus de médias eux-mêmes sous sanctions, avec en cas d'inaction, la possibilité sous 72 heures de demander le blocage et le déréférencement du site contrefaisant aux fournisseurs d'accès et aux moteurs de recherche.
Dans notre esprit, l'objectif est de s'attaquer aux mesures de contournement d'une décision adoptée par l'Union européenne, et non d'aller sur un contrôle contenu par contenu, site Internet par site Internet.
Comme pour les articles précédents, nous devons avoir conscience des difficultés que nous rencontrerons pour la mise en oeuvre des sanctions financières à l'égard d'éditeurs ou d'hébergeurs établis partout dans le monde. Le recouvrement financier sera donc probablement très ardu.
La dernière disposition, très importante, concerne la désignation du coordinateur pour les services numériques (DSC), l'un des éléments de la gouvernance du nouveau règlement européen sur les services numériques. Il s'agit d'un texte très important pour nous, car il parachève la création de l'Arcom en la désignant comme autorité de coordination nationale (DSC) en France pour la mise en oeuvre de ce texte. Pour nous, la dimension fondamentale dans ce texte réside dans le « C » de DSC, à savoir cette mission de coordination que nous porterons en liaison étroite avec la CNIL. Je n'oublie pas la Direction générale de la concurrence, puisque des dispositions du texte visent des questions de contrefaçon, qui touchent au droit de la consommation. Dans notre fonction de DSC, nous aurons à coeur d'organiser la coordination avec les autres autorités nationales concernées par ce texte pour assurer sa bonne application.
Nous nous réjouissons également que le texte mette en lumière l'articulation entre l'Arcom et le PEReN, service national créé pour mettre à disposition de l'ensemble des administrations françaises et des autorités administratives des compétences techniques et des expertises rares. Cette collaboration sera pour l'Arcom précieuse dans la mise en oeuvre de ce Règlement européen.
Par ailleurs, la mise en oeuvre de ce texte va nécessiter une étroite collaboration avec la Commission européenne, car le règlement prévoit un niveau d'obligation différent en fonction de la taille des plateformes. Les plus importantes d'entre elles (Facebook, Twitter, TikTok, Google...) seront sous un contrôle plus direct de la Commission européenne en liaison avec les autorités nationales désignées par chaque pays, dont l'Arcom pour la France. Ce Conseil organisé autour de la Commission européenne devra donc fonctionner de manière fluide. De la même façon, nous devrons avoir une articulation étroite avec nos homologues étrangers, dont l'Irlande qui héberge nombre de plateformes. J'étais en Irlande il y a très peu de temps pour précisément organiser ce flux de relations.
Enfin, madame la présidente, je suis sensible aux voeux que vous avez exprimés pour le renforcement des moyens de l'Autorité. Nous avions obtenu dans le cadre de la loi de finances pour 2023 la possibilité de créer quelques emplois supplémentaires, et nous souhaitons que la loi de finances pour 2024 permette de compléter ce mouvement pour doter des bons profils notre direction des plateformes, créée il y a deux ans et demi, et chargée du volet de la régulation des acteurs du numérique. Il s'agit en effet d'une régulation d'un nouveau type qui fait appel à des techniques nouvelles, et il est donc important qu'elle dispose des moyens pour mener à bien ses missions.
L'Arcom exprime donc un avis favorable sur le texte, avec quelques petites observations notamment sur la protection des mineurs, sur laquelle il est sans doute possible d'optimiser la rédaction.
Mme Catherine Morin-Desailly, présidente. - Je vous remercie monsieur le président, je passe maintenant la parole à la présidente de l'Arcep.
Mme Laure de La Raudière, présidente de l'Arcep. - Merci madame la présidente.
Messieurs les rapporteurs, mesdames et messieurs les sénatrices et sénateurs, madame la présidente de la CNIL, monsieur le président de l'Arcom, je suis très heureuse d'être aujourd'hui parmi vous pour vous donner l'avis de l'Arcep sur le texte de loi. Nous sommes concernés par le titre III, qui vise à renforcer la confiance et la concurrence dans l'économie de la donnée, et renforcer l'innovation dans le domaine du numérique.
L'Arcep a été créée au moment de l'ouverture du marché des télécoms en 1997 avec comme objectif le développement de la concurrence et de l'innovation. D'autres compétences nous ont été données par la suite, comme la définition des normes permettant l'interopérabilité et la portabilité dans le domaine des réseaux des télécommunications. Nous sommes également le garant de la neutralité de l'Internet qui favorise l'innovation et la liberté d'expression. Le règlement de la neutralité d'Internet a été proposé par la Commission européenne pour garantir à l'ensemble des acteurs d'avoir accès à Internet sans discrimination, et aux utilisateurs d'accéder à l'ensemble des contenus. Nous avons également travaillé sur l'ouverture des marchés numériques, en amont du règlement européen sur les marchés numériques (RMN). L'Arcep a rendu un rapport à propos des terminaux comme maillons faibles de la neutralité d'Internet. Les smartphones étaient identifiés comme des lieux où les gens étaient prisonniers. La Commission des affaires économiques du Sénat avait à ce sujet déposé un texte en amont du RMN pour déverrouiller ce marché numérique.
L'Arcep possède donc une culture d'ouverture des écosystèmes numériques. Nous sommes une autorité pro-innovation et pro-concurrence, et un régulateur économique sur le champ des télécoms ayant élargi progressivement notre action sur le champ du numérique. Nous attendons avec beaucoup d'intérêt les nouvelles compétences qui s'inscrivent en continuité de nos réflexions, comme l'interopérabilité et la portabilité des services Cloud, ou concernant l'autorité en charge de la régulation de ce nouveau type d'acteurs que sont les prestataires de services d'intermédiation de données.
L'objectif du texte est de déverrouiller le marché du Cloud, aujourd'hui fortement concentré autour de quelques acteurs principalement américains, situation renforcée par des pratiques qui verrouillent les utilisateurs sur les plateformes. Le sujet est abordé dans l'article 6 pour lequel l'Arcep n'est pas compétente, et qui est délégué à la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Le texte confie à l'Arcep la définition des spécifications et des modalités permettant l'interopérabilité et la portabilité des services Cloud. Les freins sont en effet à la fois commerciaux, contractuels, mais aussi techniques.
Le texte prévoit la mise en place d'interfaces d'application pour permettre le transfert, et permet pour les services Cloud d'infrastructure une équivalence fonctionnelle. Ces prévisions sont cohérentes par rapport à la position du Conseil au niveau européen, dans le cadre des discussions actuellement en trilogue pour le Règlement européen du Data Act.
Vous allez légiférer sur les articles concernant le Cloud en amont de l'adoption définitive du Règlement Data Act, et nous pensons qu'une vigilance particulière doit être apportée aux articles concernant l'interopérabilité et la portabilité du service de Cloud. Il serait souhaitable de ne pas trop détailler pour laisser à la régulation la possibilité d'évoluer en fonction de ce qui sera décidé in fine sur le Data Act. L'Arcep considère que les rédactions et les définitions proposées permettent cette évolution, et sont donc bienvenues.
Nous sommes également concernés par l'application du Data Governance Act, adopté en 2022 au niveau européen, qui nécessite de désigner une autorité indépendante, notamment pour la régulation des prestataires de service d'intermédiation de données. Ces entités vont permettre l'échange de données sur un marché, en mettant en place une plateforme technique mais aussi contractuelle pour assurer des échanges de données en toute confiance entre les acteurs d'un secteur.
L'opérateur Hub One, filiale d'Aéroports de Paris, souhaite ainsi développer ce type de plateforme d'échange de données en situation de confiance, avec l'ensemble des clients d'ADP, pour améliorer le service rendu aux passagers et aux différentes entreprises travaillant sur les aéroports.
Cette partie du texte prévoit une coopération avec la CNIL, détaillée avec trois mécanismes. Le premier est un mécanisme général prévoyant que l'Arcep saisisse la CNIL avant toute décision des pratiques des prestataires de service d'intermédiation de données de nature à soulever des questions liées à la protection des données personnelles. Un mécanisme spécifique est lié à la labellisation et aux réclamations éventuelles concernant les prestataires de services d'intermédiation de données, et une autre concerne les procédures de sanction.
La rédaction actuelle du texte nous paraît correspondre à nos besoins d'échanges avec la CNIL, sachant que le Règlement européen du Data Governance Act prévoit que les dispositions concernant les prestataires de services d'intermédiation de données se font sans préjudice de celles concernant le Règlement général sur la protection des données (RGPD). Par ailleurs, le texte européen prévoit que l'ensemble des autorités concernées exerceront toujours leur rôle. Nous pourrions ainsi saisir l'Autorité de la concurrence, ou l'Agence nationale de sécurité des systèmes d'information (ANSSI) pour leur demander un avis sur certaines pratiques des prestataires de services d'intermédiation de données. Nous serons ainsi amenés à poursuivre nos coopérations avec les hautes autorités indépendantes, ce qui n'est pas une pratique nouvelle, comme l'a précisé Roch-Olivier Maistre : l'Arcep et l'Autorité de la concurrence se saisissent régulièrement l'une l'autre, et nous disposons avec l'Arcom d'un pôle commun qui fonctionne bien, pour travailler sur des sujets comme les enjeux environnementaux du numérique.
Enfin, nous serons très vigilants, dans notre mise en oeuvre de l'interopérabilité et de la portabilité des services Cloud, sur les enjeux et les évolutions du texte européen. Faut-il légiférer maintenant ou attendre le Règlement européen ? L'intérêt de légiférer maintenant permettrait de monter en compétences, de rencontrer les acteurs, de comprendre le système. L'interopérabilité et la portabilité des services Cloud représentent un enjeu complexe, et l'anticipation du règlement européen peut donner à la France une avance en matière de compétences. Nous devrons recruter pour ce sujet, et du personnel sera mobilisé en interne. Un important travail en amont, notamment auprès des acteurs, doit être mené avant de prendre des décisions de spécifications et de modalités de l'interopérabilité. La nouvelle compétence de la distribution de la presse nous a demandé un an et demi avant de prendre les premières décisions majeures. Ce sujet est sensible d'un point de vue économique, mais moins d'un point de vue technique.
Mme Catherine Morin-Desailly, présidente. - Merci madame la présidente. Il est vrai que nous avons l'impression que ce texte permet d'anticiper les sujets que vous avez évoqués, et le Data Act est toujours en cours de discussion. Vous nous avez mis en garde de ne pas trop préciser le texte, ce qui met un peu dans l'embarras le législateur français, car nous considérons que nous avons notre mot à dire. Par ailleurs, nous avons bien noté ce décalage temporel dans l'adoption des règlements européens.
Je donne maintenant la parole à Marie-Laure Denis pour la CNIL.
Mme Marie-Laure Denis, présidente de la CNIL. - Merci, madame la présidente.
Messieurs les rapporteurs, mesdames et messieurs les sénateurs, je vous remercie d'avoir sollicité la CNIL pour cette table ronde chargée d'examiner le projet de loi visant à sécuriser et à réguler l'espace numérique, et qui traduit le souci de votre Commission spéciale de veiller à la bonne articulation entre les autorités indépendantes représentées ici pour la mise en oeuvre de ces dispositions.
Dans un avis adopté le 20 avril dernier, la CNIL s'est prononcée sur les dispositions de ce texte en lien avec la protection des données à caractère personnel. Je ferai en préambule trois remarques d'ordre général.
Tout d'abord, ces nouvelles dispositions de la loi s'appliqueront sans préjudice de celles fixées par le RGPD. À cet égard, en cas de conflit entre ces dispositions et le droit de l'Union en matière de protection des données à caractère personnel, ce sont les dispositions pertinentes en matière de données personnelles qui prévalent, et il reviendra à la CNIL de veiller à leur pleine effectivité.
Ensuite, nous constatons une multiplication des réglementations régissant le numérique, tant du fait des nombreux textes européens adoptés ou en cours d'adoption que de nouvelles réglementations nationales. Ces régimes prévoient l'intervention d'un nombre croissant de régulateurs dans l'espace numérique. Si la pénétration croissante des technologies numériques dans toutes les activités humaines est évidente, l'inflation normative et la multiplicité des textes comportent deux risques : la complexité juridique et donc l'insécurité juridique dans l'articulation de ces textes, et celui d'une régulation moins cohérente ou moins efficace de l'espace numérique. C'est la raison pour laquelle des mécanismes de coordination entre les régulateurs sont prévus, et je me permets d'attirer votre attention sur ces enjeux d'articulation et de coordination qui me paraissent essentiels.
Enfin, la CNIL partage les préoccupations du Gouvernement, et son objectif de sécuriser l'espace numérique. Elle s'y emploie au quotidien, au travers de son action en matière de cybersécurité et en promouvant des actions d'éducation au numérique. Néanmoins, certaines des mesures proposées par le projet de loi soulèvent des questions importantes en matière de protection des libertés fondamentales des internautes, dont le respect de la protection de la vie privée. Nous appelons donc le Parlement à poursuivre cette réflexion sur le juste équilibre nécessaire entre sécurité et liberté.
Je souhaite maintenant aborder quelques dispositions en particulier.
Tout d'abord, s'agissant des dispositions de vérification de l'âge sur Internet, la CNIL réaffirme son soutien à l'objectif poursuivi de protection de la jeunesse. Les systèmes de contrôle de l'âge présentent des enjeux importants en matière de protection des données personnelles, et la CNIL a émis plusieurs recommandations à ce sujet. Le texte prévoit que la CNIL sera consultée par l'Arcom sur le projet de référentiel qui fixera les exigences techniques permettant d'empêcher les mineurs d'avoir accès à des contenus pornographiques. En pratique, nous travaillons déjà main dans la main sur ce sujet avec l'Arcom pour qu'on ne puisse pas opposer la protection des mineurs et la protection des données personnelles.
Dans son avis, le collège de la CNIL a appelé à préciser l'articulation entre les différentes mesures susceptibles d'être prises, évoquées par Roch-Olivier Maistre. Par ailleurs, dès lors que nous constatons au quotidien le besoin d'un dialogue continu sur ces sujets très techniques entre l'Arcom et la CNIL, il serait pertinent d'introduire un mécanisme permettant formellement à l'Arcom de saisir la CNIL pour avis dans le cadre d'une procédure de mise en demeure ou de sanction d'un opérateur de sites pornographiques, en cas d'enjeux de protection de vie privée.
Ensuite, l'article 5 du projet de loi prévoit de créer une peine de bannissement numérique infligée aux personnes condamnées pour diverses formes de harcèlement en ligne, qui leur interdirait d'accéder à leurs comptes sur la plateforme en cause, et d'en créer de nouveaux. Je vous fais part de mes interrogations sur les solutions concrètes qui pourraient être mises en oeuvre, afin notamment d'empêcher la création de nouveaux comptes par la personne condamnée. En tout état de cause, les mesures pour bloquer les comptes existants et empêcher la création de nouveaux comptes, qui ne sont pas précisées dans le projet de loi, devront être proportionnées à l'objectif poursuivi. Ces dispositions ne devraient pas conduire les réseaux sociaux à collecter des données supplémentaires, ou à mettre en oeuvre des traitements intrusifs pour l'ensemble de leurs utilisateurs, alors que ces mesures ne concerneront qu'un nombre limité de ces derniers.
En outre, je m'interroge sur la pertinence d'un blocage qui reposerait sur l'adresse IP, dans la mesure où il pourrait être facilement contourné, par exemple avec un VPN, et que cela porterait atteinte aux libertés de toutes les personnes vivant dans le foyer concerné.
En ce qui concerne maintenant le filtre national de cybersécurité à destination du grand public, porté par l'article 6, la CNIL approuve le souhait du Gouvernement de renforcer la protection de l'internaute contre les risques cyber via l'affichage d'un message dans leur navigateur lorsqu'il accède à un site comportant des risques. Là aussi, il est crucial que l'objectif légitime de cybersécurité ne conduise pas en pratique à une restriction abusive des libertés de communication et d'expression. À cet égard, je note avec satisfaction que des garanties ont été apportées et qu'un contrôle indépendant de la mise en oeuvre du filtrage sera confié à un membre de la CNIL.
Nous soulignons néanmoins que le nombre potentiel de sites cybermalveillants serait de l'ordre de 300 000 par an. Le contrôle de ces sites constituera donc un défi considérable qui implique des moyens adéquats. Concrètement, la CNIL est susceptible de recevoir des notifications concernant peut-être 1 000 adresses par jour.
S'agissant des modalités techniques de déploiement de ce filtre, la CNIL, comme elle l'a indiqué dans son avis, est favorable à ce que le filtrage soit réalisé au sein du navigateur Internet, donc sous la responsabilité de l'internaute, préservant ainsi sa liberté de communication, et que l'activation du dispositif au niveau des fournisseurs d'accès à Internet (FAI) et des systèmes de résolution des noms de domaine (DNS) soit réservée aux cas les plus graves.
Par ailleurs, s'agissant de la régulation des services d'intermédiation de données (articles 11 et 12 notamment), instaurée par le Règlement européen sur la gouvernance des données (DGA), le projet de loi désigne l'Arcep pour superviser ces nouveaux acteurs. La CNIL souligne que, si certains de ces acteurs traitent de données industrielles et très peu de données personnelles, une partie d'entre eux ont pour activité principale de commercialiser un accès à des bases de données personnelles. Pour ces acteurs, le DGA et le RGPD s'appliqueront parallèlement, et le DGA prévoit qu'en cas de contrariété le RGPD prévaut.
En outre, les règles du DGA sont en partie des règles décalquées ou précisées du RGPD. Il existe donc un risque de complexité et d'insécurité juridique que l'Arcep et la CNIL devront parer en travaillant ensemble. La CNIL doit pouvoir notamment jouer pleinement son rôle dans la qualification des acteurs et des données qui traitent ces acteurs, afin qu'eux-mêmes et l'Arcep puissent déterminer les règles s'appliquant.
La CNIL a formulé certaines propositions dans son avis. Le collège de la CNIL propose que la loi soit complétée pour prévoir une transmission systématique à la CNIL des notifications que ces prestataires feront à l'Arcep pour déclarer leur activité. Cela permettrait à la CNIL de rendre un avis pour indiquer à l'acteur et à l'Arcep si le RGPD s'applique ou non en parallèle du DGA, et dans quelle mesure. Cela améliorerait la sécurité juridique et nourrirait le dialogue entre les régulateurs.
Dans le même esprit, une consultation systématique et préalable de chacune des deux autorités Arcep et CNIL avant toute adoption d'un texte de droit souple par l'un ou l'autre des deux régulateurs me paraît également nécessaire. Il serait par ailleurs utile d'apporter une modification rédactionnelle à l'alinéa 2 de l'article 13, qui évoque sur des sujets précis la consultation de la CNIL par l'Arcep mais en parlant d'un « cas échéant », dont j'ai un peu du mal à comprendre ce à quoi il se rapporte. Je propose donc sa suppression.
Enfin, je conclurai sur les compétences confiées à la CNIL dans le cadre du DGA et du RSN. Cela concerne l'altruisme des données, la publicité en ligne et la protection des mineurs. J'approuve les choix du Gouvernement dans la mesure où l'altruisme des données reste à construire, et présentera des enjeux en matière de protection des personnes. Concernant la publicité en ligne et la protection des mineurs, le RSN précise des règles déjà présentes dans le RGPD.
Au regard de la diversité des acteurs qui devront appliquer le RSN, je ne peux pour conclure qu'insister à nouveau sur la nécessité d'une coopération étroite entre les autorités compétentes, l'Arcom, la DGCCRF et la CNIL, qui existe déjà de fait, pour assurer une régulation cohérente et garantir une sécurité juridique des acteurs concernés. Je vous remercie.
Mme Catherine Morin-Desailly, présidente. - Merci madame la présidente. Je vais passer maintenant la parole à Loïc Hervé, pour une première série de questions relatives à notre texte.
M. Loïc Hervé, rapporteur. - Tout d'abord une question d'ordre général. Le Sénat a adopté hier après-midi une proposition de loi relative à la reconnaissance biométrique, qui prévoit un panachage des collèges permettant par exemple au président d'une autorité d'être membre de droit du collège d'une autre autorité, comme ce qui existe avec la Commission d'accès aux documents administratifs (CADA) et la CNIL. Est-ce un sujet qui doit selon vous être développé ? Est-ce le gage d'une meilleure coopération entre les différentes autorités administratives indépendantes ?
Vous avez évoqué de manière très complète le texte de loi qui présente des conséquences sur la vie de vos autorités administratives indépendantes. Ce texte comporte-t-il selon vous des lacunes, des domaines non couverts qui mériteraient de l'être et qui pourraient alimenter le travail parlementaire de cette Commission spéciale ?
Monsieur le président de l'Arcom, nous avons évoqué hier dans une audition la question du référentiel. Le législateur va vous confier la mission de rédaction, ce qui peut apparaître comme une question technique, alors qu'elle ne l'est pas à bien des égards. J'aimerais que vous puissiez ainsi détailler les questions de planning et de technologies préconisées, afin que nous appréhendions au mieux les enjeux et les difficultés potentielles. Ce référentiel sera important, car il fera jurisprudence lorsqu'il s'agira d'évoquer la régulation d'autres secteurs de l'Internet, ce que craignent un certain nombre d'acteurs.
Concernant votre pouvoir d'injonction administrative créé par l'article 2, comment le concevez-vous, particulièrement sur l'accès des sites pornographiques aux mineurs ? Nous avons constaté les difficultés de mise en oeuvre de textes de loi déjà votés. Par ailleurs, comment pouvez-vous lier ce nouveau travail à l'exploitation du travail accompli avec la plateforme Pharos ?
Madame la présidente de la CNIL, vous avez abordé à deux reprises la question des moyens : disposez-vous d'une évaluation de vos besoins au regard de l'ampleur des missions qui vous seraient confiées ?
Mme Catherine Morin-Desailly, présidente. - La question de l'accès aux sites pédopornographiques est essentielle, mais ne doit pas faire oublier celle du harcèlement de nos jeunes, avec des conséquences dramatiques, comme nous l'avons constaté récemment. Comment ce nouveau texte pourrait permettre de résoudre cette problématique ?
Mme Laure de La Raudière. - Concernant le panachage des collèges d'autorité, je rappelle que la coopération est bonne et que nous échangeons régulièrement. Le fait que le président d'une autorité comme l'Arcep soit membre du collège de la CNIL par droit, et vice-versa, ne me paraît pas la solution idéale, en raison d'un risque de biais dans la mesure où la décision d'une autorité emporterait l'avis de l'autre, au moins en communication à l'extérieur. Par exemple, une décision prise par l'Arcep avec un membre de la CNIL en son sein pourrait être perçue comme validée par la CNIL. Je préfère donc largement les avis croisés où chaque autorité s'exprime selon ses objectifs spécifiques de régulation. Les trois autorités possèdent en effet des objectifs de régulation différents : les contenus pour l'Arcom, la défense des libertés individuelles pour la CNIL, la défense de la concurrence pour l'Arcep.
Par ailleurs, les coopérations entre autorités existent. Nous disposons de collèges communs à l'Arcom et à l'Arcep, mis en place sans le recours à des textes de loi. Ils se réunissent une à deux fois par an. Nous bénéficions également d'un pôle de travail commun entre l'Arcom et l'Arcep. Cette coopération doit exister au niveau des collèges, mais aussi par des groupes de travail commun ou par des pôles commun au niveau des équipes, ce qui est essentiel.
M. Roch-Olivier Maistre. - Concernant le premier point, je fais volontiers mienne la réponse de Laure de La Raudière. Il existe des mécanismes de consultation prévus par les textes et que nous pratiquons chaque fois qu'une problématique intéresse une autre autorité. Nous avons en l'occurrence suggéré d'instaurer une procédure formelle s'agissant de la protection des mineurs dans le texte qui vous est soumis. Par ailleurs, la mécanique des conventions constitue un dispositif souple mais tout à fait efficace, mis en pratique avec l'Arcep lors de ma prise de fonctions. Il existe également des procédures d'audition périodiques. Marie-Laure Denis m'a ainsi convié à une intervention devant le collège de la CNIL il y a quelques semaines, et elle a également répondu à l'invitation du collège de l'Arcom. Nous avons aussi reçu le président de l'Autorité de la concurrence, et je suis auditionné cette semaine par cette autorité. Ce type de mécanisme me paraît donc préférable.
Les membres de nos collèges sont déjà nombreux, donc je pense souhaitable de privilégier les mécanismes évoqués plutôt qu'une présence supplémentaire institutionnelle.
Concernant les lacunes, je n'en identifie pas à ce stade.
Par ailleurs, le référentiel constituera en effet un sujet important. J'ai évoqué dans mon propos introductif l'attente d'une décision de justice le 7 juillet, et je serai donc prudent dans mon expression. Nous travaillons sur ce sujet avec la CNIL et le PEReN pour préparer ce document qui devrait être prêt à l'automne. Nous serons sans doute confrontés sur ce volet à une consultation de niveau européen.
Concernant les procédures d'injonction, nous distinguons à la lecture du projet de loi deux types de dispositions entre l'article 1 et l'article 2. Le premier vise plus spécifiquement des dispositifs de vérification d'âge qui ne respecteraient pas suffisamment la vie privée au regard du référentiel élaboré par l'Arcom après avis de la CNIL et la collaboration du PEReN. Dans ce cas, le texte évoque la possibilité de mise en demeure et de sanctions financières. L'article 2 vise l'absence de mise en place d'un dispositif efficace de vérification de l'âge qui pourrait conduire l'autorité à demander le blocage du site, mais cet article ne fait pas référence au référentiel, raison pour laquelle il nous semblerait utile, en accord avec la CNIL, d'harmoniser ces deux articles en un seul, de prévoir une mesure de consultation formelle de la CNIL par l'Arcom dans l'hypothèse du constat d'un dispositif mis en oeuvre par un site qui porterait atteinte de façon excessive à la vie privée en regard du référentiel. Nous disposerions alors d'un seul schéma de procédure pour éviter ces zones d'ambiguïté.
Concernant la question du harcèlement, il s'agit d'un sujet central. Je vois aujourd'hui le ministre de l'Éducation nationale pour en parler. Le règlement sur les services numériques a pour ambition de conduire les sites couverts par ce texte à lutter contre tous les contenus de nature illicite, et vise plus spécifiquement tout ce qui a trait à la haine en ligne et aux mécanismes de harcèlement. Il mentionne par ailleurs l'obligation de procéder à l'évaluation des risques de nature systémique que chacune de leur plateforme peut comporter, d'imposer à ces sites des mécanismes annuels d'audit externe pour vérifier les dispositifs mis en place, soit d'Intelligence artificielle, soit de modération humaine. Une autre obligation contraint ces sites à mettre leurs données à disposition de la sphère académique pour qu'elle puisse mener ses travaux de recherche et contrôler la manière dont leurs algorithmes procèdent. Par ailleurs, les autorités de régulation disposeraient d'un important pouvoir de sanction, pouvant aller jusqu'à 6 % du chiffre d'affaires mondial. Il s'agit donc de réponses très importantes.
Pour les très grandes plateformes, ce règlement sera effectif à partir de la fin du mois d'août de cette année. Twitter ou TikTok répondent-ils aux dispositions du RSN ? Pour l'Union européenne, pour la Commission, pour la gouvernance de ce texte, les réponses vont arriver très vite. L'enjeu de crédibilité est essentiel.
Une autre dimension tout aussi importante réside dans le volet éducation aux médias, et à la citoyenneté numérique : comment proposer très tôt l'apprentissage d'une citoyenneté numérique ? Ouvrir un compte sur TikTok, Facebook ou Twitter ne doit pas être synonyme d'une transformation en délinquant potentiel, en harceleur de ses camarades de classe ou en diffuseur de fausses informations. Le travail éducatif en amont est donc très important.
Mme Marie-Laure Denis. - Concernant l'éventuel élargissement du collège de la CNIL et des hautes autorités, l'idée exprimée dans le rapport de Philippe Latombe et de Philippe Gosselin à l'Assemblée nationale sur l'utilisation des images de sécurité dans le domaine public pour lutter contre l'insécurité, a été reprise hier dans la proposition de loi sur la reconnaissance faciale. La recommandation 36 de ce rapport liait l'élargissement du collège de la CNIL à la proposition qui suggérait de consacrer la CNIL en tant que chef de file de la régulation des systèmes d'Intelligence artificielle, donc pour une compétence très particulière, très structurante.
Par ailleurs, nous pratiquons déjà beaucoup l'inter-régulation, de manière structurelle à la CNIL avec le président de la CADA, membre de droit de notre collège, tout comme la défenseure des droits. Notre collège comporte 18 membres, ce qui en fait probablement le plus important des autorités de régulation.
Concernant les lacunes, je n'en ai pas décelé. Parmi la mise en oeuvre de dispositions du RSN, certains pouvoirs de sanctions et d'enquête de la CNIL sont précisés ou modifiés, et il faudrait par cohérence que ces règles de procédure répressive soient harmonisées dans tous les textes concernant la CNIL. Je rejoins les propos du président de l'Arcom sur l'utilité de fusionner les articles 1 et 2 de la loi par souci de cohérence.
Concernant les moyens de la CNIL, des précisions pourront être apportées lorsqu'un décret d'application sera pris sur le filtre cyber-arnaque et le rôle de l'autorité administrative qui sera en première ligne, le rôle du membre du collège de la CNIL, et donc des services de la CNIL. L'enjeu de l'efficacité est très fort. Nous disposions de 270 agents à la fin de l'année dernière. Nous sommes vus comme le gendarme de la protection des données, nous traitons de 12 à 14 000 plaintes par an, nous prononçons des sanctions et réalisons des contrôles, notre but étant la mise en conformité plus que la sanction. Nous accompagnons beaucoup d'entreprises innovantes dans le domaine du numérique, comme le montre l'opération « bac à sable » consacrée cette année à l'Intelligence artificielle et les administrations. Nous avons également créé un accompagnement renforcé de six mois auprès d'entreprises à très fort potentiel de développement économique et numérique. Il aurait ainsi été intéressant pour la CNIL d'accompagner Doctolib au moment de sa création, plutôt qu'au moment où l'entreprise est très installée. Cette année, 47 entreprises à fort potentiel de développement économique ont souhaité être accompagnées par la CNIL en matière de protection des données.
Notre rôle ne se limite donc pas à celui de gendarme de la protection des données. Nous sommes par ailleurs la seule autorité de protection des données en Europe à disposer d'un laboratoire d'innovation numérique traitant notamment des assistants vocaux, de l'Intelligence artificielle. Nous organisons également un « Privacy Research Day » sur les enjeux entre recherche, régulation, entreprises en matière de protection des données.
Concernant le filtre anti-arnaques, la CNIL devra disposer de moyens supplémentaires, indépendamment de ceux déjà budgétés, si nous voulons garantir l'efficacité de ce dispositif.
Mme Catherine Morin-Desailly, présidente. - Je me permets une remarque, madame la présidente : il est dommage d'entendre le terme de « Privacy Research Day » quand la loi sur la défense du français fête ses 40 ans.
Mme Marie-Laure Denis. - Ma langue a fourché, et il est vrai que certains citoyens nous reprochent l'utilisation de tels termes. Par ailleurs, j'ai beaucoup de sympathie pour Jacques Toubon, initiateur de cette loi, et je reformulerai donc autrement l'intitulé de la manifestation.
Mme Catherine Morin-Desailly, présidente. - Je donne maintenant la parole à notre deuxième rapporteur, Patrick Chaize, pour l'autre volet.
M. Patrick Chaize, rapporteur. - Je vais évoquer l'article 6 de ce texte, et vous questionner sur la manière dont les autorités que vous représentez contribueront au déploiement du filtre anti-arnaques prévu à cet article. La mise en place d'un dispositif ordonné par voie administrative plutôt que par voie judiciaire vous semble-t-elle plus efficace ? La CNIL est désignée comme autorité garante du caractère adapté et proportionné des mesures prises dans le cadre de ce dispositif : qui sera la personnalité qualifiée ou quel sera le profil de la personne qui assurera ce rôle ?
Concernant la régulation du marché de l'informatique en nuage, l'encadrement des crédits et la suppression des frais de transfert sortant de données, le projet de loi attribue à l'Arcep un nouveau rôle de gendarme de l'informatique en nuage. Êtes-vous satisfaite, madame la présidente, de ce nouveau rôle ?
Concernant les services d'intermédiation de données, d'autres États membres ont-ils effectué ou ont-ils manifesté l'intention d'effectuer un autre choix que la désignation de leur autorité de régulation des télécommunications comme seule compétente pour l'application du Data Act ? Concernant l'article 11, vous avez, madame la présidente de la CNIL, des propositions à nous faire et je leur suis ouvert. Une compétence de l'Arcep et de la CNIL exercée en commun ou partagée a-t-elle été envisagée ? Quels avantages et inconvénients cette solution aurait-elle présentés ?
Concernant l'article 25 sur les procédures de saisine et de visite de l'Arcom, en quoi est-il nécessaire de préciser dans la loi que les autorités compétentes pour la mise en oeuvre du règlement sur les services numériques coopèrent étroitement, se prêtent mutuellement assistance et se communiquent librement des informations ? Quel sera l'objet des conventions de coopération que vous allez signer, et pourriez-vous nous en dire davantage sur ces conventions ?
La procédure de saisine et de visite des locaux fournisseurs des services entre 6 heures et 21 heures nous interpelle par sa rédaction. Si la procédure ne peut être autorisée que par le juge des libertés et de la détention, il est prévu que toutes les conditions de réalisation de cette procédure soient fixées par voie réglementaire, ce qui nous étonne. Pourriez-vous nous détailler la procédure prévue qui s'apparente à une perquisition ?
Mme Marie-Laure Denis. - Concernant l'article 6 et la création d'un filtre national de cybersécurité qui permet d'alerter les internautes par le biais d'un message d'alerte dans leur navigateur lorsqu'ils souhaitent accéder à un site malveillant, tout le sujet consiste à avoir des garanties sur l'efficacité de ce filtre, et en matière de liberté, de communication et d'expression. Pour cela, le texte prévoit, en reprenant largement l'avis du Conseil d'État, un certain nombre de procédures et de délais.
Je comprends du texte qu'il reviendrait à un membre indépendant du collège de la CNIL de s'assurer du caractère justifié des mesures, des conditions d'établissement, de mise à jour et de communication de l'utilisation de la liste des adresses électroniques concernées. Mais nous ne pourrons désigner cette personnalité qualifiée que lorsque le décret d'application prévu dans le texte sera pris.
Nous considérons que le blocage peut être envisagé, mais seulement pour les cas les plus graves, et la question des modalités et des moyens doit être précisée.
S'agissant des services d'intermédiaire de données, il nous semble important que la CNIL soit saisie pour avis systématiquement et au préalable de toute déclaration d'un intermédiaire de données auprès de l'Arcep, pour que ce soit la CNIL qui précise si ces données comportent des données personnelles, et quelles sont les règles qui s'appliquent à ces acteurs. Par sécurité juridique et par lisibilité de ces textes complexes, il nous semblerait utile que si l'Arcep ou la CNIL édictent des règles de droit souple sur le sujet des intermédiaires de données, il y ait une consultation préalable là aussi systématique de l'autre autorité concernée.
Par ailleurs, l'article 13 comporte l'expression « le cas échéant » que je propose de supprimer du fait de son ambiguïté. Il s'agit du paragraphe à propos de la consultation de la CNIL par l'Arcep, qui précise que « dans les conditions fixées par décret, cette autorité recueille le cas échéant les observations éventuelles de la commission par rapport à des demandes qui peuvent concerner un règlement sur la gouvernance européenne des données ».
M. Roch-Olivier Maistre. - Sur le principe de la coopération, l'équilibre proposé par le texte nous semble adapté en fixant les grands principes dans la loi, mais en renvoyant les modalités de ces coopérations entre les uns et les autres à des outils plus souples, du type convention. La nature des informations que nous allons échanger peut être sensible, et il est important de disposer d`une référence législative. Chaque autorité possède des champs de compétences propres. Concernant la mise en oeuvre du RSN, nous aurons chacun des attributions respectives à faire valoir, et cela doit être couvert par la convention.
Le pouvoir de visite est inspiré de celui dont peut disposer l'Autorité de de la concurrence. Nous avons face à nous des acteurs puissants, avec lesquels nous devons dialoguer dans une position de force.
Mme Laure de La Raudière. - Merci pour votre question sur la manière dont l'Arcep accueille ces nouvelles compétences, notamment en matière d'informatique en nuage. Notre accueil est très favorable, car ce marché doit être déverrouillé. Il existe des freins contractuels mais aussi techniques liés à la migration des clients vers d'autres fournisseurs, le marché étant concentré à 70 % autour de trois ou quatre fournisseurs, tous américains. Pour faire émerger des entreprises européennes puissantes dans ce secteur, nous devons déverrouiller ce marché. L'enjeu est économique, car le marché est en croissance, mais il touche aussi à la souveraineté de l'Europe sur l'hébergement des différents services informatiques.
L'Arcep est d'autant plus favorable qu'elle possède un rôle de régulateur technico-économique du numérique, que son expertise technique et sa culture d'ouverture des écosystèmes numériques la motivent beaucoup à prendre en compte cette nouvelle compétence, et ce nouveau marché à déverrouiller.
Par ailleurs, l'Arcep aura également besoin de moyens supplémentaires pour assurer ces nouvelles compétences sur l'informatique en nuage ou sur le Data Governance Act. Les personnels de l'Arcep, comme ceux de l'Arcom et de la CNIL, sont très, très occupés. Certains d'entre vous, ou d'autres acteurs, nous reprochent notre manque de réactivité, mais le problème réside souvent dans une question de moyens. Nous espérons donc que cette demande sera prise en compte lors de la loi de finances de 2024.
Concernant la question de l'exercice en commun de la compétence sur les précepteurs de services d'intermédiation de données, il serait complexe, à la fois pour les acteurs et pour les autorités, d'exercer ensemble une compétence au sein de deux autorités qui n'ont pas été créées pour les mêmes objectifs, les mêmes enjeux, avec des cultures de régulation différentes. Modifier l'architecture actuelle du texte sur le DGA ne constituerait donc pas une bonne idée à mon sens.
Le DGA prévoit une notification systématique par l'Arcep de l'ensemble des prestataires de services d'intermédiation de données déclarés auprès de l'Arcep. La Commission européenne a prévu de rendre publiques ces déclarations, raison pour laquelle le texte ne prévoit pas que l'Arcep notifie à la CNIL.
Mme Marie-Laure Denis. - Je précise que l'enjeu n'est pas que cela soit public ou non, mais réside dans la possibilité que les données soient à la fois personnelles et non personnelles. Notifier à la CNIL permet d'informer ces acteurs, qui font face à la fois au DGA et au RGPD, et qui sont potentiellement soumis à deux législations. Je pense que la notification à la Commission européenne n'a pas le même objectif que la notification à la CNIL. Ces acteurs ne sont pas si nombreux, puisque l'analyse d'impact de la Commission européenne sur les services d'intermédiation de données identifiait une cinquantaine d'acteurs en « B to B », et un nombre proche en « B to C ». À très court terme, seule une demi-douzaine d'acteurs est concernée. Je ne vois pas où serait l'impossibilité et l'inconvénient de notifier à la CNIL, à qui il appartient de déterminer s'il existe des données personnelles ou non.
Mme Laure de La Raudière. - Par rapport à, l'expression « le cas échéant » précisé dans le texte, et par rapport à l'obligation de saisine uniquement en cas d'impact sur les données personnelles, la logique est identique : des prestataires de services d'intermédiation de données vont offrir des services avec uniquement des données industrielles. Il s'agit d'un nouveau champ d'activité censé se développer avec ce texte, qui touche beaucoup plus les données industrielles et les données économiques des acteurs et le partage au sein d'un secteur de données économiques et industrielles, et pas nécessairement des données personnelles. Le texte, comme le DGA, prévoit une articulation de ce type.
Mme Marie-Laure Denis. - Je suis d'accord que les acteurs présentant des données industrielles relèvent totalement du DGA et de la compétence de l'Arcep. Je précise simplement que des données industrielles peuvent comprendre des données personnelles, de clients, de salariés, etc. Il est donc important que les acteurs comprennent qu'il existe potentiellement deux séries de textes sur des données différentes, sachant que lorsque les données sont inextricablement liées, elles basculent du côté du RGPD.
Mme Laure de La Raudière. - C'est la raison pour laquelle il est dommage que ce texte anticipe le Data Act, car ce dernier venait équilibrer le Data Governance Act. Dans tous les cas, le RGPD prévaudra toujours. Vous avez raison de dire que les données industrielles doivent être brutes pour ne pas porter préjudice aux entreprises.
Mme Marie-Laure Denis. - Comme vous l'avez précisé, cela intervient sans préjudice du RGPD.
Mme Catherine Morin-Desailly, présidente. - Merci. Nous avons six demandes de prise de parole, dont trois concernent la lutte contre la pédopornographie.
Mme Annick Billon. - Merci madame la présidente, monsieur le président et mesdames les présidentes, pour les nombreuses réponses déjà fournies.
J'évoquerai l'industrie des sites pornographiques, ayant été auteure avec mes collègues du rapport « Porno, l'enfer du décor ».
Nous constatons que de nouveaux pouvoirs de sanction et de blocage sont donnés à l'Arcom. Pensez-vous, dans l'état actuel de ces nouveaux pouvoirs, réussir à agir ? Nous avons en effet démontré dans notre rapport que les sites pornographiques sont souvent dirigés depuis des paradis fiscaux.
Je soulèverai ensuite une autre question importante liée au retrait des contenus pédopornographiques : quid de la définition des contenus illicites ? Quid de la définition d'un contenu pédopornographique ? Il a été question de pilosité, de la grosseur des seins. Pensez-vous que la définition doit être complétée pour une meilleure efficacité ?
Ma dernière question porte sur le dispositif CNIL-PEReN, actuellement en test avec le groupe DORCEL : disposez-vous de retours ?
Mme Marie Mercier. - Ma remarque concerne la loi du 30 juillet 2020, qui n'est pas appliquée. Pensez-vous qu'un nouveau texte changera quelque chose ? En effet, le tribunal a placé l'Arcom en position de faiblesse avec une médiation surréaliste. La Cour de cassation a rendu un avis formel, et il n'y a pas de discussion juridique sur ces textes. Nos enfants doivent se protéger seuls, et nous sommes face à des mastodontes. Le nouveau texte va immédiatement engendrer une QPC, et nous allons à nouveau perdre du temps.
Par ailleurs, il n'est pas liberticide de contrôler l'âge pour jouer de l'argent. Pourquoi cela deviendrait liberticide pour le visionnage de sites pornographiques ?
Mme Laurence Rossignol. - Ma question sur le même thème s'adresse à la présidente de la CNIL. Vous avez précisé qu'il fallait toujours veiller à la fois à la protection des mineurs et à la protection des données personnelles. Or, j'ai le sentiment que lorsqu'il s'agit des données personnelles des consommateurs de sites pornographiques, les mêmes règles ne sont pas appliquées que pour les utilisateurs d'autres sites. J'ai cru comprendre qu'il fallait que les données personnelles ne circulent pas, notre objectif étant la protection.
Marie Mercier a rappelé que pour la fréquentation par les mineurs de sites de jeux d'argent en ligne, la règle est claire avec les cartes de crédit et la preuve de l'âge. Nous ne nous posons donc pas dans ce cas la question d'une particulière protection des données. Pourquoi se poser la question pour les personnes fréquentant les sites pornographiques ? Je ne comprends pas cette distinction.
M. Roch-Olivier Maistre. - Il faut souligner l'ampleur du phénomène. Nous avons publié une étude très complète sur l'accès à ces sites de la part des mineurs, conduite notamment avec Médiamétrie, avec des mesures très concrètes. L'âge de consultation de ces sites est de plus en plus bas, et cette consultation se fait très largement par l'intermédiaire de téléphones qui ne disposent pas de contrôle parental. Nous bénéficions par ailleurs d'une documentation très riche sur les effets de cette consultation, sur les comportements et la sexualité des jeunes gens.
Je crois que l'opinion publique a largement évolué sur ces sujets-là, et les effets de tolérance sont bien moindres. La justice pénale elle-même s'est mise en mouvement, avec des actions judiciaires en cours contre l'industrie pornographique. Les lignes sont donc en train de bouger.
Mais vos remarques sont justes. Je suis frappé qu'avec un texte de cette nature qui date de trois ans, aucune initiative n'a été menée pour essayer de se conformer à la réglementation. Par ailleurs, la règlementation ne date pas de 2020, puisque l'interdiction d'exposer des mineurs à des contenus pédopornographiques est inscrite dans le Code pénal depuis de très nombreuses années.
Nous avons beaucoup travaillé pour la mise en oeuvre de ce texte. Chaque notification engendre des procédures très lourdes. Chaque acte pris a été contesté, avec une procédure de médiation surprenante, puisqu'il n'était question que de respect de la loi. Nous sommes maintenant suspendus à la décision du juge judiciaire.
Le texte soumis aujourd'hui va-t-il tout résoudre ? Nous suivons un schéma plus classique de régulation par le biais d'une autorité administrative, qui pourra prononcer une mesure de blocage et de déréférencement. Cette action sera menée sous le contrôle du juge, et le texte fera très tôt l'objet d'une QPC. Le référentiel pourra aussi être contesté, et devra faire l'objet de mesures de notification à Bruxelles.
Nous avons face à nous une industrie organisée. La Grande-Bretagne a été mise en échec sur des dispositifs équivalents il y a quatre ou cinq ans. L'Arcom aura comme seule feuille de route la loi, mais la guérilla contentieuse enrichira sans aucun doute quelques cabinets d'avocats.
Mme Catherine Morin-Desailly, présidente. - Nous avons travaillé avec Ludovic Haye sur le projet de règlement visant à combattre et prévenir les abus sexuels sur les enfants. Ce texte, encore en cours de discussion, amènera-t-il quelque chose de supplémentaire, sera-t-il complètement articulé au RSN et aux mesures que la France s'autorise de prendre ?
M. Roch-Olivier Maistre. - Votre question est pertinente. J'évoquerai aussi le sujet du règlement sur les services numériques. La Commission européenne n'a pas été insensible à notre démarche, car certains de ces sites entreront dans la mise en oeuvre de ce règlement, qui peut constituer un biais d'action. Mais je rappelle qu'il existe des centaines de sites pornographiques et qu'ils représentent une consommation de la bande passante tout à fait considérable. Il est donc important de trouver la bonne articulation juridique, et nous examinons le point que vous évoquez.
Mme Marie-Laure Denis. - Concernant l'expérimentation menée aujourd'hui, je n'ai pas encore de retour, mais les services de la CNIL sont en contact avec des entreprises qui cherchent à mettre en oeuvre le dispositif technique préconisé, en travaillant avec le PEReN sur cette solution de double anonymat, qui doit permettre qu'un tiers de confiance certifie votre majorité sans savoir quel site vous allez consulter, et que le site consulté n'ait pas accès à votre identité. Sinon, les techniques multiples de hacking aboutiraient à la diffusion immédiate du fichier des personnes qui consultent ces sites pornographiques.
La CNIL n'avait aucune compétence particulière pour appliquer la disposition législative prise. La CNIL est dans son rôle en cherchant à protéger les données des personnes, et elle a d'elle-même décidé de travailler sur des solutions et d'expérimenter pour concilier ces enjeux de protection de vie privée et de protection de l'enfance. Nous sommes tous conscients des ravages de la consultation de la pornographie sur les mineurs.
Par ailleurs, le collège de la CNIL a autorisé l'utilisation des cartes bancaires, même si cette solution est imparfaite car un adolescent de 17 ans peut disposer d'une telle carte. La CNIL a également autorisé des systèmes d'estimation de l'âge, qui seront sans doute imprécis entre 17 et 19 ans, mais permettront d'identifier un enfant de 13 ans.
La CNIL a donc déployé toute l'énergie nécessaire en peu de temps en assumant ses compétences et son rôle pour faciliter le travail de l'Arcom et répondre à vos préoccupations légitimes.
Mme Alexandra Borchio Fontimp. - Je trouve regrettable que tout le monde autour de cette table partage les constats et les conséquences de l'exposition des mineurs aux contenus pornographiques, mais que personne ne puisse affirmer qu'une solution existe.
Ma question s'adresse à monsieur le président de l'Arcom et à madame la présidente de la CNIL sur l'articulation entre les référentiels prévus par la récente proposition de loi qui instaure une majorité numérique sur les réseaux sociaux, et le projet de loi sur le contrôle de l'âge sur les sites pornographiques. Comment allez-vous organiser votre coopération ?
Mme Marie-Laure Denis. - Le référentiel relève de la compétence de l'Arcom, qui va l'élaborer, et qui consultera la CNIL avant de l'adopter définitivement, notamment concernant les caractéristiques techniques des dispositifs comme le double anonymat, car la CNIL possède les compétences sur ces sujets.
M. Roch-Olivier Maistre. - La coordination sera en effet très étroite, et je partage les propos de Marie-Laure Denis.
Les lignes bougent dans le monde : des États américains ont déjà adopté des législations proches de la nôtre. Plusieurs États européens comme l'Allemagne prennent des initiatives identiques à l'égard des sites pornographiques, et se heurtent aux mêmes difficultés que nous en termes de procédures. L'état de droit donne à un justiciable le droit de faire valoir et de contester des décisions prises par une autorité administrative. Nous attendons le 7 juillet, et je fais confiance à notre justice. L'opinion est aujourd'hui très réceptive à la nécessité de protéger les mineurs, comme le montrent les nombreux articles publiés récemment, et l'écho médiatique rencontré par notre étude sur les statistiques.
Ce chantier est de longue haleine, et nous devons tous maintenir nos efforts.
Mme Catherine Morin-Desailly, présidente. - C'est la raison pour laquelle l'Europe jugeant le phénomène suffisamment grave, s'en empare au plus haut niveau.
Mme Florence Blatrix Contat. - Avant de vous interroger sur la question de la publicité ciblée, je souhaitais exprimer avec d'autres collègues nos craintes pas encore levées, malgré vos réponses, à propos de la coordination. Cette coordination constitue une condition essentielle de l'efficacité de ce dispositif législatif.
Avec ma collègue Catherine Morin-Desailly, nous avons constaté dans nos rapports sur le RSN et le RMN que le modèle économique des plateformes se révèle un enjeu essentiel. La publicité vous paraît-elle suffisamment traitée dans ce texte qui a vocation à mieux protéger les consommateurs ? Par ailleurs, la part des opérateurs européens sur le marché du Cloud a pratiquement été divisée par deux en cinq ans. Pensez-vous que les mesures figurant dans ce texte, comme l'interdiction des frais de transferts pour l'interopérabilité, seront suffisantes pour permettre aux opérateurs européens de se réinscrire dans ce marché et de se développer ?
M. Roch-Olivier Maistre. - Concernant votre première observation, je souhaite être tout à fait catégorique sur l'état d'esprit des présidentes et présidents des autorités indépendantes. La coopération fait partie de notre culture personnelle, et notre quotidien est la loi. Il n'existe pas de patriotisme ou de susceptibilités d'autorité l'une vis-à-vis de l'autre. Nous avons pleinement conscience de l'attente du législateur, et nous construisons ensemble de la manière la plus efficace possible l'action nécessaire pour mettre en oeuvre ce texte. Nos autorités ne montrent pas la moindre hésitation, la moindre réticence, la moindre différence à ce sujet.
Concernant la publicité, je pense qu'avec les textes de niveau européen et d'autres comme celui récemment adopté sur les influenceurs, la protection du consommateur est mieux assurée, mais il faudra s'assurer de l'application de ces textes.
Mme Laure de La Raudière. - Sur la question de l'informatique en nuage, les mesures du texte sont absolument nécessaires, à la fois pour la partie purement contractuelle avec l'abandon des frais de transfert et la limitation et l'encadrement des crédits des services d'informatique en nuage, mais aussi les mesures techniques de l'interopérabilité et de la portabilité.
Les grands utilisateurs font de plus en plus appel à plusieurs fournisseurs Cloud pour un enjeu de résilience, mais aussi pour protéger certaines données sensibles dans des espaces de Cloud souverains et hermétiques aux lois extraterritoriales de transfert des données.
Le marché est encore en très forte croissance, et les mesures sont certainement nécessaires, mais seront-elles suffisantes ? De nombreuses entreprises, notamment les PME, ne sont pas encore pleinement équipées, ce qui laisse la place pour de nouveaux acteurs répondant à des enjeux de souveraineté, de proximité, ou à la volonté de certains clients de privilégier l'Europe.
Les acteurs du Cloud sont soumis pour certains d'entre eux au RMN, qui offre des dispositions visant à favoriser plus de concurrence sur l'ensemble du marché numérique.
Mme Catherine Morin-Desailly, présidente. - Ne croyez-vous, pas madame la présidente de l'Arcep, qu'au-delà des mesures, une forte volonté est nécessaire de la part des autorités de ce pays pour confier de manière stratégique à nos entreprises le marché des données d'un certain nombre d'entreprises et d'administrations, pour gagner en souveraineté et pour soutenir le développement et l'innovation dans notre pays ? Les Américains, les Russes et les Chinois agissent ainsi en faveur de leurs entreprises, la plupart du marché du Cloud étant confié aujourd'hui aux GAFAM. Dans ce cadre, l'Arcep ne doit-elle pas jouer un rôle de stimulation auprès des décideurs ? Par ailleurs, lorsque la plateforme des données de santé a été confiée en 2020 à Microsoft sans appel d'offres, pourquoi l'Arcep, chargée de la régulation de ce marché, n'a-t-elle pas alarmé sur cette absence d'appel d'offres ? La CNIL s'est prononcée sur ce sujet, car il s'agissait de données ultrasensibles.
Enfin, ne croyez-vous pas qu'il serait urgent d'inscrire au coeur de ce texte la définition des données sensibles et stratégiques pour la Nation, pour bénéficier d'une vision globale et d'un plan d'action stratégique ?
Mme Laure de La Raudière. - Vous évoquez un sujet de grande importance, madame la présidente. L'Arcep possède une culture pro-concurrence et pro-innovation. Nous allons chercher par tous les moyens à déverrouiller le marché pour permettre plus de migrations, plus de fluidité, mais l'exercice de nos compétences se fait dans le cadre de la loi. Si la loi ne prévoit pas l'obligation pour les services administratifs de se tourner vers un service d'informatique en nuage souverain, nous ne pourrons pas l'imposer aux administrations. En revanche, nous exercerons nos compétences pour mettre en place des spécificités équilibrées, qui permettent à de nouveaux acteurs d'émerger. Nous consultons pour cela tous les acteurs du marché, nous montons en compétences par des échanges bilatéraux avec les acteurs, les organismes de normalisation, et nous présenterons en consultation publique nos propositions, ce qui permettra à chacun des acteurs concernés de s'exprimer. L'Arcep procède toujours ainsi avant de prendre une décision.
Mme Catherine Morin-Desailly, présidente. - Il ne s'agit pas ici d'appliquer ou non une loi qui n'existerait pas sur la souveraineté, mais de s'émouvoir de l'absence d'appel d'offres et d'une procédure non respectée.
Mme Laure de La Raudière. - Je n'en connais pas la raison car je n'étais pas présente en 2020.
Mme Marie-Laure Denis. - Sur ce sujet, le collège de la CNIL a obtenu du Gouvernement des garanties s'agissant du non-transfert du Système national des données de santé (SNDS) sur la plateforme des données de santé, précisément parce qu'elle est hébergée par Microsoft, tant que cet hébergement de données n'est pas immunisé contre des accès d'autorités étrangères.
Par ailleurs, la CNIL a beaucoup travaillé avec l'ANSI sur la certification SecNumCloud qui permet de sécuriser l'hébergement des données les plus sensibles, dont la liste vient d'être précisée par une circulaire du 31 mai de la Première Ministre. Les entreprises conformes à ce référentiel SecNumCloud le seront aussi aux exigences en matière de transfert de données, de non-transfert des données, ou de localisation des données des Français de façon sécurisée.
Mme Catherine Morin-Desailly, présidente. - Vous n'avez pas répondu à ma question sur l'inscription dans le texte de la notion de données sensibles ou stratégiques pour la Nation.
Mme Marie-Laure Denis. - Des données sensibles sont présentes dans le RGPD. Les données biométriques, de santé, des mineurs, sont qualifiées de données sensibles méritant une protection particulière. Dans la circulaire du 31 mai, la Première Ministre détaille avec la rubrique R9 les catégories de données devant être hébergées par des systèmes d'informatique en nuage parfaitement sécurisés. Les services de la CNIL auront à coeur de clarifier les règles applicables, a fortiori dans l'hypothèse d'une décision d'adéquation prochaine prise par la Commission européenne sur la question des transferts de données entre l'Union européenne et les États-Unis.
Mme Catherine Morin-Desailly, présidente. - Le Gouvernement a en effet répondu aux sollicitations constantes du Parlement sur cette question très stratégique des données sensibles.
Mme Laure de La Raudière. - Il faut distinguer les données sensibles et les données stratégiques. Les premières couvrent la santé et la sécurité, quand les secondes peuvent avoir un lien avec les données économiques.
Mme Catherine Morin-Desailly, présidente. - Je parlais des données stratégiques pour notre sécurité nationale.
Je vous remercie pour votre participation éclairante. Mes chers collègues, nous nous retrouvons à 15 heures 30 pour l'audition du PEReN. Je lève la séance.
Cette réunion a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 11 heures.
- Présidence de Mme Catherine Morin-Desailly, présidente -
La réunion est ouverte à 15 h 45.
Audition de M. Lucas Verney, directeur adjoint du Pôle d'expertise de la régulation numérique (PEReN)
Mme Catherine Morin-Desailly, présidente. - Nous accueillons aujourd'hui M. Lucas Verney, directeur adjoint du Pôle d'expertise de la régulation numérique, le PEReN.
Le PEReN est un service à compétence nationale, créé en 2020, placé sous l'autorité conjointe des ministres chargés de l'économie, de la culture et du numérique. Il répond à un enjeu crucial, que nous avons tous identifié depuis bien longtemps : le déséquilibre majeur dans l'expertise technique entre les États et les grands opérateurs du numérique, qui disposent de budgets de plusieurs milliards d'euros et de compétences parmi les meilleures du monde.
Dans ce contexte, trop souvent, les entreprises nous renvoient à notre manque de compétences techniques et à notre incapacité à simplement comprendre les logiques algorithmiques, le traitement massif des données, etc.
Le PEReN est déjà intervenu comme expert, notamment aux côtés de la CNIL pour la détermination d'une solution technique de contrôle de l'âge (le « double anonymat »). Je tiens d'ailleurs à citer votre rapport de mai 2022 sur le sujet.
Le PEReN doit donc apporter une expertise et une crédibilité à la France. L'article 16 permet de renforcer vos capacités de collecte de données publiques et d'analyse à des fins de recherche publique, tandis que l'article 18 vise à faciliter votre coopération avec l'Arcom : vous allez pouvoir nous en dire un mot.
Au-delà, nous serons heureux de bénéficier de votre regard d'expert sur l'évolution des technologies, et les moyens pour nous de les encadrer pour les cantonner au service de leurs utilisateurs, en limitant le plus possible les effets toxiques qui, malheureusement, obscurcissent Internet.
Je vais vous laisser une dizaine de minutes pour présenter le PEReN (que quelques-uns d'entre nous ont visité il y a quelques semaines) et surtout la place qui lui est faite dans le projet de loi. Je passerai ensuite la parole aux rapporteurs, puis à l'ensemble des membres de la commission spéciale.
M. Lucas Verney, directeur adjoint du Pôle d'expertise de la régulation numérique (PEReN). - Comme vous l'avez indiqué, le PEReN est un service à compétence nationale, sous la triple tutelle du ministère de la culture, du ministère de l'économie et des finances et du ministère chargé du numérique. Son objectif est de mutualiser une expertise technique et de capitaliser cette expertise au sein de l'État, à destination des services de l'État et des autorités indépendantes, pour toutes les missions qui ont trait à la régulation des plateformes numériques. Ce service compte aujourd'hui 25 personnes, exclusivement des ingénieurs, docteurs et experts en sciences des données. Cet effectif constitue le plafond d'emploi fixé pour notre service.
Le PEReN peut intervenir dans deux principaux types de missions. D'une part, il peut apporter des éclairages, notes, études à destination des services de l'État, des administrations, des autorités et du grand public. Les travaux du PEReN sur les systèmes de vérification de l'âge et la protection des mineurs viennent d'être évoqués. Nous sommes intervenus par exemple en appui des négociations sur le règlement européen Child sexual abuse material (CSAM). Ces éléments ont conduit le PEReN à être auditionné par le Sénat il y a un an sur ce sujet et un certain nombre de publications sont en ligne sur notre site web, notamment des éléments sur la protection des mineurs et la vérification de l'âge.
Plus récemment, nous sommes intervenus sur des questions d'actualité, en particulier autour de l'émergence de l'Intelligence artificielle (IA) dite générative (dont ChatGPT est un exemple). Nous serons prochainement auditionnés à l'Assemblée nationale sur ces questions. Nous animons aussi un certain nombre de groupes de travail entre les différentes administrations sur des questions techniques afin de partager entre administrations une compréhension commune des enjeux techniques de telle ou telle technologie. Il existe par exemple un groupe de travail créé sur l'initiative « Privacy Sandbox » de Google, qui vise à supprimer les cookies tiers dans le navigateur et plus récemment la création d'un groupe de travail sur les « dark patterns ».
Le second type de missions a trait au développement d'outils et d'analyses pour le compte des différentes administrations. Nous pouvons le faire directement, en mobilisant les pouvoirs de nos partenaires administratifs pour les services de l'État, à travers le décret de création du PEReN qui lui confie ces missions. Pour les autorités indépendantes, nous le faisons en vertu de l'alinéa 1 de l'article 36 de la loi du 25 octobre 2021, qui permet à huit autorités indépendantes énumérées dans un décret pris en Conseil d'État de faire appel au PEReN pour la conduite de ces projets. Ces sept autorités sont :
- l'Autorité de la concurrence (ADC) ;
- l'Autorité des marchés financiers (AMF) ;
- l'Autorité nationale des jeux (ANJ) ;
- l'Autorité de régulation des communications électroniques (ARCEP) ;
- l'Autorité de régulation des transports (ART) ;
- la Commission nationale de l'informatique et des libertés (CNIL) ;
- le Défenseur des droits.
Ces outils peuvent être développés dans le cadre de conventions passées avec des partenaires administratifs. Ils peuvent aussi être développés en propre par le PEReN, à travers deux modalités prévues par l'article 36 de la loi du 25 octobre 2021. L'alinéa 6 de cet article prévoit ainsi, dans sa formulation actuelle, la possibilité, pour le PEReN, de conduire des travaux de recherche publique, ce qui permet au PEReN de se maintenir à niveau et de contribuer à l'état de l'art scientifique sur des questions liées à l'intelligence artificielle ou à la régulation des plateformes. À ce titre, nous travaillons notamment sur des questions d'articulation et des aspects techniques d'analyse multimodale, pour des contenus qui allient du texte et de l'image - alors que jusqu'à présent, les modèles sont plutôt définis pour du texte ou pour des images. Tous ces travaux font l'objet de publications lors de conférences, avec une revue par les pairs. Nous avons notamment participé à des conférences de groupes de travail du CNRS. Ces outils sont placés en open source dès lors que ceci ne nuit pas aux finalités pour lesquelles ils ont été conçus.
Enfin, l'alinéa 5 de l'article 36 confère au PEReN un pouvoir d'expérimentation. Le PEReN peut, à ce titre, bénéficier de facilités pour collecter des données publiquement disponibles sur les plateformes et développer des outils sur la base de ces données. Ce pouvoir a été conçu de manière à pouvoir développer l'outil tout en préservant une collecte des données équitable. Toutes les données doivent ainsi être supprimées au plus tard neuf mois après leur collecte. Seul l'outil construit peut être conservé. Il peut ensuite être reversé à une administration ou à une autorité qui le mettrait en oeuvre dans le cadre de ses missions.
Ces modalités (alinéas 5 et 6 de l'article 36) font l'objet d'un rapport au Parlement et à la CNIL. La première édition de ce rapport a été transmise en mai 2023.
Ces éléments ne sont pas nécessairement publics. Nous avons réalisé en particulier un certain nombre de travaux sur la plateforme TikTok, ce qui a conduit à l'audition du PEReN par la commission d'enquête du Sénat sur TikTok. Nous avons également conduit des travaux sur Amazon, afin de comprendre comment s'articulaient les différentes places de marché au niveau européen et saisir les spécificités d'Amazon France par rapport à Amazon Allemagne ou Amazon Espagne, par exemple, en termes de nationalité des vendeurs et de prédominance de ceux-ci dans ce qui s'appelle « l'apply box », c'est-à-dire le carré d'achat en un clic.
Ce cadre actuel souffre de certaines limites. S'agissant des modalités d'expérimentation, certaines de ces limites ont été détaillées dans le rapport au Parlement. Les plateformes coopèrent plus ou moins. Certaines coopèrent activement et nous fournissent des données en levant les quotas ou restrictions, dans la collecte, à la hauteur de ce que nous demandons. D'autres argumentent, voire invoquent des difficultés techniques, à des degrés divers, pour freiner, voire empêcher notre accès aux données. Ces modalités permettent, par exemple, d'entraîner un réseau de neurones sur la base des données fournies. Au bout de neuf mois, nous supprimons toutes les données et nous ne conservons que le modèle d'IA. Cela ne permet donc pas de tirer des enseignements sur les pratiques observées à partir des données collectées.
Enfin, quant au cadre de l'alinéa 6 (compétence de recherche publique), nous nous heurtons à une dimension discrétionnaire de l'accès aux interfaces de programmation, parfois restreintes aux chercheurs, suite à une interprétation parfois anglo-saxonne de la définition du système éducatif. Certaines plateformes distinguent ainsi ce qui relève des établissements universitaires qui délivrent des diplômes et ce qui relève des instituts de recherche. Le PEReN relève de cette seconde catégorie. Or, pour l'accès à certaines applications de programmation académiques, les plateformes exigent que la demande émane d'une institution qui délivre des diplômes.
Un dernier axe est émergent et concerne la collecte de données sur mobile. Tout ce que j'ai évoqué jusqu'à présent se rapportait à des interfaces de programmation ou à la collecte de données sur des sites web. Cependant, de plus en plus de plateformes sont accessibles uniquement sur des applications mobiles. C'est le cas par exemple de Snapchat. D'autres sont accessibles au travers d'interfaces web ou au travers d'applications mobiles mais il s'agit généralement de deux produits distincts, conçus comme tels en silo au sein de la plateforme. Pour obtenir une réelle compréhension de la plateforme, il faut approcher celle-ci à travers l'interface que les utilisateurs utilisent. Or l'analyse de ces applications mobiles se heurte à deux problématiques. D'une part, une tierce partie entre en ligne de compte dans le fonctionnement de ces applications, à savoir le téléphone et son système d'exploitation, qui donne accès à l'application. Il en découle une spécificité notamment pour les appareils utilisant le système d'exploitation iOS, car Apple a défini des conditions contractuelles très restrictives qui empêchent le PEReN de conduire un certain nombre d'analyses, sauf à ne pas respecter ces clauses contractuelles. C'est un élément bloquant pour des projets portant sur les systèmes iOS, sachant que l'alinéa 5 de l'article 36 prévoit de notifier l'opérateur de la plateforme. Or, en l'espèce, ce n'est pas lui qui impose les conditions générales d'utilisation (CGU) mais une entité tierce, le fournisseur du système d'exploitation.
Par ailleurs, dès lors que nous examinons les applications mobiles, cela suppose d'instrumenter un téléphone, de simuler des comportements et d'étudier le fonctionnement de l'application, un peu comme on étudierait des bactéries dans une boîte de Petri, en contrôlant l'environnement dans lequel s'exécute l'application. Ces éléments peuvent nécessiter un cadrage juridique plus fort afin d'affirmer la possibilité, pour le PEReN, de conduire ces analyses.
Ce sont des travaux que nous avons pu esquisser devant la commission d'enquête sénatoriale sur TikTok. Il s'agit d'examiner comment fonctionne l'application, quelles données sont collectées, à quel moment, selon quelles modalités, de quelle manière elles sont éventuellement transmises sur le réseau, etc. L'analyse de ces aspects pourrait nécessiter un renforcement des compétences confiées au PEReN.
Le présent projet de loi offre un élargissement des missions du PEReN, qui sort ainsi de son rôle d'expérimentation. Ce texte l'inscrit dans une nouvelle dynamique tout en le confortant. Il instaure également une modalité de coopération avec l'Arcom, en qualité de future coordinateur des services numériques. C'est une disposition qui est de nature à donner à l'Arcom la garantie de pouvoir faire appel au PEReN dans des conditions cohérentes avec ses nouvelles missions et ses nouvelles compétences.
Néanmoins, il faut prendre garde à la charge qui pèse sur ce jeune service. Nous sommes 25 aujourd'hui. Tel était le plafond d'emploi qui avait été défini par le décret de création du PEReN. Celui-ci travaille sur la base d'une feuille de route annuelle : chaque automne, nous nous concertons avec toutes les autorités ayant des compétences de régulation des plateformes numériques et nous construisons avec elles un catalogue de projets qui constitue la feuille de route qui sera déroulée durant l'année. Cette feuille de route représente un nombre de projets qui a été multiplié par quatre depuis la création du service jusqu'à ce jour. Cette montée en puissance s'est faite, jusqu'à présent, en cohérence et de façon synchronisée avec l'augmentation des effectifs du service (3 personnes en 2020, 25 personnes aujourd'hui). Nous devons cependant, de plus en plus, définir des priorités et des arbitrages, voire refuser certains projets par manque de ressources.
Cette situation est actuellement gérable dans la mesure où il y a très peu d'impératifs temporels : ces projets doivent être réalisés au cours de l'année tout en permettant un lissage de la charge sur l'ensemble de l'année. Si de nouvelles missions donnaient naissance à des projets assortis de délais contraints, le PEReN serait alors soumis à des exigences de réactivité et cela pourrait avoir des impacts quant au volume de projets pouvant être traités dans le cadre de notre feuille de route annuelle.
Ce projet de loi permet aussi de réaffirmer et d'étendre les modalités d'accès aux données du PEReN, en particulier en mobilisant l'article 34 du DSA (Digital Services Act, ou règlement des services numériques) et en réaffirmant son caractère d'institut de recherche publique, qui est parfois nié par les plateformes numériques. Pour autant, le projet de loi ne résout pas toutes les difficultés, en particulier celles qui sont liées aux applications mobiles.
En conclusion, le PEReN travaille depuis trois ans à des missions de plus en plus larges, toujours liées à la régulation du numérique. Nous avons développé depuis notre création une approche modulaire : nous nous efforçons de construire chaque projet en tant que brique élémentaire pouvant être ensuite interconnectée avec d'autres briques pour constituer des projets plus importants. S'agissant par exemple d'une analyse algorithmique d'une plateforme de recommandation de vidéos, une brique traitera de la collecte de données, une autre de l'analyse statistique et une autre effectuera peut-être une rétroaction entre les deux. Nous avons conçu et affiné ces trois briques depuis trois ans de sorte que chacune ait le maximum d'efficacité. Le coût d'incrément, pour un nouveau projet, consiste essentiellement à recombiner ces briques et à les étendre un peu. La feuille de route du PEReN s'apparente donc parfois à un jeu de Lego, ce qui permet d'absorber un grand volume de projets et de fournir un grand volume de résultats, tout en mutualisant le plus possible les outils développés.
Ce projet de loi nous apporte une sécurisation de certaines pratiques et offre la perspective de nombreuses nouvelles collaborations. Parallèlement à ces initiatives nationales, nous avons des échanges au niveau européen avec la Commission européenne, qui s'est inspirée du modèle du PEReN pour construire le Centre européen pour la transparence algorithmique de Séville (ECAT). Le PEReN est en train de signer une convention tripartite avec la Commission européenne et le centre commun de recherche ECAT afin de pouvoir travailler directement sur les questions d'application du RSN et du RMN.
Enfin, l'article 18 de la loi du 25 octobre 2021 portant sur l'articulation avec le coordinateur des services numériques et les modalités d'accès aux données, le PEReN est aussi affecté, à la marge, par la disparition de l'article L. 111-7 du Code de la consommation, qui portait la définition d'une plateforme numérique. L'article 36, de mémoire, reprend cette formulation afin que continue d'apparaître une définition des plateformes numériques sur la base de laquelle le PEReN peut intervenir.
Mme Catherine Morin-Desailly, présidente. - Si je comprends bien, vous aurez un statut vous permettant d'effectuer des recherches sur les plateformes, dans le cadre permis par le DSA.
M. Lucas Verney. - Nous aurons le statut de chercheurs, ce qui permet d'accéder à des données publiquement disponibles. Il existe une forme d'articulation avec le coordinateur des services numériques permettant de travailler avec lui sur des données plus spécifiques, éventuellement non publiques. Il existe aussi la convention en cours de signature avec la Commission européenne, qui permettra de travailler sur des plateformes d'envergure européenne.
Mme Catherine Morin-Desailly, présidente. - C'est un aspect très important. Nous nous étions posé cette question lors de l'examen du RSN.
M. Patrick Chaize, rapporteur. - Quel sera l'impact des dispositions du projet de loi sur votre service, en particulier du point de vue des moyens financiers et humains à votre disposition ?
Au titre de l'article 16, votre accès aux données est-il actuellement suffisant pour mener à bien vos travaux ? À quelles autres données auriez-vous besoin d'accéder ? Le cadre juridique actuel est-il suffisant pour vous garantir l'accès à ces données ?
S'agissant de l'article 17, quel est le retour d'expérience du PEReN sur l'expérimentation « API meublé » en 2022 ? Le dispositif prévu à l'article 17 est-il dans les faits une généralisation de cette expérimentation ?
Les dispositions de l'article 18 renforcent-elles la coopération avec l'Arcom, déjà inscrite à l'article 36 de la loi sur la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique ? En quoi est-il nécessaire, selon vous, d'inscrire cette coopération avec l'Arcom dans la loi ?
M. Lucas Verney. - En ce qui concerne l'article 17, le PEReN a travaillé dès sa création avec la direction générale des entreprises afin de réaliser les développements techniques nécessaires pour l'expérimentation « API meublé », c'est-à-dire pour réaliser le socle logiciel qui l'a rendue possible et héberger cette solution de logiciels sur des serveurs de PEReN, ainsi que pour réaliser l'interface avec les équipes techniques auprès des plateformes et permettre une certaine fluidité dans les échanges.
Cinq plateformes et cinq communes se sont inscrites pour participer à cette expérimentation. Son bilan est très positif : elle a donné lieu à une simplification des échanges et globalement à une montée en qualité des données transmises. Les dispositions de l'article 17 reprennent essentiellement les enseignements de cette expérimentation, en n'allant peut-être pas aussi loin dans la démarche volontaire de montée en qualité des données. Au titre de l'expérimentation, il existait notamment la volonté de consolider des données et de fournir aux communes qui le souhaitaient des données déjà consolidées entre les différentes plateformes, avec des heuristiques visant par exemple à supprimer des ambiguïtés afin de distinguer des logements similaires. Les modalités définies par l'article 17 ne portent que sur la transmission des données.
Comme je l'ai indiqué, le PEReN compte 25 personnes, ce qui correspond au plafond d'emploi qui a été défini sur la base de ses missions, définies par le décret de création du PEReN. Le service connaît un rythme de croissance soutenu. Réussir à recruter 25 personnes, avec des profils d'ingénieurs et de docteurs en sciences des données, pour construire un service capable, au sein de l'État, de dialoguer avec nos homologues au sein des plateformes, n'était pas chose acquise d'avance mais cet objectif a été atteint. Les profils qui composent notre équipe sont accessibles en ligne. Ce sont majoritairement des personnes qui auraient pu faire le choix de rejoindre les GAFAM mais qui ont préféré rejoindre le PEReN. C'est un très beau succès qu'il faut inscrire dans la durée, ce qui peut faire naître des questions sur le plan des ressources humaines, avec le souci de conserver et capitaliser ces ressources au sein de l'État.
Sur le plan budgétaire, le PEReN fonctionne de façon assez légère et économe en ressources. L'objectif du PEReN est de conduire l'intégralité des projets de A à Z en propre, de sorte que la compétence technique et numérique soit capitalisée au sein de l'État. Le PEReN opère en particulier ses propres infrastructures SI, c'est-à-dire ses propres serveurs. Lorsqu'il faut entraîner des modèles, nous les entraînons sur nos propres machines de calcul. Lorsqu'il existe des besoins spécifiques, nous bénéficions d'un accès, notamment, au supercalculateur Jean Zay, afin de pouvoir manipuler des modèles tels que ChatGPT, qui sont d'envergure.
Le service a été créé à partir de fonds d'investissement, de fonds de transformation ministériels et de fonds du plan de relance à hauteur de 500 000 euros. Le PEReN fonctionne aujourd'hui, en régime continu (hors de l'élargissement prévu de ses missions ) avec une ligne budgétaire de 100 000 euros, hors T2, c'est-à-dire uniquement pour couvrir les frais de mission et les coûts d'infrastructures (en incluant l'ensemble du matériel nécessaire à la conduite de nos projets).
Ce projet de loi confie de nouvelles missions au PEReN. Nous voyons affluer des demandes de plus en plus nombreuses de la part des autorités pouvant déjà solliciter le PEReN. Le nombre de projets inscrits à notre feuille de route annuelle connaît une multiplication par quatre, ce qui impose de plus en plus d'arbitrages. Jusqu'à présent, la priorisation n'a jamais dû être revue ni posé de difficultés, dans la mesure où en jouant sur les éléments de calendrier, nous parvenons assez bien à répondre à la demande. Certaines administrations nous commandent des projets qui ne se concrétisent pas dans l'année, ce qui permet finalement de satisfaire l'ensemble des demandes. Si l'on ajoute des contraintes en termes d'échéances et de livraison des projets, du fait de procédures ou de contentieux, par exemple, cela impliquerait une réactivité du service qui pourrait limiter le nombre de projets que nous pourrions traiter.
J'ai aussi une remarque générale sur la formulation de l'alinéa 5 (pouvoirs d'expérimentation du PEReN), qui prévoit actuellement une notification des plateformes. Lorsque nous exerçons ce pouvoir, qui nous permet essentiellement de collecter des données sur les interfaces publiques sans restriction, moyennant la notification de la plateforme, celle-ci dispose d'un délai de deux mois, pour formuler des observations. Passé ce délai, nous pouvons mettre en oeuvre la collecte. Il existe aujourd'hui une asymétrie entre cette modalité et la modalité de recherche publique, pour laquelle aucune notification n'est à effectuer : nous sommes alignés sur le cadre d'un institut de recherche publique. Avec la formulation actuelle du projet de loi, une factorisation a été faite et nous devrions également notifier les plateformes pour des activités de recherche publique, ce qui peut induire une charge administrative supplémentaire pour le service, au détriment de projets techniques.
L'Arcom figure déjà sur le décret pris en Conseil d'État, ce qui lui permet de solliciter le PEReN. Un certain nombre de projets sont déjà conduits pour le compte de l'Arcom au titre de ses compétences passées (en particulier les compétences issues de l'ancien Conseil supérieur de l'audiovisuel et de l'ancienne Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet), notamment sur des questions de modération d'offres illégales en ligne et de désinformation. Aujourd'hui, l'Arcom est un partenaire du PEReN comme un autre. Elle nous propose des projets inscrits à notre feuille de route, laquelle fait l'objet, in fine, d'arbitrages par les trois ministres de tutelle. Cette proposition, dans le projet de loi, vise à réaffirmer la possibilité, pour l'Arcom, en qualité de DSC, de saisir directement le PEReN pour bénéficier de son expertise technique. Elle permettrait, en cela, d'anticiper et de garantir une bonne disponibilité des équipes pour les besoins spécifiques aux DSC.
M. Loïc Hervé, rapporteur. - Avez-vous les moyens d'analyser le fonctionnement des algorithmes que les plateformes utilisent pour la modération de leurs contenus ? On nous a parlé de logiciels qui viennent des États-Unis. Avez-vous les moyens d'analyser la manière dont les plateformes régulent les contenus, notamment du point de vue du risque de « sur-censure », lorsqu'elles font appel à l'intelligence artificielle ? Tous ceux qui sont familiers des réseaux sociaux ont eu l'expérience de voir censurés des contenus relativement anodins en raison d'un mot ou d'une image considérés comme contrevenant aux conditions générales d'utilisation de la plateforme. Allez-vous conserver une compétence nationale en la matière et de quelle manière allez-vous articuler vos travaux avec le Centre européen pour la transparence algorithmique de Séville ?
Pouvez-vous faire le point sur les travaux du PEReN sur les dispositifs de contrôle de l'âge ? De votre point de vue, et sans prendre en compte les questions liées à la vie privée, quels sont les dispositifs qui vous semblent les plus fiables techniquement ? Y a-t-il des spécificités à prévoir selon que la consultation a lieu sur Internet ou via une application ?
L'article 5 crée une nouvelle peine complémentaire « de bannissement » et fixe pour les plateformes une obligation de moyens pour le blocage des autres comptes de la personne condamnée. Quels sont les moyens techniques qui pourraient être déployés pour répondre à cette obligation de moyens et existe-t-il des moyens de s'assurer que la personne bannie ne pourra pas utiliser un autre compte que celui qui lui est officiellement rattaché ?
M. Lucas Verney. - L'audit algorithmique constitue l'une des raisons d'être du PEReN. Ce sont des méthodes que le PEReN a développées depuis sa création. Il continue de les consolider et elles font aujourd'hui l'objet d'une thèse en co-tutelle avec un laboratoire de l'INRIA à Rennes.
Le PEReN n'a pas vocation à être un régulateur. Il n'a pas accès à des données internes. Il peut travailler avec des régulateurs ayant accès à des données privilégiées, notamment au titre de l'alinéa 1. Le PEReN travaille donc sur la base de données publiques, ce qui oriente la façon dont nous concevons un audit algorithmique aujourd'hui. Nous procédons par une analyse statistique des informations accessibles publiquement sur un site, une plateforme ou un réseau social et en essayant, sur la base de ces informations, de déterminer les grands comportements de ces algorithmes. Sans entrer dans le détail, une application directe de ces principes concerne la directive « PtoB » (Platform to Business) européenne, qui impose aux plateformes de décrire les grands paramètres qui influent sur les recommandations. Si l'on parcourt par exemple une liste d'hôtels, celle-ci sera peut-être triée, par défaut, par pertinence. Quelle est cette notion de pertinence ? La plateforme doit indiquer que la pertinence se définit, si tel est le cas, par le degré d'adéquation entre la recherche et l'hôtel proposé. Il peut s'agir du prix, du niveau de la commission, etc. En simulant un certain nombre de recherches et par une analyse statistique des listes proposées, on peut reconstruire des pondérations ou des approximations de ces pondérations pour les différentes variables entrant en ligne de compte et ainsi confronter les principaux paramètres déclarés par la plateforme, quant aux paramètres utilisés, avec ce qui est constaté sur le site web.
Sur cette base, nous n'avons à ce stade qu'une heuristique de détection. Peut-être n'avons-nous pas les mêmes résultats que ce que la plateforme annonce. Il peut s'agir d'une erreur statistique, d'un véritable biais ou d'une triche. Le travail du PEReN peut permettre d'indiquer que, sur la base de données publiques, on constate que l'algorithme se comporte bizarrement pour telle ou telle recherche. Le régulateur peut alors se saisir de ce dossier et solliciter des données qui représentent des accès proportionnés, puisque justifiés par un comportement inexplicable.
Le même principe peut se décliner pour des questions de modération ou de recommandation. Le PEReN a conduit en particulier un certain nombre de travaux pour analyser des « parcours utilisateur » et la manière dont une application de contenus vidéo pourrait entraîner un utilisateur d'un ensemble de contenus à un autre. Nous pourrions chercher à comprendre la façon dont cette « bulle de filtre » se comporte et la manière dont l'utilisateur évolue dans cette bulle de filtre. Ces travaux ont été présentés lors de l'inauguration du Centre européen pour la transparence algorithmique. Je vous invite à consulter, sur notre site Internet, une vidéo explicative qui illustre, par des captures d'écran, la manière dont cet audit peut être conduit.
Le Centre européen pour la transparence algorithmique (ECAT) est construit en s'inspirant fortement du modèle du PEReN. Nous échangeons régulièrement avec eux pour accompagner leur installation et leur montée en compétences du point de vue des outils, des méthodes de collecte des données ou encore dans l'approche vis-à-vis des plateformes numériques. Il s'agit aussi d'articuler nos travaux efficacement afin de collaborer dans le futur à travers la convention passée avec l'ECAT.
Un certain nombre de travaux sont en cours sur le contrôle de majorité. Des discussions ont lieu avec des acteurs privés qui proposent des premières solutions. Le PEReN est associé à ces discussions, tant pour l'analyse technique que, dans la mesure du possible, pour le test de la robustesse de ces systèmes au regard de différentes altérations. Pour un système basé sur un flux vidéo, nous pouvons par exemple essayer de l'attaquer en lui présentant une photo plutôt qu'une vraie personne, de façon à voir s'il résiste à ce type d'approche. On peut ainsi tester les limites effectives de ces différentes solutions. À ce jour, il existe plusieurs options disponibles. Elles impliquent des arbitrages, qui ne relèvent pas du PEReN, entre des considérations de vie privée, de fiabilité et d'efficacité. La solution la plus efficace est probablement la vérification en personne chez un buraliste ou dans un bureau de poste, sur présentation d'une carte d'identité. C'est aussi la solution la plus intrusive, qui soulève probablement des questions d'acceptabilité.
Un certain nombre de sociétés développent des outils de vérification de l'identité d'une personne à distance, sur la base d'une vérification de la carte d'identité ou sur la base d'une captation d'images vidéo. Le PEReN travaille sur ces solutions en testant là aussi différentes altérations ou attaques possibles (filtre, deep fake, détournement, etc.). La portion pour laquelle le PEReN peut intervenir ne constitue en tout cas que la portion technique du fonctionnement de ces solutions et concernant la robustesse de celles-ci. Elles s'insèrent dans un écosystème plus large d'utilisateurs, qui ont eux-mêmes des stratégies de détournement ou de contournement ne pouvant pas toujours être anticipées ou appréciées avec les outils dont dispose le PEReN.
Les conséquences ne sont pas tout à fait les mêmes selon que la consultation d'un site Internet a lieu sur une application mobile ou sur un ordinateur. Dans le cas d'une consultation à partir d'un ordinateur, le navigateur met en relation l'internaute et le site mais peu de briques techniques ont la capacité de connaître l'âge de l'utilisateur et de couper éventuellement la connexion en fonction de cette information.
Les applications mobiles dédiées sont principalement diffusées par deux magasins, le Google Play Store et l'Apple App Store. Ces deux magasins d'applications sont très fortement intégrés au système, couplés au contrôle parental. Ils ont connaissance en particulier du système PEGI qui permet d'appliquer des restrictions d'âge aux applications diffusées. Ils ont connaissance du fait que l'utilisateur est majeur ou non, suivant la configuration de l'appareil. Restreindre l'installation d'une application mobile est donc plus facile que de restreindre l'accès à un site Internet. Le PEReN est aussi associé à un certain nombre d'échanges autour de solutions techniques qui pourraient faciliter au moins la déclaration volontaire du caractère restreint aux mineurs, le cas échéant, de telle ou telle ressource en ligne.
Enfin, le sujet du bannissement peut se rapprocher, à certains égards, de la question de la vérification d'âge. Il faut, pour mettre en place un bannissement, disposer d'une liste d'identifiants ou de comptes à bloquer et confronter les identifiants de cette liste à ceux fournis par un utilisateur lors de son inscription sur un site. L'une des solutions les plus simples consiste à établir une liste noire d'adresses mail, car cette adresse est aujourd'hui l'identifiant utilisé de manière quasi universelle pour créer un compte. Nous pourrions, lors de l'inscription sur un réseau social, comparer l'adresse mail fournie à celles figurant sur une liste noire. Ce dispositif permet le bannissement mais ne serait pas nécessairement le plus efficace puisqu'il est très facile de recréer une adresse mail et ainsi contourner ce mécanisme. Au lieu de rechercher une preuve de majorité, nous pourrions fonder le dispositif sur une preuve de non-bannissement, sur la base d'un test à jouer, par exemple avec sa carte d'identité. C'est techniquement possible et cela ne présente pas le même degré d'intrusion dans la vie privée. Le PEReN a pour rôle d'établir le panorama des solutions techniques envisageables en indiquant leurs limites mais la question du choix de l'une ou l'autre de ces solutions dépasse ce seul cadre technique.
Mme Catherine Morin-Desailly, présidente. - Avez-vous les moyens d'expertiser et d'analyser le fonctionnement de tout type d'application ou d'un algorithme ? Cela renvoie à une proposition que nous avions faite au sein de la Commission des affaires européennes, selon laquelle on ne pourrait mettre sur le marché une application ou une plateforme que si elle a été analysée, expertisée et que si une autorité compétente a vérifié l'absence d'effets pervers ou délétères dans son utilisation. Sous réserve que vous disposiez des moyens requis, auriez-vous, dans l'absolu, la possibilité de réaliser cette analyse ?
M. Lucas Verney. - La question est différente selon que l'on cherche à démontrer l'existence ou l'absence d'un comportement problématique. Il est possible, à l'échelle du PEReN, d'identifier des comportements problématiques sur des plateformes et, dès lors que nous avons une première heuristique, de creuser celle-ci pour la transformer en une constatation effective. À l'inverse, réaliser l'audit d'une application et démontrer qu'en aucun cas son algorithme ne se comporte de manière problématique nécessite une exhaustivité qui a des implications tout autres en termes de charge et d'analyses à conduire.
Aujourd'hui, le PEReN peut disposer de trois sources de données publiques. Les premières sont les éléments volontairement mis en ligne par les plateformes. On peut penser par exemple aux rapports de transparence. Ce sont des jeux de données (ou parfois des documents) très peu structurés, présentant une granularité informationnelle et temporelle très large, et qui fournissent peu d'enseignements en pratique, en dehors de grandes lignes. Ces éléments sont très minoritairement utilisés par le PEReN.
La deuxième source est constituée par des interfaces de programmation dites publiquement disponibles. Dès lors qu'elles sont mises à la disposition d'un tiers, le PEReN peut s'y connecter, au titre de son pouvoir d'expérimentation ou de ses compétences d'institut de recherche. Ces interfaces offrent des données très fines, parfaitement structurées et des quotas d'accès assez élevés et assez faciles à suivre. En contrepartie, nous sommes complètement observés par la plateforme, qui sait que nous accédons à cette interface et dans quelles conditions nous y accédons.
La troisième modalité relève du « scraping », c'est-à-dire le moissonnage de données, en se connectant directement sur les mêmes interfaces que celles utilisées par les utilisateurs, soit sur le site web soit dans l'application mobile. Cette collecte garantit d'obtenir des données aussi proches que possible du comportement de la plateforme en production mais elle est très limitée en volume car elle est très coûteuse : cela nécessite une approche plateforme par plateforme, en développant du code spécifiquement pour chaque plateforme. S'y ajoutent des restrictions imposées par les plateformes afin d'éviter ce trafic automatisé qui, en dehors du cadre du PEReN, est généralement malveillant.
Ces deux dernières modalités s'articulent l'une et l'autre et se font écho. L'une des approches du PEReN consiste à bâtir, sur la base de données publiquement disponibles, des méthodes qui permettent de collecter de nombreuses données à travers des API et d'échantillonner par du scraping les données ainsi recueillies afin de vérifier que la plateforme se comporte de manière loyale dans ces API, en cohérence avec ce que l'on observe sur le site en production. Il s'agit, en d'autres termes, de contrer « l'effet Volkswagen », c'est-à-dire le cas de figure dans lequel la plateforme, se sachant auditée, adapte ses réponses. Nous construisons des méthodes qui offrent certaines garanties de ce point de vue. Cette méthode peut être mise en oeuvre dès lors qu'un algorithme est publiquement visible, exposé à l'utilisateur. Cela vaut par exemple pour des algorithmes de fixation du prix sur des plateformes de VTC et de livraison de repas, pour des algorithmes de recommandation de contenus ou de partage de vidéos ou encore pour des algorithmes de classement sur des plateformes de type « marketplace » où opèrent de nombreux vendeurs différents. C'est plus compliqué pour des algorithmes de modération qui, par définition, sont internes à la plateforme : on peut alors avoir des traces de la modération appliquée en suivant les contenus que l'on voit de manière transitoire sur la plateforme, puis qui disparaissent. Cela veut dire qu'ils ont été probablement modérés (ou retirés par l'utilisateur). Nous avons certains projets bâtis sur ce volet. Un nouveau mode d'accès à des données, du fait des nouvelles compétences qu'aura le PEReN au titre du RSN, consistera à accéder à des données internes, par le biais du coordinateur des services numériques ou par le biais des accès réservés aux chercheurs, afin d'analyser spécifiquement ces algorithmes internes à la plateforme.
Mme Alexandra Borchio Fontimp. - Selon vous, le recours à l'intelligence artificielle pourrait-il permettre une détection meilleure et plus rapide des contenus illicites sur Internet ? Si oui, quels seraient à vos yeux les garde-fous essentiels à mettre en place pour assurer un bon traitement des données personnelles ? Autrement dit, comment l'IA peut-elle contribuer à développer des solutions techniques qui rendraient efficientes les réglementations futures ?
M. Lucas Verney. - Nous utilisons l'IA en propre, au sein du PEReN, avec des objectifs assez proches. Nous entraînons et affinons certains modèles d'IA à l'état de l'art pour conduire des analyses, en particulier sur des effets de modération, dans le but de construire des modèles qui nous donnent des heuristiques permettant de savoir si tel ou tel contenu est susceptible d'être modéré ou non. Ces travaux sont un peu différents du cadre dans lequel ils seraient mis en oeuvre par une plateforme, puisque notre objectif est de déployer une stratégie à grosse maille à des fins de minimisation. Nous ne souhaitons conserver que les contenus qui présentent un intérêt pour l'étude que nous allons mener. Cela reste une heuristique. Pour une plateforme, l'objectif est inverse : il faut avoir le filtre le plus parfait possible, au risque d'amener des censures ou des modérations indues.
Le sujet de l'application éventuelle de l'IA à des modèles de modération est assez vaste et dépend du type de contenu envisagé. Ce n'est pas la même chose d'avoir du texte ou des images, ni de modérer selon tel ou tel prisme. Nous voyons par exemple certains réseaux sociaux qui interdisent des contenus de nudité et « surmodèrent », de ce fait, des contenus relevant d'oeuvres culturelles. Cela montre qu'il faut prendre en compte le contexte et peut-être l'IA n'est-elle pas encore suffisamment mature pour faire preuve de cette compréhension du contexte. S'agissant de textes, des questions de réappropriation des termes peuvent se faire jour, en particulier par des communautés pouvant se sentir discriminées. Il s'agit donc de trouver un bon équilibre entre ce qui peut relever d'une modération assez simple (pouvant, de ce fait, mobiliser l'IA) et ce qui doit bénéficier d'une revue humaine ou au moins d'une possibilité « d'appel » afin de permettre, le cas échéant, la restauration rapide des contenus qui auraient été modérés par erreur.
Mme Annick Billon. - Vous avez fait référence, monsieur Verney, à la question de la priorisation en indiquant que jusqu'à présent, vous parveniez à différer certaines des missions qui vous sont confiées. Avec l'élargissement de ces missions, la priorisation peut devenir un problème. L'accès à des mineurs constitue une véritable problématique. Vous avez fait des propositions en ce sens. Elles n'ont pas été utilisées jusqu'à présent, ce qui démontre que la loi, qui devrait être une priorité, ne l'est pas. Nous devons désormais fixer des priorités, alors que les thèmes qu'embrasse ce projet de loi numérique sont nombreux (pédopornographie, industrie de la pornographie, arnaques, jeux, haine en ligne, terrorisme). Attendez-vous une feuille de route pour prioriser les sujets ?
Ce projet de loi va aussi consacrer une nouvelle gouvernance, une nouvelle organisation et un nouveau fonctionnement des instances, ce qui va induire des relations qui n'existaient pas auparavant, par exemple entre le PEReN et l'Arcom, comme vous l'avez indiqué. Cette nouvelle gouvernance et ces nouvelles manières de travailler seront-elles, selon vous, synonymes d'efficacité et de rapidité - la célérité étant tout aussi nécessaire que les ressources, notamment pour traiter les faits de pédocriminalité ou les infractions liées à la pornographie ?
M. Lucas Verney. - Aujourd'hui, nous parvenons à couvrir un large éventail de besoins. La priorisation se décide sur la base de la mutualisation maximale : le PEReN a vocation à construire en son sein des outils pouvant bénéficier à tous. Dès lors que plusieurs projets se font écho entre des administrations distinctes, ce projet sera traité en priorité, puisqu'il bénéficiera à un plus grand nombre d'administrations. Si nous avons par exemple le projet d'analyse d'un algorithme de recommandation de produit et un projet d'analyse d'un algorithme de recommandation de vidéos, cela reste un algorithme de recommandation. Les méthodes développées seront les mêmes et ces deux projets seront vus par le PEReN comme un seul développement. Conduire ce projet bénéficiera aux deux projets finaux. Actuellement, en l'absence de contraintes et d'impératifs temporels, nous sommes en mesure de lisser la charge sur l'année et de conduire un volume conséquent de projets. Nous en avons 80 inscrits à notre feuille de route cette année.
Cette feuille de route repose sur quatre grandes thématiques en 2023, traduisant les centres d'intérêt et l'expression de besoins qui nous a été adressée.
Le premier de ces piliers est la protection des individus en ligne, ce qui fait écho aux thématiques que nous venons d'évoquer. Notre intervention peut se traduire par l'apport d'éléments techniques en appui aux négociations du règlement européen CSAM sur la pédopornographie. Elle peut porter sur l'évaluation et l'appui aux questions du contrôle de l'âge pour l'accès aux sites pornographiques, ou encore sur la mise en oeuvre d'autres droits, en particulier le droit à la portabilité.
Le deuxième axe a trait à la lutte contre les pratiques illégales en ligne. Il s'agit de projets qui nous sont commandés par les régulateurs.
Le troisième axe porte sur la publicité en ligne. Nous évoquions tout à l'heure l'initiative de Google « Privacy Sandbox ». Le groupe de travail animé par le PEReN s'inscrit dans cet axe.
Le quatrième axe, émergent cette année, porte sur l'impact environnemental du numérique, au vu en particulier de l'actualité de l'hiver dernier et des enjeux de charge des réseaux (électrique et Internet). Cet impact constitue aussi un enjeu du point de vue de l'adéquation de la qualité fournie par les services de VOD (vidéo à la demande) en fonction de la connexion Internet de l'utilisateur ou de l'appareil sur lequel il consulte ces contenus.
Nous menons tous ces projets de front. Chaque membre de l'équipe est porteur d'un certain nombre de projets. Nous constituons de petites équipes de deux à quatre personnes, qui sont en relation directe avec nos partenaires pour répondre à leurs besoins et leur transmettre les contenus que nous développons, jusqu'à leur mise en oeuvre.
Nos relations avec l'Arcom existent et se fondent sur l'article 36 de la loi du 25 octobre 2021. Il existe déjà un certain nombre de projets avec l'Arcom. Ces dispositions législatives ont instauré la possibilité, pour l'Arcom, en qualité de coordinateur des services numériques, de nous solliciter. Nous devons prendre en compte ces demandes, les anticiper et réserver une certaine allocation de nos ressources, dans notre feuille de route, pour répondre à ces commandes sur les questions liées à l'application du RSN.
Mme Toine Bourrat. - Je voudrais évoquer le fléau du cyberharcèlement, qui est amplifié par l'anonymat et le pseudonymat, qui permet de démultiplier le nombre de faux comptes utilisés par une même personne. Existe-t-il ou peut-on imaginer des outils qui permettent de faire le lien entre tous ces comptes sous pseudonyme et la personne qui les aurait créés ?
M. Lucas Verney. - Ce sont bien sûr des sujets d'intérêt pour le PEReN, sur lesquels il est amené à intervenir, qu'il s'agisse de la modération ou de l'évaluation de l'amplitude de ces phénomènes. Je rappelle que l'objectif du PEReN est de construire des outils pour permettre aux administrations compétentes d'appréhender le fonctionnement de ces plateformes, sous le prisme des obligations qui incombent à celles-ci. Il ne s'agit pas d'identifier spécifiquement ces comptes ni d'engager des poursuites.
Mme Catherine Morin-Desailly, présidente. - Existe-t-il l'équivalent d'un PEReN dans chaque État membre européen ?
M. Lucas Verney. - À ma connaissance, il n'y en a qu'un, en France. Il y a quelque temps, nous avons été contactés par des équipes anglaises qui envisageaient de proposer un modèle similaire au Royaume-Uni. Elles avaient réalisé un grand nombre d'interviews et le PEReN était le seul objet de ce type que leurs recherches avaient identifié.
Je constate que le fait d'avoir mutualisé dans un service ces compétences numériques est assez unique en Europe. Cela a inspiré la Commission pour la mise en oeuvre de son ECAT à Séville. Ailleurs, la stratégie consiste plutôt à saupoudrer quelques compétences dans les différentes autorités. Généralement, les autorités régaliennes ou de renseignement sont les mieux dotées, en particulier lorsqu'il est question de contenus terroristes ou pédopornographiques. Nous faisons prévaloir une approche algorithmique et numérique de ces sujets, là où nos homologues sont plutôt issus, la plupart du temps, de la police ou de l'institution judiciaire. Ils ont une approche très « métier », complémentaire, qui n'est pas toujours aussi pointue sur les questions techniques telles que l'efficacité qu'un algorithme de modération automatique peut présenter pour tel type de contenu, ou les ressorts possibles permettant d'amplifier artificiellement ces contenus.
Mme Catherine Morin-Desailly, présidente. - Il est essentiel, au vu des « boîtes noires » que constituent les plateformes, d'avoir une telle expertise. C'est une chance et il est bon que la France joue un rôle moteur dans ce domaine. Nous vous remercions beaucoup de votre participation à cette audition.
La réunion est close à 16 h 55.
Jeudi 15 juin 2023
- Présidence de Mme Catherine Morin-Desailly, présidente -
La réunion est ouverte à 14 h 45.
Audition des sociétés d'informatique en nuage européennes
Mme Catherine Morin-Desailly, présidente. - Notre table ronde de ce jour est consacrée à un sujet essentiel dont nous avons déjà beaucoup parlé, celui de « l'informatique en nuage », ou « cloud ». Nous accueillons aujourd'hui Mme Séverine Denys, directrice des relations institutionnelles de Docaposte, et Alain Issarni, directeur général de Numspot ; MM. Damien Lucas, directeur général de Scaleway, et Lucas Buthion, responsable des affaires publiques du groupe Iliad-Free ; MM. Thibault de Tersant, directeur général adjoint d'Outscale, secrétaire général de Dassault Systèmes, et Grégory Abate de la société Outscale, filiale du groupe Dassault Systèmes ; Mmes Solange Viegas Dos Reis, directrice juridique et membre du Comité exécutif d'OVHcloud, et Blandine Eggrickx, responsable des affaires publiques, et M. Jean-Paul Smets, vice-président d'Euclidia, une alliance qui réunit des acteurs prêts à fournir sous licence des technologies cloud à des gouvernements qui veulent dépendre le moins possible d'acteurs étrangers.
Les sociétés représentées ici incarnent l'avenir du stockage et du traitement des données au niveau européen. Notre continent doit en effet se prémunir le plus possible de la dépendance aux technologies étrangères et de la soumission à l'extra-territorialité, notamment américaine. Cet impératif de souveraineté, grandement défendu par la commission des affaires économiques dans son rapport de l'an dernier, est incarné par le titre III du projet de loi, qui va des articles 7 à 14. Il est en effet consacré au « renforcement de la confiance et de la concurrence dans l'économie de la donnée ». Je veux rappeler quelques données à ce propos : selon l'étude d'impact du projet de loi, au niveau mondial, le « cloud » représenterait 384 milliards d'euros en 2022, et 65 milliards en Europe. Il pourrait être multiplié par 10 d'ici 2030.
À ce propos, nous sommes confrontés à un double problème : d'une part, les entreprises françaises sont en retard dans l'utilisation de l'informatique en nuage, ce qui nuit à leur compétitivité ; d'autre part, là encore, le marché est très concentré et dominé par Amazon Web Services, Microsoft Azure et Google Cloud, avec une part de marché cumulée de 71 %.
Au-delà de considérations économiques déjà essentielles, le stockage et le traitement des données posent ainsi la question de notre capacité à assurer notre souveraineté. C'est à cela que cherchent à répondre les dispositions du projet de loi, en régulant des pratiques commerciales déloyales qui altèrent la liberté de choix des entreprises ou limitent la portabilité et l'interopérabilité des services, notamment la faculté à changer de fournisseur.
Mme Séverine Denys, directrice des relations institutionnelles de Docaposte. - Vous examinez un texte que nous attendions non seulement sur le sujet du cloud mais également sur ses dispositions visant à protéger les enfants, les citoyens, les consommateurs, les entreprises et les collectivités dans les espaces numériques. En tant que filiale du groupe La Poste et partie prenante d'un grand pôle financier public, Docaposte soutient cette initiative qui complète les textes européens sur le numérique, clarifie la situation et propose un cadre cohérent. Au niveau national, ce texte s'inscrit dans une démarche de l'État visant à soutenir l'autonomie industrielle de la France et Docaposte a une position clairement assumée de leadership de la confiance ainsi que de la souveraineté numérique dans les activités comme la banque, la finance, l'assurance, le secteur public et la santé, ce qui nécessite autonomie et régulation. Le texte répond à ces attentes en proposant des dispositions visant à garantir un cadre concurrentiel loyal et un soutien aux acteurs français ou européens dont la part de marché dans le cloud n'est pas à la hauteur de nos ambitions.
Une feuille de route a été structurée, pour chacun des secteurs que j'ai mentionnés, sur le développement des services de Docaposte en matière de données et d'intelligence artificielle. La souveraineté des données concernant les consommateurs, les citoyens ou les entreprises mérite une attention particulière. En effet, lorsqu'elles sont réunies, ces données - de faible intérêt si on les considère isolement - peuvent prendre une grande importance. C'est dans cet esprit que nous avons travaillé avec d'autres secteurs et que nous avons annoncé la création de Numspot qui est l'entité spécifiquement dédiée à l'informatique en nuage et que je laisse son directeur général vous présenter.
M. Alain Issarni, directeur général de Numspot. - Numspot est une entreprise toute récente créée en février dernier, avec un actionnariat comprenant la Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Telecom. Ces acteurs se sont associés pour remédier à l'insuffisance quantitative et qualitative de l'offre dans le domaine de l'informatique en nuage. En particulier, il leur est apparu nécessaire de renforcer la sécurité technique et juridique des données surtout vis-à-vis des lois extraterritoriales. Sans entrer dans les détails techniques, les offres existantes sont un peu trop basiques et ne correspondent pas tout à fait aux standards attendus par les entreprises qui souhaitent utiliser le cloud.
L'objectif de Numspot est d'adosser à l'offre existante d'Outscale - c'est-à-dire la marque cloud de Dassault Systèmes - des couches supplémentaires de prestations dites managées qui permettront aux utilisateurs et aux clients de bénéficier de services cloud plus avancés. Notre but est de répondre aux exigences de confiance, de sécurité et de souveraineté en proposant de nouvelles offres conformes au référentiel SecNumCloud pour enrichir l'existant.
M. Damien Lucas, directeur général de Scaleway. - Scaleway, filiale du groupe Iliad, existe depuis plus de 20 ans et je souligne qu'elle dispose de l'ensemble de la maîtrise d'ouvrage sans être soumise à un lien de dépendance unique, ce qui est une singularité en Europe. Tout d'abord, aucune dépendance ne s'exerce sur Scaleway dans l'ensemble de sa chaîne de valeur de l'informatique en nuage : elle est en effet rattachée à un groupe de télécommunications propriétaire de ses réseaux et qui a privilégié des partenariats industriels ou technologiques avec des équipementiers européens. De plus, Scaleway est à la fois propriétaire de ses quatre datacenters en région parisienne et du hardware qu'elle utilise. Notre entreprise maitrise également la couche logicielle qui est entièrement développée en interne. Je souligne l'importance de cette architecture d'ensemble puisque pour fournir les services du cloud, il faut disposer de l'immobilier, des ressources en serveurs ainsi que de la maîtrise de la couche logicielle qui occupe une part de plus en plus importante dans ce secteur.
Scaleway développe donc un écosystème de cloud que nous qualifions techniquement de « public », basé sur les standards du marché et sur des éléments open source. Nous plaçons ainsi la liberté de choix et la réversibilité au coeur de nos valeurs. Aujourd'hui, Scaleway compte environ 600 collaborateurs : nous avons recruté massivement ces dernières années et doublé de taille en trois ans grâce à des investissements considérables, rendus possibles grâce au soutien du groupe Iliad, et principalement consacrés au développement d'une couche logicielle performante.
Sans revenir sur les chiffres représentatifs du marché du cloud que vous avez très clairement présentés, je fais observer que le segment du cloud public est celui qui connaît la plus forte croissance : cet écosystème n'a jamais été aussi dynamique et mature sur le plan technologique. Cependant, comme vous le soulignez, nous perdons du terrain en Europe face aux trois principaux acteurs qui renforcent de plus en plus leur position. Cette amplification des dynamiques oligopolistiques sur le marché de l'informatique en nuage s'explique en grande partie par l'existence d'un certain nombre de barrières à l'entrée qui entravent les acteurs alternatifs. J'attire tout particulièrement l'attention sur les pratiques commerciales qui verrouillent fortement les clients et limitent leur résilience numérique en les rendant dépendants de leur fournisseur de cloud.
Le législateur national et européen a donc un rôle clé à jouer pour rétablir des conditions de concurrence équilibrée, étant donné le pouvoir de marché dont jouissent ces acteurs dominants. J'insiste sur l'importance d'agir à l'échelle européenne pour réguler ce marché : cela est nécessaire pour atteindre une masse critique et garantir une harmonisation entre les États membres afin de limiter toute possibilité de dumping. Le fait que la France prenne le leadership en légiférant la première de manière ambitieuse est un signal intéressant adressé à l'extérieur de nos frontières. Nous saluons donc les objectifs fixés par le projet de loi, que ce soit en matière d'encadrement ou d'octroi des services informatiques en nuage, d'interdiction des frais de transfert et de simplification de l'interopérabilité. Nous soutenons véritablement l'ambition mise en avant par le Gouvernement et espérons que ce volontarisme se diffusera à l'échelle européenne, voire au-delà.
Les occasions de légiférer sur le cloud sont rares ; c'est pourquoi nous accordons une grande importance à l'élaboration de ce texte. Nous souhaitons nous assurer, à vos côtés, que les dispositions sont pensées et rédigées de manière à atteindre les objectifs recherchés, tout en étant proportionnées aux capacités des PME ou des ETI, et sans pour autant limiter la capacité d'innovation de notre écosystème ni ralentir son expansion vers de nouveaux marchés. En effet, au-delà des enjeux de régulation, notre positionnement sur les marchés du cloud en Europe à l'horizon 2030 dépendra de notre agilité ainsi que de notre capacité à investir pour proposer des services de pointe et anticiper de nouveaux besoins.
M. Lucas Buthion, responsable des affaires publiques du groupe Iliad-Free. -Mon collègue ayant exprimé nos principales idées, je me concentrerai sur les réponses à vos questions dans la suite du débat.
M. Thibault de Tersant, directeur général adjoint de Dassault Systèmes. -Dassault Systèmes est le deuxième éditeur de logiciels en Europe et occupe la place de leader mondial dans son domaine, qui consiste à aider à concevoir et à fabriquer des produits ou substances dans à peu près tous les domaines de l'économie. Par exemple, les objets affichés dans la salle où nous nous réunissons ont été conçus, à un moment ou à un autre de leur processus de fabrication, avec des logiciels de Dassault Systèmes. L'automobile, l'aéronautique, les équipements industriels, la high-tech font partie des domaines très importants pour Dassault Systèmes, mais j'ajoute que les sciences de la vie sont devenues le deuxième secteur le plus important pour nous. Cela signifie que, depuis très longtemps, notre entreprise a l'habitude de gérer un haut niveau de confidentialité pour les données - de conception et de propriété intellectuelle - très sensibles de ses clients. Une des meilleures manières d'assurer cette confidentialité est de développer de l'informatique en nuage : cela permet de faire tourner les logiciels dans des environnements extrêmement sécurisés et de s'assurer que toutes les mises à jour sont effectuées par l'informatique en nuage tout en préservant l'intégrité des données. Voici déjà dix ans que Dassault Systèmes a investi pour développer sa filiale Outscale et permettre ainsi à ses clients d'utiliser tous leurs logiciels Dassault Systèmes dans les infrastructures en nuage d'Outscale. Cela nous a également permis de leur offrir de la souveraineté : nous garantissons à nos clients dont les données sont extrêmement sensibles que celles-ci resteront sur le territoire français quand elles sont hébergées chez Outscale. Je souligne également qu'Outscale a été la première société ayant obtenu la norme SecNumCloud de la part de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui apporte donc une garantie de grande sécurité.
Mme Catherine Morin-Desailly, présidente. - Pouvez-vous préciser en quelques mots, pour ceux qui nous écoutent et l'ensemble de nos collègues, ce qu'est la labellisation SecNumCloud ?
M. Thibault de Tersant. - Le label SecNumCloud, est le plus élevé en matière de sécurité informatique. Pour l'obtenir, le processus est extrêmement exigeant : on vérifie qu'aucun accès aux données de cette informatique en nuage n'est possible dans l'état actuel de l'art. L'audit effectué par l'ANSSI s'étend sur une durée d'environ 18 mois : ces conditions strictes permettent de valider un haut niveau de cybersécurité.
J'ajoute que notre sensibilité à la souveraineté des données et à la cybersécurité nous a conduits à participer à la création de NumSpot qui vise à permettre aux administrations, collectivités territoriales, hôpitaux et pharmacies, de préserver la sécurité et la souveraineté des données sensibles de santé, d'identité, ou de fiscalité en les logeant dans le cloud de NumSpot où elles seront préservées.
J'en termine avec quelques informations quantitatives : Dassault Systèmes rassemble 24 000 collaborateurs dans le monde, ses principaux centres de recherche et de développement sont localisés en France et nous réalisons un chiffre d'affaires d'environ 6 milliards d'euros.
Mme Solange Viegas Dos Reis, directrice juridique et membre du Comité exécutif d'OVHcloud. - Nous estimons que les dispositions de ce projet de loi sont absolument nécessaires pour rétablir une équité concurrentielle sur le marché du cloud. Je rappelle qu'OVH Cloud a été créée il y a 20 ans dans le Nord de la France et que cet acteur d'origine française est devenu depuis quelques années le leader européen du cloud, au sens où nous sommes le premier fournisseur de cloud basé en Europe. Nous sommes également un acteur international avec 34 datacenters répartis sur quatre continents. Notre chiffre d'affaires s'est élevé à près de 800 millions d'euros l'année dernière et nous comptons près de 3 000 collaborateurs sur ces quatre continents. Nous sommes donc un acteur d'une certaine envergure avec un modèle intégré assez unique sur le marché. En effet, nous construisons nos propres serveurs dans nos usines d'assemblage en France et au Canada, nous exploitons nos propres datacenters et nous fournissons des services de cloud de différents types : du cloud public, avec des hébergements mutualisés, et du cloud privé, avec un hébergement plus dédié. Nous sommes également présents sur deux des trois couches du cloud que sont d'abord l'infrastructure (IaaS pour Infrastructure en tant que Service), ensuite la plateforme (PaaS Plateforme en tant que Service) et enfin le logiciel (SaS Software ou Logiciel en tant que Service). Présente sur les deux premières couches, OVH Cloud n'est pas un éditeur de logiciels et nous ne mélangeons donc pas les intérêts entre fournisseurs de services de cloud et fournisseurs de services de logiciel.
Le marché du cloud est aujourd'hui stratégique et a un immense potentiel de croissance. En effet, toutes les entreprises, des PME aux grands groupes, ont besoin de systèmes d'information qui migrent de plus en plus vers le Cloud. Cependant, ce marché souffre de problèmes de concurrence et nous rejoignons les propos du représentant de Scaleway : les acteurs dominants verrouillent le marché avec des pratiques mortifères pour la concurrence, en particulier pour les acteurs plus petits, y compris les acteurs européens comme nous. Cela a des impacts toxiques, non seulement pour les utilisateurs qui - enfermés dans des contrats longs dont ils perdent le contrôle - sont privés de liberté de choix, mais aussi pour notre industrie et la protection de notre souveraineté nationale et européenne. Ces pratiques de verrouillage, d'abus de positions de marché et d'absence de transparence peuvent perdurer tant qu'il nous manquera un cadre réglementaire adapté et il faut remédier à la carence actuelle dans ce domaine, comme en témoignent les chiffres éloquents qui ont été rappelés en préambule.
Face à cette situation, plusieurs initiatives ont émergé au niveau européen avec le règlement DMA (pour Digital Markets Act) ou celui sur les données intitulé Data Act. De plus, des autorités régulatrices du monde entier en charge de la concurrence, en France, aux Pays-Bas, en Angleterre, au Japon, en Corée et aux États-Unis, ont déclenché des études sur le cloud liées aux positions dominantes qui s'y manifestent. C'est pourquoi OVH Cloud soutient pleinement ce projet de loi dont nous estimons qu'il sera positif pour l'écosystème européen et répondra à l'urgence de la situation. Enfin, ce texte vise à anticiper certaines dispositions du Data Act et prolonge ce dernier. OVH Cloud souligne tout particulièrement l'intérêt des dispositions favorisant la fin des frais de transfert de données, la fin du verrouillage des clients et les efforts en matière d'interopérabilité.
Notre ambition étant d'aborder toutes les difficultés actuelles, nous estimons qu'un certain nombre de compléments pourraient être apportés à ce texte. Il s'agirait, en particulier, de mettre un terme à certaines pratiques de ventes liées ou d'auto-préférence, ainsi que de protéger les données en imposant la transparence aux différents acteurs du cloud, ces derniers devant être en mesure de préciser où sont les données, quelle est leur utilisation et qui peut y accéder.
M. Jean-Paul Smets, vice-président d'Euclidia. - Euclidia que je co-préside est une alliance européenne d'industriels du cloud et j'ai par ailleurs deux entreprises à titre personnel.
Je souhaite au préalable vous permettre de mieux cerner la notion d'industriel du Cloud. Dans le secteur des télécommunications, on distingue, d'une part, les équipementiers - qui comme Ericsson fabriquent des stations de base - et, d'autre part, les opérateurs, comme Orange, qui exploitent des réseaux de télécommunication avec des équipements de diverses marques. Par une distinction similaire, je précise qu'Euclidia regroupe les équipementiers du cloud, mais pas les opérateurs du cloud qui utilisent les technologies que nous fabriquons. Je signale cependant que certains opérateurs du cloud fabriquent également leurs propres technologies, tout comme Free a fabriqué sa Freebox à une certaine époque. On retrouve des cas similaires en Turquie ou au Vietnam : quelques opérateurs de télécoms dans le monde sont également leur propre équipementier. En revanche, Euclidia rassemble des équipementiers du cloud mais pas d'opérateurs du cloud : nous n'avons donc pas d'observations particulières à formuler sur un assez grand nombre de dispositions du projet de loi qui ne concernent que les opérateurs et non les équipementiers.
L'alliance Euclidia compte 30 membres dans sept pays européens, avec cinq associations partenaires. Euclidia a recensé 120 fournisseurs européens de technologie cloud, qui proposent 308 technologies et ont réalisé 1 200 succès à l'export. Je souligne que 15 % des exportations réalisées par nos fournisseurs européens référencés ont été réalisés vers les GAFAM et pratiquement aucune chez les opérateurs européens de cloud. Ces informations figurent dans une étude que détient depuis six mois la direction générale des entreprises (DGE) et qu'elle publiera peut-être un jour. La moitié des technologies utilisées par un opérateur comme Amazon Web Services provient d'Europe. Contrairement à certaines affirmations totalement infondées, les technologies les plus avancées dans le Cloud, le « Edge computing » (informatique de périphérie) ou la 5G virtualisée, sont souvent européennes. Par exemple, au salon du Bourget, vous verrez du « Edge Cloud » volant pour des systèmes de combat des avions du futur 100 % européens.
Il y a un an et demi, les membres d'Euclidia ont fait dix offres aux gouvernements européens. L'idée consistait à proposer à chaque Gouvernement de disposer de son propre cloud en quelques mois, pour la somme symbolique d'un million d'euros. L'offre comprend toutes les technologies et l'assistance pour la mise en oeuvre initiale. Si les 27 membres de l'Union européenne avaient acheté ces dix offres, il leur en aurait coûté 270 millions d'euros soit 40 fois moins que les budgets alloués aujourd'hui par l'Union européenne ou les États membres pour essayer de redévelopper ce qui existe déjà. Euclidia s'efforce ainsi de démontrer que tout existe déjà sur le plan technologique mais qu'il faut plutôt se tourner vers certaines entreprises de petite taille que vers les grands groupes traditionnels pour bénéficier de notre avance technologique, par exemple sur le Edge industriel ou la 5G virtualisée.
Nous regrettons que le projet de loi n'aborde les technologies numériques que sous l'angle de la sécurité du consommateur et qu'il ne propose rien de concret pour privilégier l'adoption des nombreuses technologies européennes et dynamiser notre écosystème industriel du cloud.
De plus, il comporte même plusieurs aspects qui favorisent les technologies américaines du cloud au détriment des technologies européennes. Cela suscite l'inquiétude de certains de nos membres.
Mme Catherine Morin-Desailly, présidente. - Peut-être pourriez-vous formuler dès à présent vos suggestions pour accompagner le développement de votre secteur ?
M. Jean-Paul Smets. - Par exemple, une mesure très simple est de considérer que le logiciel relève du droit d'auteur. En effet, un développeur - pour peu qu'on connaisse la réalité de ce métier - est un artiste au même titre qu'un musicien ou un cinéaste : il écrit du logiciel comme on écrit un roman. Il n'y a donc aucun obstacle pour appliquer l'exception culturelle au logiciel. Nul besoin de passer par la loi ni une directive : du jour au lendemain, un État peut, par exemple, exiger un ratio minimum de contenu logiciel créé en Europe sans en demander l'autorisation à l'Union européenne. On pourrait également s'inspirer du Small Business Act, envisager un Buy European Act ou créer des « crédits blancs » - comme dans le domaine des émissions de CO2 - avec des échanges de titres représentant un quota de contenu logiciel européen dans telle ou telle activité. Inévitablement, certain s'opposeront à cette idée en indiquant qu'il s'agit de protectionnisme mais je fais observer que c'est, au final, ce qui se pratique aujourd'hui en matière de CO2 et il n'est pas choquant de protéger de la même façon notre culture. Une dizaine de méthodes et de propositions envisageables ont d'ores et déjà été formulées par écrit et il revient à nos élus de choisir la voie qui leur semble la plus raisonnable, éclairée par les propositions des acteurs qui font le cloud.
M. Patrick Chaize, rapporteur. - Merci pour vos propos introductifs riches en informations dont il ressort que le secteur français ou européen du cloud est en difficulté et nous allons essayer d'y apporter remède.
Estimez-vous que le retard pris par les entreprises françaises par rapport aux entités américaines est rattrapable et, si oui, comment peut-il l'être grâce à ce projet de loi : sur quel vecteur ou point particulier pensez-vous utile de focaliser notre attention ?
L'article 7 du projet de loi porte sur l'offre de crédits cloud, c'est-à-dire une sorte d'accompagnement offert de façon attractive à certaines entreprises pour les engager dans un service cloud. De telles offres de crédits cloud sont aujourd'hui proposées par vos entreprises respectives. Inversement, avez-vous recours à des crédits cloud proposés par des opérateurs étrangers, en particulier par les GAFAM ? Êtes-vous favorable à un encadrement de ces crédits ? Quelle durée maximale de validité de ces offres promotionnelles recommandez-vous ? Le Gouvernement nous a indiqué qu'il envisageait un plafond de trois à six mois : ce délai vous paraît-il judicieux et opérationnel ?
S'agissant des frais de transfert sortants qui sont facturés par vos entreprises respectives : quels sont, inversement, les frais qui vous ont déjà été facturés à l'occasion d'un éventuel changement de logiciel, de plateforme ou d'infrastructure de cloud ? Êtes-vous favorable à une suppression de ces frais de transfert sortants comme l'envisage le projet de loi ?
Certains d'entre vous ont évoqué la question de la séparation éditeur-plateforme. Avez-vous une position consensuelle sur ce sujet et, le cas échéant, comment identifier de façon précise ce partage entre fournisseurs de services de cloud et fournisseurs de services de logiciel ?
Pouvez-vous également nous éclairer sur la signification concrète, pour les clients du cloud, de trois mécanismes : l'interopérabilité prévue par l'article 8, la portabilité des actifs numériques et enfin la mise à disposition d'une interface de programmation d'applications ?
Enfin, que pensez-vous du rôle de l'Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) dans la régulation du marché du cloud ? Estimez-vous que l'Arcep dispose des moyens humains et techniques suffisants pour lui permettre d'assumer le rôle de gendarme du Cloud ?
M. Thibault de Tersant. - Les crédits cloud se définissent à ma connaissance comme la mise à disposition gratuite de services d'informatique en nuage par des acteurs américains dits « hyperscalers ». Le premier réflexe, qui se manifeste d'ailleurs dans le présent projet de loi, est de les encadrer très strictement. En effet, les crédits cloud permettent d'attirer une clientèle de startups qui n'ont pas les moyens de payer l'informatique en nuage et qui, par la suite, ne vont pas changer de fournisseur de cloud. Je pense néanmoins qu'il faut tenir compte de la nécessité d'offrir une période gratuite de test à des clients, en particulier quand on souhaite les convaincre de changer d'informatique en nuage en migrant d'un acteur américain ou chinois à un acteur français. Nous ne voyons pas d'objections particulière à un encadrement de cette pratique mais il faut conserver la possibilité d'un essai gratuit et long sans quoi on va avoir un effet opposé à celui qu'on souhaite en supprimant le moyen de faire migrer des clients dans du cloud français.
M. Patrick Chaize, rapporteur. - Pouvez-vous préciser la durée qui vous parait appropriée à cet essai gratuit ?
M. Thibault de Tersant. - Une année est généralement nécessaire pour faire le tour d'un projet de migration assez important.
S'agissant de frais de transfert sortants, je précise d'abord qu'Outscale n'en facture pas au client qui souhaite reprendre ses données. En revanche, des prestations permettant de migrer les données vers un autre environnement sont parfois nécessaires et ont un coût pour le fournisseur de cloud. Il faut donc bien distinguer les frais arbitraires de ceux qui correspondent a un véritable service rendu, avec des personnes et de la puissance informatique. La formulation juridique de « frais directs et indirects » prête à confusion car les frais indirects peuvent s'appliquer au recours à un prestataire extérieur pour faciliter la migration des données : si tel est bien le cas, alors on tarira toutes les possibilités de transfert vers les opérateurs de cloud français. Il faut donc préserver la possibilité de rémunérer un service rendu. En revanche, ce qui s'apparente à une « taxe » ou un « péage » de sortie est néfaste et nous sommes très favorables à sa suppression le plus vite possible.
Ensuite, vous avez évoqué la portabilité des actifs numériques. Je souligne que la notion d'actifs numériques est définie de façon confuse dans le projet de loi. Il s'agit en outre d'une notion dangereuse car elle recoupe un ensemble plus vaste que les simples données du client : les métadonnées, par exemple, font partie des actifs numériques. Faute de définition précise des éléments portables, on s'expose à un fort risque de non-conformité à la propriété intellectuelle. C'est un des domaines où les institutions européennes ont décidé d'intervenir en employant le terme de « données exportables » : je pense que le présent projet de loi devrait utiliser cette formulation car les données exportables visent précisément les données du client. L'objectif essentiel de la partie du texte consacrée à l'informatique en nuage est de permettre aux clients de récupérer leurs données qui sont incluses dans leur patrimoine. Ce n'est pas toujours facile aujourd'hui et c'est précisément ce qu'il faut permettre.
Il faut cependant prendre garde aux pressions qui sont exercées par divers acteurs pour aller beaucoup plus loin vers une interopérabilité et une portabilité d'actifs numériques plus vastes que les données du client et qui exposent la propriété intellectuelle. L'autre danger, dans une démarche un peu plus raffinée, serait de rendre au final le texte inopérant parce que son périmètre serait trop large. En effet, l'interopérabilité au niveau des logiciels est extraordinairement complexe et il en va de même quand le projet de loi parle d'API (Application Programming Interface ou interface de programmation d'application) ouverte. Nous sommes aujourd'hui dans l'économie de la donnée et pas dans l'économie des API. Je pense donc qu'il faut recentrer le projet de loi sur les données ainsi que les possibilités offertes aux clients de les transférer. S'aventurer dans le domaine des API créerait des obligations qui ne sont pas raisonnables pour les éditeurs de logiciels. J'appelle à une extrême prudence car un certain nombre de pays sont très favorables à cette récupération de propriété intellectuelle sous forme d'API. De la même manière, il faut se méfier du concept d'équivalence fonctionnelle qui ne signifie pas grand-chose et peut s'étendre à des logiciels dans le cloud. En résumé, j'appelle à renoncer au concept d'actifs numériques pour en revenir à celui de données exportables qui, je l'espère, sera inscrit dans le Data Act européen.
M. Patrick Chaize, rapporteur. - J'imagine que vous avez des propositions à nous faire sur le sujet.
M. Thibault de Tersant. - Nous pouvons effectivement vous fournir des propositions d'amendements très précises.
S'agissant de l'Arcep, j'indique que l'idée fondamentale est que si on veut permettre la portabilité des données, il faut que celles-ci répondent à certains standards pour les rendre réutilisables d'un service à l'autre. Au risque de paraitre brutal, j'indique que ces standards ne sont pas français. L'élaboration de standards est longue et onéreuse : je pense donc qu'il est préférable de miser sur l'élaboration de standards européens en impliquant dans ce processus les industriels qui sont les consommateurs des données et en évitant une démarche trop intellectuelle. Les organismes ayant élaboré les standards pour l'échange de données de produit (STEP) auxquels j'ai participé réunissent les industriels concernés, par exemple dans le secteur automobile ou aéronautique, avec des éditeurs de logiciels du type d'Assystem. Nous avons une haute opinion de l'Arcep mais la mission d'élaborer les standards nécessaires à la portabilité des données est tout à fait au-dessus de ses moyens.
M. Jean-Paul Smets. - Pour des raisons très différentes de celles qui viennent d'être exposées, nous arrivons chez Euclidia à des conclusions similaires sur les questions fonctionnelles, d'actifs numériques et de normalisation.
Notre principale différence d'approche avec les propos précédents porte, par exemple, sur le fait que nous souhaitons que les API soient publiques car nous estimons qu'il n'y a pas de propriété intellectuelle sur ces interfaces logicielles.
Nos conclusions sont cependant les mêmes. Ainsi, le fait de confier à l'Arcep une mission qui s'apparente à une standardisation du cloud me paraitrait personnellement, assez catastrophique car l'Arcep est spécialisée dans les télécommunications : son personnel a marqué, à une certaine époque, sa préférence pour le minitel plutôt que le web, et l'Arcep reste marquée par une forme de pensée parfois un peu rigide. Je connais à l'Arcep des gens qui comprennent parfaitement le secteur des télécommunications mais quasiment aucun qui ait un haut niveau de compréhension des logiciels.
Par ailleurs, l'idée de normalisation des systèmes dans le monde du logiciel me laisse interrogatif. En effet, je ne connais que trois normes - la norme japonaise TRON, W3C (World Wide Web Consortium) et POSIX (Portable Operating System Interface) - qui permettent de définir les mêmes règles pour tous les développeurs de logiciels du monde. Je vous mets au défi de m'en citer d'autres.
Mme Catherine Morin-Desailly, présidente. - Nous entrons ici dans un débat extrêmement technique et je me permets de recentrer le débat sur son aspect législatif et sur les questions soulevées par notre rapporteur. Il nous importe avant tout que le texte de loi permette l'émergence d'un cloud souverain français et européen qui, aujourd'hui, est un peu en retrait en raison de l'hégémonie des GAFAM qui ont tendance à vampiriser ce marché en plein développement. Nous souhaitons savoir si le texte de loi vous satisfait en rééquilibrant le marché et en facilitant la migration des données vers les solutions respectueuses des valeurs européennes que vous offrez. Devrions-nous, par exemple, inscrire dans le texte la notion de données stratégiques et sensibles ? Nous souhaitons également participer à la mise au point des politiques industrielles d'accompagnement de votre secteur en nous concentrant sur des questions stratégiques.
M. Jean-Paul Smets. - Je faisais référence aux propos de M. Thibault de Tersant qui, à juste titre, a indiqué que la notion de données exportables pourrait faire l'objet d'une normalisation ; j'ai également fait observer que le contenu du projet de loi fait référence à quelque chose qui n'existe pas.
M. Lucas Buthion, responsable des affaires publiques du groupe Iliad. - Tout d'abord, nous soulignons l'importance de ce projet de loi qui marque une certaine inflexion. En s'efforçant de réguler certaines pratiques qualifiées par une intervenante de « mortifères », ce texte pourra participer à une forme de rééquilibrage des conditions de concurrence qui vont permettre à Scaleway comme au reste de l'écosystème français européen de montrer leur valeur de façon plus juste et équitable.
S'agissant des différentes questions soulevées par le rapporteur, je commencerai par m'associer aux interrogations, voire aux craintes suscitées par la définition des actifs numériques. Pour aller plus dans le détail des propositions concrètes, nous pouvons vous inviter, en faisant référence à la notion de donnée exportable, à examiner la dernière définition - plus cadrée, plus précise et plus concrète - qui figure dans le trilogue européen sur le Data Act.
Par ailleurs, à notre connaissance, la notion de portabilité en matière de cloud n'est pas définie dans le Data Act.
Mme Catherine Morin-Desailly, présidente. - Je précise que le Data Act n'est pas encore adopté et nous sommes donc dans une phase d'anticipation des dispositions qui pourraient figurer dans sa version définitive.
M. Lucas Buthion. - Tout à fait, mais, à l'échelle européenne, il faudra bien choisir la définition à laquelle on se réfère dans la phase ultérieure de normalisation. Il nous parait donc pertinent d'essayer d'anticiper au niveau français cette évolution et de permettre à l'Arcep d'agir de façon proactive en prévision de la mise en oeuvre future du Data Act.
Par ailleurs, il me semble qu'un consensus se dégage sur les frais de transfert. Notre groupe n'en facture pas non plus, hormis de façon très marginale, tandis qu'un certain nombre d'acteurs dominants peuvent avoir des marges sur ces frais de transfert de l'ordre de 800 % - selon nos estimations qu'il convient sans doute d'approfondir - par rapport à leur coût réel. L'encadrement ou l'interdiction de ces frais de transfert est donc, pour nous, une excellente chose pour lever un vrai verrouillage des clients. Ceci dit, nous estimons à notre tour nécessaire de mieux définir ces frais de transfert pour bien les distinguer des frais et éviter les contournements.
Je précise que le projet de Data Act prévoit une période de transition au niveau européen pour ces frais de transfert tandis que le présent projet de loi envisage une interdiction immédiate : cela ne nous ne poserait aucun problème, si ces frais ne sont pas justifiés par des impératifs techniques et permettrait de renforcer sans délai la liberté de choix des utilisateurs.
Enfin, s'agissant des offres de crédit cloud, je précise en toute transparence que ces pratiques ne sont pas l'apanage exclusif des hyperscalers américains. Scaleway, par exemple, propose des offres de crédit cloud à des écosystèmes de développeurs et de start-up mais pas du tout dans les mêmes proportions ou montants et à la même échelle que les acteurs dominants, ce qui crée une dissymétrie. Je fais observer qu'en raison d'une certaine accoutumance à des prix négatifs, nous sommes contraints de proposer de telles offres.
La réflexion sur l'encadrement de ces pratiques est probablement justifiée mais je signale que la limitation des crédits cloud ne figure pas, comme vous le savez, dans le projet de Data Act européen. On risque donc d'aboutir à un encadrement spécifique à notre territoire assez facile à contourner par les filiales non françaises des acteurs dominants qui pourraient continuer à distribuer ces crédits à des entités françaises. La situation ainsi créée serait un peu paradoxale, voire inverse à l'effet recherché : l'encadrement de l'octroi de crédit cloud s'imposerait uniquement aux acteurs français situés sur le territoire national qui n'auraient pas les moyens de contourner cet encadrement. Il faut donc, à mon sens, être attentif aux effets de bord d'un tel dispositif pour ne pas détourner les clients potentiels de nos offres.
M. Patrick Chaize, rapporteur. - J'entends parfaitement vos objections et, comme vous l'avez bien compris, nous comptons sur vous pour nous aider à bien définir les frais de transfert ainsi qu'à trouver le bon équilibre dans la rédaction du texte.
S'agissant des crédits cloud, il s'agit d'éviter l'effet pervers qui aboutirait à priver certaines startups d'un accompagnement utile à leur développement par des entités françaises. Là aussi, il faut trouver le bon équilibre, mais pour l'instant, je ne pense pas qu'il faille s'interdire d'être plus vertueux que le Data Act en s'efforçant d'éviter que certaines entreprises américaines préemptent le marché sans pénaliser les acteurs nationaux.
Mme Solange Viegas Dos Reis. - Tout d'abord, sur le crédit cloud, je partage la plupart des propos tenus par les intervenants. La difficulté est que le système des crédits cloud a une dimension vertueuse pour accompagner l'écosystème des startups ou des PME françaises et européennes qui ont besoin de migrer vers le cloud et hésitent à passer le cap. D'un autre côté, on constate que les crédits cloud sont détournés de leur finalité d'outils d'accompagnement pour tester le cloud : cela devient un produit d'appel pour attirer ces startups, même très précoces dans leur développement, et les verrouiller en tant que clients. Une interdiction totale des crédits cloud serait donc excessive.
Pour être à notre tour transparent, OVHcloud, met également en oeuvre une politique de crédit cloud, mais de façon modérée. Il est impossible, pour les petits acteurs, de répliquer les propositions de crédit cloud d'un montant très élevé faites par les entreprises extrêmement puissantes. C'est ce décalage qui pose aujourd'hui un énorme problème et non pas le crédit cloud en soi.
L'approche que nous défendons est celle d'un encadrement précis des crédits cloud avec une limitation de leur montant et de leur durée à un niveau accessible à des acteurs. Par-dessus tout, ce mécanisme doit rester un véritable test, en permettant à une startup ou une entreprise quelconque bénéficiant d'un crédit cloud de sortir à tout moment de sa période d'essai sans pénalisation financière. Il s'agit de s'aligner sur les offres d'essai gratuit de grands quotidiens de presse qui n'engagent pas le souscripteur.
Nous estimons qu'une durée de gratuité comprise entre six mois et un an assortie d'un plafond annuel de 50 000 euros pourrait être envisageable dans un certain nombre de cas. Il est cependant difficile de fixer des paramètres précis adaptés à l'ensemble des acteurs.
Quoi qu'il en soit, la logique du crédit cloud est saine : il a été détourné en rendant le client captif et il faut aujourd'hui lui rendre sa fonction première de test.
M. Patrick Chaize, rapporteur. - Si je vous entends bien, vous êtes favorable à un cumul de limitations à la fois dans le temps et en montant, le Gouvernement ayant, pour sa part, envisagé de ne fixer qu'une durée maximale.
Mme Solange Viegas Dos Reis. - Je pense qu'à défaut de limitation du montant des crédits cloud, les distorsions de concurrence entre les acteurs vont perdurer mais je reconnais qu'il n'est pas facile de fixer une somme précise et il ne m'appartient pas de le faire.
Ensuite, sur les frais de transfert, je précise tout d'abord qu'OVHcloud n'applique pas de frais de sortie de contrat. Dans le sillage des précédents intervenants, j'estime nécessaire de bien distinguer les frais de transfert et les frais de migration. Je précise que la circulation des données entre différents serveurs pendant le contrat - en particulier quand le client dispose en même temps de plusieurs opérateurs de cloud - ne doit pas non plus donner lieu à facturation de frais de transfert. En revanche, lorsque tout ou partie du contrat s'arrête, c'est-à-dire lorsque le client décide de retirer une partie de ses services hébergés chez un prestataire de cloud - pour les transférer vers ses propres serveurs, chez un autre opérateur, ou même pour arrêter complètement - il s'expose alors à des frais de migration. Ces frais peuvent jouer un rôle de barrières à la sortie pour les clients : il est essentiel de rester extrêmement vigilants à leur égard et de vérifier qu'ils se limitent à répercuter le coût spécifiquement engagé pour la migration. Il peut légitimement s'agir de prestations de services - qui méritent salaire - pour accompagner le client dans sa migration mais d'éventuels « frais de bande passante » ou autres n'ont aucun sens, sans quoi on peut parler de « péage » pour reprendre la formule pertinente du rapporteur. Toute la difficulté, au plan juridique, est de bien définir les composantes des frais de transfert et de migration. OVHcloud facture des prestations humaines d'accompagnement à la migration mais nous n'appliquons pas de frais sur le reste et ne comprenons pas ce qui pourrait être facturé.
Sur les questions plus techniques d'interopérabilité et d'actifs numériques, nous estimons que le projet de loi va dans le bon sens. OVHcloud est confronté à cette difficulté : l'interopérabilité est une barrière à la migration entre fournisseurs de cloud, tout comme l'absence de portabilité des données. En revanche, une définition approximative de ces notions pourrait entrainer des effets pervers que M. de Tersant a évoqués. L'interopérabilité, se définit concrètement par la faculté pour des systèmes, applications, ou composants différents de pouvoir se connecter, partager, fonctionner ensemble et communiquer entre eux. Cette interopérabilité n'est pas naturelle et il faut parfois la forcer. Nous pensons que le texte doit fortement la stimuler car si on ne fixe pas ex ante des conditions nécessaires à une bonne interopérabilité, les acteurs dominants vont encore accroitre leur pouvoir de marché. En effet, les trois acteurs qui représentent 71 % du marché en France et 72 % en Europe vont imposer leur propre format. On constate dès à présent que quand certains hyperscalers américains modifient leurs formats ou leurs services, tout le reste de l'industrie s'empresse de se mettre à niveau. L'entreprise dominante risque ainsi d'imposer son modèle à l'ensemble du marché et c'est précisément ce phénomène qui doit être anticipé par le projet de loi : celui-ci doit donc favoriser l'interopérabilité et la portabilité.
J'ai bien noté que les définitions retenues pourraient entrainer des effets de bord et il faut faire en sorte de les éviter. Je précise ici que la notion d'actifs numériques inclut les données exportables mais il faut également que les données soit transmises dans un format structuré, couramment utilisé et lisible - de la même façon qu'un déménageur doit vous livrer vos affaires sans se contenter de les déposer en vrac dans le salon. Le principe de portabilité doit donc inclure la possibilité pour le client de réutiliser ses données de façon rapidement opérationnelle.
M. Alain Issarni. - En réponse à la première interrogation du rapporteur sur le retard pris par les entreprises françaises ou européennes du cloud, j'indique que NumSpot n'existerait pas si nous pensions que ce décalage n'est pas rattrapable et le projet de loi va effectivement dans le bon sens pour nous faciliter la tâche.
Je souhaite mentionner des éléments de nature à renforcer les acteurs du cloud dont nous parlons. Vous avez évoqué, Madame la Présidente, la récente mise à jour de la « doctrine cloud au centre » destinée à accélérer la transformation numérique de l'État. Celle-ci va également dans le bon sens en précisant le contour exact des données à sensibilité particulière qui sont de nature à justifier le référentiel SecNumCloud. Cette doctrine s'adresse au secteur public et nous souhaitons que celui-ci puisse contribuer à faire émerger des petits acteurs du cloud à travers la commande publique.
Le troisième levier de nature à rééquilibrer l'offre de marché réside dans la sensibilisation de l'utilisateur final. Nous souhaitons que des efforts soient amplifiés dans ce domaine. Peut-être faudrait-il s'inspirer, dans le cloud, du cyberscore, qui est un système de notation des sites web, à l'image du Nutri-score : le cyberscore s'est installé dans le paysage numérique, quoique de façon assez timide puisqu'il ne concerne, pour 2024, que les très gros acteurs. En revanche, lorsqu'on se connecte aujourd'hui à un site localisé dans le cloud, il est extrêmement difficile de savoir où sont vos données, qui en est l'hébergeur et si elles sont ou pas soumises à un quelconque risque. Pour autant, je pense que l'éducation des utilisateurs est importante et peut influencer les fournisseurs de services sur l'utilisation des données. Il me parait donc souhaitable d'encourager la création d'un équivalent du cyberscore ou du Nutri-score appliqué à la sécurité des données pour favoriser l'émergence d'acteurs plus vertueux en termes de sécurité et de confidentialité des données.
Mme Catherine Morin-Desailly, présidente. - Vous avez mentionné la labellisation SecNumCloud mise en place par le Gouvernement. Je signale que certains acteurs, et en particulier les petites entreprises, ont fait valoir que le processus de labellisation, est, comme vous l'avez vous-même rappelé, très long - environ 18 mois - et coûte cher, avec des sommes voisines de 50 000 euros. Pouvez-vous confirmer ces données ?
M. Jean-Paul Smets. - Je précise à ce sujet qu'Euclidia rassemble deux catégories de membres. Certains, très minoritaires, ont subi une sorte de chantage en recevant des subventions d'État conditionnées à la labellisation SecNumCloud. Ils ont pu communiquer sur cette qualification et ne sont pas enclins à la critiquer. En revanche, pour la majorité de nos membres, SecNumCloud a pour effet de favoriser les technologies américaines du cloud. Aujourd'hui, les quatre offres d'hébergement labellisées SecNumCloud, fonctionnent - sans parler du système de vente qui les entoure - avec un coeur technologique américain, ce qui ne garantit pas leur immunité contre une prise de contrôle à distance par un État tiers, par exemple concernant les équipements Cisco ou, comme on peut le lire, dans les logiciels propriétaires d'origine américaine. SecNumCloud favorise en réalité l'absence d'offres basées sur des technologies européennes. Il favorise également les offres propriétaires par rapport aux logiciels libres, ce qui pourrait enfreindre la loi de 2016 sur la République numérique d'Axelle Lemaire, car quand on utilise un logiciel libre, la qualification SecNumCloud impose de procéder à de nombreuses vérifications. On peut même, sur la base de la dernière mise à jour de la circulaire SecNumCloud qui exige d'utiliser des équipements immunisés contre un accès à distance par un État tiers, considérer que la quasi-totalité des offres ne sont pas conformes car elles utilisent le plus souvent des processeurs Intel ou AMD, contenant un dispositif d'accès à distance contrôlable par les États-Unis. Tout ceci illustre, selon la majorité de nos membres, l'aspect absurde de cette signalétique qui défavorise l'industrie européenne.
M. Thibault de Tersant. - Très franchement, nous avons besoin d'une norme exigeante pour garantir la sécurité des données et le contrôle de leur souveraineté. C'est le rôle de SecNumCloud et il y a aujourd'hui beaucoup de pression pour minorer le niveau d'exigence de cette norme.
Mme Catherine Morin-Desailly, présidente. - Qui exerce ces pressions ? Pouvez-vous citer des noms ?
M. Thibault de Tersant. - Un certain nombre de joint-ventures créés ou en voie de création avec des hyperscalers américains, comme par exemple Bleu auquel participe Microsoft et Cap Gemini, sont assez intéressés par un abaissement de la norme SecNumCloud. Notre entreprise a obtenu cette norme à juste titre extrêmement exigeante, de façon à garantir la sécurité des données et j'ajoute que les délais de vérification requis sont en train d'être réduits.
Par ailleurs, j'estime qu'on peut encadrer la durée des crédits cloud mais leur fixer un montant maximum nuira à notre capacité de migrer vers des environnements français des grands clients qui travaillent actuellement avec des fournisseurs américains ou chinois. Il en va de notre capacité à livrer bataille aux grands opérateurs.
Le dernier point que je souhaite signaler porte sur l'insécurité contractuelle : je signale qu'une disposition du Data Act prévoit que tout client peut interrompre son contrat cloud avec un délai de préavis de 60 jours, ce qui, en apparence apparait comme un gage de liberté. J'estime cependant qu'il serait inopportun d'introduire une disposition similaire dans le projet de loi en discussion car si on veut développer le cloud en France et obtenir des grands comptes, cela nécessite un engagement pluriannuel. Une sécurité contractuelle d'une durée approximative de trois ans est en effet le seul moyen de financer des investissements très importants. L'engagement pluriannuel d'un client s'accompagne d'ailleurs souvent d'un rabais important. Au final, cette disposition du Data Act est très pernicieuse et favorise en réalité nos grands concurrents américains.
M. Jean-Paul Smets. - J'ajoute qu'un certain nombre de projets de textes européens vont dans une direction similaire. Par exemple, le Cyber Resilience Act (CRA) fait planer un risque d'amende de 15 millions d'euros sur les créateurs de logiciel libre en cas d'erreurs commises par un utilisateur de ces logiciels qui ne leur a rien payé pour l'utiliser : cela donne envie d'arrêter de faire des logiciels libres. On trouve le même genre de disposition dans la directive Product Liability qui institue une responsabilité supplémentaire à la charge des développeurs de logiciels libres, notamment pour le cloud, et qui le partagent. Pour sa part, la directive sur l'intelligence artificielle impose de s'inscrire dans une base de données pour vérifier qu'ils respectent la démocratie et qu'ils ont mis en place un système de traçabilité de leur code dont la conformité à toutes les lois européennes doit être vérifiée ligne par ligne avant tout partage avec les autres développeurs de logiciels libres.
On constate donc une accumulation de textes qui renforcent la charge mise sur les personnes qui développent les technologies open source. Cela va encore plus loin puisque, dans le système des noms de domaine, en cas de plainte, le défendeur devra acquitter les frais de procédure même s'il est mis hors de cause, ce qui est dérogatoire du cours normal de la Justice. Ce genre de texte donne aux producteurs de technologie une envie furieuse d'aller s'établir ailleurs.
Mme Solange Viegas Dos Reis. - En ce qui concerne SecNumCloud, OVHcloud a obtenu cette certification et je tiens à préciser qu'il s'agit effectivement d'un long processus mais que le Gouvernement a mis en place un accompagnement adapté. À son tour, OVHcloud s'est engagée auprès des éditeurs de logiciels sur cet accompagnement pour les aider à comprendre l'écosystème de la certification. Au final, SecNumCloud procure un avantage concurrentiel aujourd'hui déterminant et incorpore des critères d'immunité aux lois extraterritoriales pour prévenir un certain nombre de risques. Quoi que fassent les hyperscalers américains, les acteurs européens dotés d'une certification de ce niveau auront un avantage concurrentiel qu'il est important de préserver.
Mme Catherine Morin-Desailly, présidente. - Vous êtes plusieurs à participer au projet de plateforme de données de santé qui pourrait être une alternative à Microsoft, d'après ce que nous aurions pu comprendre. Pourriez-vous nous en dire plus à ce sujet ?
Nous ne connaissons pas l'état d'avancement du projet d'offre alternative à Bleu et sommes très préoccupés à ce sujet sur lequel nous avons interpelé à plusieurs reprises les différents ministres en charge de la Santé et du Numérique, ainsi que la Première ministre. Celle-ci nous a promis qu'un appel d'offres serait lancé, ce qui n'avait pas été le cas en 2020. Par la suite, M. Bernard Charlès, Président de Dassault Systèmes, a interpellé le président de la République en indiquant que sa société n'avait pu candidater à un appel d'offres en bonne et due forme. Où en est ce projet ? Vous parait-il stratégiquement pertinent et suffisamment accompagné par les administrations compétentes ?
M. Jean-Paul Smets. - M. Pedro Lucas, qui dirige une des grandes entités françaises de l'hébergement de santé et une de mes entreprises, et moi-même avons, il y a un ou deux ans, fait une offre au Health Data Hub portant sur un système complet hébergé avec toute la conformité HDS (Hébergeur de Données de Santé). Le Health Data Hub a donc, depuis le début, connaissance d'offres conformes et européennes et M. Achille Lerpinière, qui y travaillait, connaît depuis le premier jour les produits européens disponibles pour construire un système 100 % européen.
Toutefois, la récente circulaire de la Première ministre sur le cloud de confiance indique qu'une dérogation peut être accordée sans qu'elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable sera disponible en France. Ce terme d' « acceptable », particulièrement vague, permet en fait de continuer d'avoir le Health Data Hub chez Microsoft ad vitam aeternam malgré l'existence d'une pléthore d'offres 100 % européennes.
Mme Catherine Morin-Desailly, présidente. - Vous contredisez l'idée selon laquelle nous n'aurions pas de solutions alternatives : elle avait été émise par la secrétaire d'État en charge du numérique, et on constate une forme d'autodénigrement permanent à l'égard de nos propres compétences numériques dans les sphères académique, politique et administrative. En tant que représentants de ce secteur, pouvez-vous au contraire affirmer qu'on peut progressivement récupérer une forme d'autonomie stratégique et de souveraineté en établissant des choix préférentiels, à commencer par nos données de santé. Peut-on construire progressivement cet écosystème ?
M. Thibault de Tersant. - Nous en sommes convaincus et c'est la raison pour laquelle nous avons réalisé le projet Numspot, qui a vocation à traiter les données de santé des Français : nous avons bien l'intention de faire valoir nos arguments dont je confirme la pertinence.
M. Alain Issarni. - Je confirme ces propos : Numspot a l'ambition de bâtir un cloud souverain et de confiance, avec des services évolués qui nous rapprochent de ce qui se pratique par ailleurs. Nous serons donc ravis de pouvoir participer à une compétition sur un appel d'offres pour le Health Data Hub.
Mme Catherine Morin-Desailly, présidente. - Nous sommes preneurs des propositions que vous n'auriez pas pu nous faire oralement compte tenu de nos contraintes de temps. C'est important, parce qu'au-delà du cadre juridique, nous restons attentifs à la stratégie industrielle qui va accompagner très concrètement et financièrement ces projets de cloud souverain.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 16 h 15.
- Présidence de Mme Catherine Morin-Desailly, présidente -
Audition des opérateurs du numérique
La séance est ouverte à 16 heures 30.
Mme Catherine Morin-Desailly, présidente. - Sans plus attendre j'ouvre cette table ronde qui s'inscrit dans le cadre des travaux de notre commission spéciale, une commission transversale au Sénat qui rassemble l'ensemble de nos commissions. Elle a été mise en place afin d'étudier le projet de loi « Sécuriser et réguler l'espace numérique ». Le texte a déjà fait l'objet de travaux au sein de la commission des affaires européennes dans la mesure où il s'agit d'un texte d'application de règlements européens, dont le règlement sur les marchés numériques (RMN), le règlement sur les services numériques (RSN), le règlement sur la gouvernance des données (DGA) et le règlement sur les données (DA). Ce dernier, encore en cours de discussion, est pourtant quelque peu anticipé dans le projet de loi.
Je souhaite accueillir M. Arnaud David, directeur des affaires publiques européennes d'Amazon Web Services, M. Yohann Bénard, directeur des affaires publiques d'Amazon, M. Benoît Tabaka, secrétaire général de Google France, M. Frédéric Géraud, directeur des affaires publiques de Google Cloud France, M. Anton'Maria Battesti, directeur des affaires publiques de Meta France, et Mme Béatrice Oeuvrard, responsable des affaires publiques de Meta France.
Les entreprises que vous représentez sont très importantes. Qualifiées le plus souvent de big tech, elles reposent sur le modèle économique de « capitalisme de surveillance » tel que défini par Shoshana Zuboff, une professeure de Harvard. Ce modèle n'est pas sans poser problème aux Européens. D'un régime de non-redevabilité et de non-responsabilité établi par la directive sur le commerce électronique (LCEN), nous allons passer à un autre type de régime qui vise à réguler les grandes plateformes, tant sur le volet des marchés numériques, qui concerne l'ensemble des acteurs économiques, que sur celui des services numériques, qui concerne plutôt les usagers.
La question des données est au centre de la problématique qui nous réunit et les textes apportent des solutions pour mieux protéger la vie privée, également au vu des intérêts stratégiques que cela représente pour l'Europe. Mais les textes visent aussi à rééquilibrer un système qui est très fortement anti-concurrentiel et verrouillé d'un point de vue juridique, financier et technique, et ce à votre bénéfice. Les textes, et notamment le RSN, sont également conçus pour répondre aux effets toxiques et finalement pervers du modèle économique des plateformes. Des faiblesses permettent des mésusages tels que la désinformation, la manipulation de l'information, la surexposition des contenus pédopornographiques, et les phénomènes de harcèlement et de haine en ligne. Sans régulation, tout cela est devenu une jungle. Il faut pouvoir travailler à retrouver de la confiance et de meilleurs usages dans le cadre d'un modèle qui est redoutablement addictif et, il faut aussi l'admettre, efficace.
Ce sont des constats que vous connaissez. Le Sénat est très attaché à ces questions et nos nombreux travaux l'ont montré. Nous souhaitons comprendre comment et dans quels délais vous appliquerez le RSN et le RMN, et dans quelle mesure vous pouvez, à travers les propositions qui sont faites, contribuer à une meilleure régulation de l'espace numérique.
Mme Béatrice Oeuvrard, responsable des affaires publiques de Meta France. - Je précise que Meta n'étant pas un service cloud, nous nous cantonnerons à la discussion sur les plateformes.
En premier lieu, nous nous interrogeons sur la pré-transposition en droit français de certains éléments qui sont encore en cours de discussion au niveau européen. Certains articles n'ont pas été notifiés à la Commission, notamment l'article 16 relatif au Pôle d'Expertise de la Régulation du Numérique (PEReN), alors qu'il fait référence aux articles 34 et 40 du RSN.
Nous souhaitons également réagir sur la partie relative au cyberharcèlement. Nous développons depuis de nombreuses années des outils pour diminuer les effets du harcèlement qui peut exister sur les plateformes. Pour les personnes condamnées, le projet de loi prévoit la possibilité pour le juge de prononcer la suspension pour six mois (et douze mois en cas de récidive) du compte d'accès au service en ligne, ce qui nous paraît intéressant. Le fournisseur de service est également tenu de mettre en oeuvre des mesures permettant de procéder au blocage des autres comptes d'accès à son service éventuellement détenus par la personne condamnée et d'empêcher la création de nouveaux comptes. Or, comment identifier ces comptes ? Nous seront-ils notifiés et si oui, sous quelle forme ? Il s'agit de données sensibles dans la mesure où il y a inscription sur le casier judiciaire. Nous suggérons d'utiliser la Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements (PHAROS) et ses agents assermentés pour mettre en place un système intermédiaire de contraventions. Plus de 25 000 réquisitions sont émises tous les ans. Ce système intermédiaire permettrait d'éviter que tout passe par la voie judiciaire, où les délais de traitement sont plus longs, et ainsi de répondre aux attentes des utilisateurs.
M. Anton'Maria Battesti, directeur des affaires publiques de Meta France. - Je souhaite d'abord pointer un risque de fractionnement de la législation. Dans le projet de loi, les questions d'âge sont traitées dans la partie sur l'accès aux sites pornographiques. Or, en parallèle une proposition de loi portée par le député Laurent Marcangeli concernant la majorité numérique a été déposée. Il serait peut-être utile d'essayer de réconcilier ces questions par le projet de loi. Au niveau européen, les questions d'âge sont traitées dans le DSA, mais la commission s'est également saisie de ces sujets via son code de conduite Child Safety.
La France pourrait être moteur sur ces sujets, mais l'adoption d'une loi nationale sans solution technique évidente interroge aujourd'hui les parties prenantes. Il conviendrait de se mettre tous autour de la table : opérateurs de télécom, fournisseurs de services d'exploitation, magasins d'applications, mais aussi bien sûr les plateformes, pour essayer de traiter ces points. Il me semble que le gouvernement y travaille et qu'il y a eu des propositions. Nous espérons que ce sujet très important pourra avancer dans le cadre de ce projet de loi.
M. Benoît Tabaka, secrétaire général de Google France. - Le projet de loi et l'adoption des deux textes européens viennent parachever le travail de refonte engagé depuis 20 ans et l'ordonnancement juridique en sera modifié. Nous avons suivi l'adoption des textes sur la lutte contre la désinformation et la lutte contre la haine. Pour la première fois, nous avions avec l'ARCOM un interlocuteur et un régulateur avec qui échanger, ce qui nous a paru intéressant. Nous espérons que ce travail avec l'ARCOM pourra se poursuivre après l'entrée en vigueur du RSN.
Sur le projet de loi en tant que tel et l'application du RSN et du RMN, notre analyse est toujours en cours. Le seul élément identifié à ce jour concerne les dates d'entrée en vigueur. Le nouveau cadre juridique français entrerait en vigueur après le nouveau cadre européen. Pour les grandes plateformes, il y aurait un moment où les deux cadres juridiques européens et français se superposeraient.
Sur le volet cloud, je laisse Frédéric Géraud vous apporter des éléments.
Comme évoqué lors des deux dernières auditions, nous travaillons spécifiquement sur la question de la lutte contre les arnaques et cherchons à encore améliorer ce dispositif qui nous semble intéressant. Le texte comporte de nombreuses briques : filtre anti-arnaques, protection de l'enfance. Les premiers dispositifs concernant la vérification d'âge et le contrôle par l'ARCOM pourraient sans doute être améliorés en termes d'efficacité.
Concernant le filtre anti-arnaques, il serait utile de créer un canal de communication unique plutôt que d'avoir de multiples autorités qui viennent signaler tel ou tel site comme étant potentiellement une arnaque. Le système de sanctions pourrait être aligné sur le système de sanctions du RSN, avec la reprise du concept de « défaillance systémique ». Aujourd'hui les opérateurs ne participent pas à la mise en oeuvre du filtre anti-arnaques, alors qu'il s'agit du premier canal de survenance de l'arnaque. Les opérateurs pourraient eux aussi, avec les systèmes d'affichage de page, participer au blocage et a minima à l'information préalable du consommateur.
Sur la lutte contre le cyberharcèlement, plusieurs dispositifs existent aujourd'hui et le dispositif prévu par la loi va dans le bon sens. 54 personnes sont condamnées chaque année en France, souvent plusieurs années après les faits. Les mesures de blocage de compte interviennent donc plusieurs années après l'infraction, et la personne condamnée peut continuer ses agissements pendant cette période. Nous suggérons de prendre exemple sur le système d'amendes mis en place pour lutter contre le harcèlement de rue. Aujourd'hui, il est possible de mettre une amende pour harcèlement de rue dans les heures qui suivent les faits, mais nous n'en sommes pas capables en cas de cyberharcèlement.
Mme Catherine Morin-Desailly, présidente. - Je précise que certaines entreprises représentées ce jour comptent parmi leurs activités, l'informatique en nuage, soit le stockage et le traitement de la donnée. Vous n'êtes pas que des réseaux sociaux.
M. Frédéric Géraud, directeur des affaires publiques de Google Cloud France. - Je pense utile et important de préciser que Google Cloud est l'un des derniers entrants sur le marché de l'informatique en nuage. Google Cloud est souvent cité dans la presse comme cinquième acteur du marché de l'informatique en nuage en France, avec moins de 10 % de parts de marché, loin derrière Amazon et Microsoft et moins loin d'OVH Cloud et d'Orange. Compte tenu de cette position de challenger, nous sommes favorables à toute action qui fluidifie un marché qui est toujours en expansion, notamment en France où l'adoption des technologies en nuage se fait plus lentement que dans le reste de l'Union européenne. Nous sommes donc toujours surpris d'être associés aux deux leaders du marché. Chez Google Cloud, nous croyons en un nuage qui tient sa promesse initiale. Ouverture et sécurité, élasticité et simplicité et surtout une grande liberté de choix pour le client, notamment pour tester de nouvelles fonctionnalités et des innovations.
Google Cloud souhaite se différencier des autres acteurs, notamment grâce à ses services basés sur des technologies open source. Ces technologies sont la pierre angulaire de l'interopérabilité, de la portabilité, d'une meilleure utilisation des ressources énergétiques et de l'indépendance de ses fournisseurs. Google Cloud est d'ailleurs l'un des premiers fournisseurs à s'être mis volontairement en conformité avec le code européen Switching Cloud Providers and Porting Data (SWIPO) pour promouvoir la portabilité et la liberté de changer de fournisseur, ce qui n'est pas le cas de tous les acteurs du marché. Google Cloud est reconnu comme un acteur majeur du monde de l'open source. Nous remettons régulièrement des technologies à fort impact entre les mains de la communauté open source mondiale, notamment des logiciels comme Kubernetes ou TensorFlow qui sont aujourd'hui utilisés par d'autres, y compris nos concurrents directs. Chez Google Cloud, nous avons toujours eu comme mantra que nous ne sommes ni les meilleurs ni les plus parfaits, mais que nous sommes sérieux, fiables, pragmatiques et surtout que nous avons toujours quelque chose à apprendre de nos partenaires et interlocuteurs, notamment ici aujourd'hui. Comme nous apprenons tous les jours de notre principal partenaire en France, le groupe Thalès, avec qui nous travaillons une offre portée par S3NS, la filiale cloud de Thalès et qui a pour vocation de décrocher la qualification SecNumCloud.
Notre vision d'un cloud de confiance passe donc par des technologies open source, garantes de sécurité, de maintenance à long terme et donc d'une plus grande robustesse pour les utilisateurs finaux. Ce propos introductif portera donc sur le titre 3 du projet de loi et notamment ses deux premiers chapitres consacrés à l'informatique en nuage. Quel ne fut pas notre plaisir de lire dans le titre de ce chapitre 1er « Pratiques commerciales déloyales entre entreprises sur le marché de l'informatique en nuage ». Car de notre point de vue, et nous l'avons exprimé déjà auprès de l'Autorité de la concurrence française, il existe des pratiques commerciales que nous souhaitons voir qualifiées de déloyales. Google Cloud souhaite souligner ici la grande qualité des travaux portés par le Cigref en France et par le Cloud Infrastructure Services Providers in Europe (CISPE) au niveau européen et leurs dix principes pour l'octroi de licences logicielles équitables pour les clients utilisant l'informatique en nuage. Je précise que Google n'est membre d'aucune de ces deux organisations. Nous attendons aussi le travail de l'Autorité de la concurrence qui devrait utilement nourrir ce débat. Quelle ne fut donc pas notre surprise de ne pas trouver dans ce chapitre 1er le résultat des travaux du Cigref et du CISPE, mais d'y trouver le sujet des avoirs ou crédits cloud alors même que nombre d'autorités de la concurrence, notamment française, britannique, néerlandaise ou japonaise, les voient comme un véhicule de fluidification et d'ouverture du marché et que l'ensemble des acteurs, petits, moyens et gros, les propose.
Il est à noter que le règlement européen sur les données dit Data Act n'aborde pas ce sujet. En revanche, le Data Act aborde bien le sujet des coûts de transfert. Sur ce sujet, nous souhaitons souligner, comme nombre d'autorités et d'acteurs du marché l'ont déjà fait, que l'anticipation de ce texte européen est dommageable, car en fonction du résultat des travaux du législateur français, cela créera peut-être de la confusion et des différences notables au sein même du marché unique européen. Notre lecture du texte français est d'ailleurs assez orthogonale avec celle des travaux européens toujours en cours sur ces questions de coûts de sortie versus coûts de transfert. Nous appelons donc de nos voeux le législateur à clarifier avec pragmatisme et avec beaucoup de précision ce sujet et surtout à ne pas être distant des travaux européens en cours. Il y a aussi la définition, ô combien cruciale, de l'équivalence fonctionnelle qui nous paraît aujourd'hui différente des travaux européens, un sujet fort complexe qui nécessite à nos yeux beaucoup de pragmatisme. Concernant les nouveaux pouvoirs confiés à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) en matière d'interopérabilité, nous sommes reconnus dans ce domaine et serons ravis de travailler avec l'autorité. Nous croyons dans le pragmatisme de l'autorité et sommes plutôt dubitatifs sur l'opportunité de créer une norme française en la matière. En effet, les normes internationales ont fait leur preuve sur le marché des télécommunications et de l'Internet depuis quelques années déjà. En conclusion, nous souhaitons apporter avec joie notre contribution à vos travaux, notamment, vous l'aurez compris, sur les licences logicielles équitables et un marché de l'informatique en nuage toujours plus ouvert.
M. Yohann Bénard, directeur des affaires publiques d'Amazon. - Je souhaite profiter de l'occasion qui m'est donnée pour inscrire le texte que vous allez examiner dans un contexte plus large, qui est celui de l'ambition auquel il répond. Cette ambition, inscrite dans la stratégie numérique européenne en 2015, consiste à construire le marché unique du numérique afin de garantir aux consommateurs et aux entreprises un meilleur accès aux biens et aux services en ligne, d'une part, et d'autre part, de créer un environnement favorable à la croissance des réseaux et des services numériques, pour faire du numérique un moteur de croissance en Europe. Amazon est pleinement en phase avec cette ambition que nous faisons nôtre.
Mme Catherine Morin-Desailly, présidente. - Il s'agissait d'une ambition exclusivement au service du consommateur et pas forcément en faveur d'une industrie européenne. Certains événements sont survenus depuis et l'Europe a pris conscience de la nécessité d'une politique industrielle et de souveraineté. Nous ne sommes plus dans la même configuration qu'en 2015 avec la Boussole numérique pour 2030.
M. Yohann Bénard. - Amazon a une obsession qui est celle des consommateurs et je souhaite rappeler l'importance de ces textes et du marché unique européen pour les consommateurs, qu'il s'agisse de particuliers ou d'entreprises. Nous contribuons depuis près d'un quart de siècle à la construction de ce marché unique et de sa composante numérique, puisque lorsque nous nous sommes installés en France en 2000, le marché unique venait alors d'être proclamé. Ses quatre libertés constitutives avaient été énoncées, mais leur mise en oeuvre était encore limitée : la libre circulation des biens notamment, avec des réseaux logistiques qui n'étaient pas adaptés à l'échelle de l'Union européenne ; la libre prestation de services, avec peu de services en ligne fiables, sûrs et faciles d'accès pour tous les Européens. Les consommateurs et les entreprises européens avaient donc un accès au marché unique en droit, mais pas dans les faits. Aujourd'hui, ces libertés sont devenues des réalités.
Lorsque les consommateurs se rendent sur Amazon.fr ou sur des sites équivalents dans d'autres pays européens, ils ont accès à des millions de produits disponibles au sein de l'Union européenne et aux offres de 225 000 entreprises européennes, pour la plupart des TPE et des PME, dont 13 000 françaises qui utilisent Amazon pour accéder à la clientèle européenne et qui recourent à notre réseau logistique pour livrer leurs produits à des consommateurs parfois localisés dans un autre pays et ne parlant pas la même langue. Cette réalité est le fruit du marché unique et de sa composante numérique.
La construction du marché unique s'est exprimée dans d'autres domaines comme les services d'informatique en nuage, qui permettent à des entreprises européennes de stocker et de traiter leurs données de manière efficace et sécurisée. Amazon est également présent dans les industries créatives avec le financement depuis deux ans de 130 créations européennes originales, dont « Salade grecque » de Cédric Klapisch. Cette suite de « L'Auberge espagnole » est diffusée partout en Europe et aide à la constitution d'un espace culturel commun.
Amazon a ainsi investi 142 milliards d'euros en Europe depuis 2010, dont 16 milliards en France. Amazon est l'entreprise en France qui a créé le plus d'emplois depuis 2010 avec près de 100 000 emplois directs et indirects tous secteurs confondus. Les PME et les TPE françaises qui utilisent Amazon pour accéder à leurs clients ont exporté pour 600 millions d'euros via Amazon en 2021.
Le marché unique et sa composante numérique sont aujourd'hui devenus des réalités, au bénéfice des consommateurs, mais aussi des salariés et des entreprises européennes. Nous en sommes très fiers.
Amazon adhère pleinement à l'idée que ce marché doit être régulé et que les règles qui s'appliquent dans le monde physique doivent également s'appliquer en ligne.
C'est déjà le cas en droit, même si des difficultés demeurent en pratique. Amazon fait plus qu'adhérer à l'idée et se mobilise en offrant à ses clients européens des services sûrs et en les préservant des fraudes en ligne, de la contrefaçon, de la cybercriminalité et de contenus et comportements illégaux. Plus de 800 000 tentatives de création de comptes frauduleux ont été bloquées en 2022. En coopération avec les marques et les autorités, plus de 1 300 contrefacteurs ont été signalés ou poursuivis et six millions de produits contrefaits ont été repérés et saisis, empêchant toute revente. Amazon a la confiance des Français, comme le confirment les enquêtes année après année. Durement acquise, cette confiance nous engage à poursuivre dans cette voie. En 2022, plus d'un milliard d'euros a été investi dans l'ensemble des actions citées.
En réponse à la question posée en introduction, Amazon se conformera aux règlements européens en cours d'adaptation en droit français, même si certaines dispositions ne semblent pas de nature à renforcer la protection des Européens dans le monde numérique.
En conclusion, je souhaite attirer votre attention sur un premier risque associé à l'examen du texte, celui de la fragmentation géographique. Le marché numérique européen n'est unique que parce que les mêmes règles s'appliquent d'un bout à l'autre de l'Europe. Les effets positifs en termes d'innovation, d'investissement, de création d'emplois ou de protection des citoyens et des consommateurs disparaîtraient si la transposition des textes ou leur application aboutissait à désolidariser la France de ses voisins européens. Les consommateurs français seraient alors soumis à des règles et à des niveaux de protection différents selon qu'ils choisissent d'acheter en ligne sur un site, par exemple, français ou belge, ce qui n'est évidemment pas souhaitable. La création d'un espace numérique à deux vitesses dans lequel certaines règles ne s'appliqueraient qu'aux acteurs les plus importants serait problématique. Dans le monde physique, la loi protège de la même façon tous les consommateurs qu'ils se rendent dans un hypermarché ou dans un petit commerce de centre-ville. À notre sens, ils devraient en être de même dans le monde numérique.
Nous espérons que vos débats permettront, si ce n'est d'éviter, au moins d'aplanir ces deux écueils et contribueront à donner les mêmes droits et les mêmes protections dans le monde numérique et à garantir un environnement numérique à la fois sûr et propice à l'innovation, au bénéfice des citoyens et des acteurs économiques européens.
Mme Catherine Morin-Desailly, présidente. - Nous avons conscience du risque de fragmentation de la législation, mais je rappelle que le RSN et le RMN sont des règlements et non des directives. Il y a une harmonisation par le haut qui s'impose.
M. Arnaud David, directeur des affaires publiques européennes d'Amazon Web Services (AWS). - AWS est une entreprise d'informatique en nuage. Les premiers centres de données en France ont été ouverts en 2017, dans le cadre d'un plan d'investissement sur 15 ans d'un montant de six milliards d'euros. Aujourd'hui, AWS compte 1 000 salariés en France et génère, d'après l'institut Public First, 1,6 milliard d'euros de valeur économique qui soutient 130 000 entreprises et 22 000 emplois. AWS investit également dans la formation pour aider les citoyens français à acquérir des compétences numériques dans la sécurité ou dans l'intelligence artificielle. Il est prévu de former 29 000 personnes d'ici 2025. Notre métier est de fournir des ressources informatiques à la demande avec une tarification à l'usage. AWS fournit aujourd'hui aux clients français plus de 200 services en lien avec le stockage et la gestion de bases de données, la sécurité ou encore l'intelligence artificielle.
Le modèle d'affaires repose sur la confiance de nos clients et AWS investit continuellement pour permettre à ses clients de décider où ils stockent leurs données, comment elles sont utilisées, qui y a accès et comment elles sont sécurisées. AWS soutient le développement d'un écosystème numérique ouvert et compétitif pour les industries, les gouvernements et les citoyens européens. En France en particulier, AWS soutient les initiatives qui consistent à accélérer la transition numérique des organisations publiques et privées, tout en garantissant que les utilisateurs disposent d'une entière liberté dans le choix de la technologie qui corresponde le mieux à leurs besoins. Cette liberté de choix est fondamentale.
Selon une étude du cabinet IDC, le nombre de fournisseurs d'informatique en nuage a considérablement augmenté entre 2017 et 2021 : de 17 à 40 pour les fournisseurs de taille moyenne dont le chiffre d'affaires excède les 20 millions d'euros ; de 47 à 132 pour les fournisseurs qui font moins de 5 millions d'euros de chiffre d'affaires.
Ce projet de loi nécessite la main attentive du législateur sur trois points en particulier.
L'encadrement des avoirs en premier lieu, proposé à l'article 7, est une pratique courante dans de nombreux secteurs. L'octroi d'avoirs aux clients d'AWS a un objectif double : d'une part permettre d'accélérer la transition numérique des entreprises en les encourageant à utiliser ces nouveaux services, et d'autre part donner notamment aux PME et aux jeunes pousses l'occasion de tester ces nouvelles technologies. Comme souligné par l'autorité de la concurrence dans son avis, l'avoir n'est pas une pratique anti-concurrentielle et le supprimer ou en réduire la portée pourrait entraver la French Tech en la privant de crédits alors que ses avoirs seraient disponibles dans d'autres pays européens. Il convient de se demander si une lex specialis est nécessaire en la matière, là où des sanctions en cas de pratique anti-concurrentielle existent, que ce soit au titre du déséquilibre significatif ou de l'avantage sans contrepartie.
Concernant en second lieu les frais au titre des transferts de données vers un nouveau fournisseur, il est à noter que la grande majorité des prestataires de services informatiques ne facturent pas de frais supplémentaires ni de pénalités lorsqu'un client passe d'un fournisseur à un autre. AWS ne facture pas de frais supplémentaires lorsqu'un client change d'environnement numérique. Par contre AWS facture l'utilisation du réseau, quel que soit le motif défini par l'entreprise utilisatrice. Lorsqu'une entreprise de services de radiodiffusion ou de vidéos à la demande diffuse du contenu à ses consommateurs finaux, son utilisation du réseau lui sera facturée en fonction de la quantité de données transférées et de la distance que cette donnée doit parcourir. Chez AWS, ces frais d'utilisation ont diminué de 50 % entre 2018 et 2022. La mesure d'encadrement des frais aux titres de transfert doit être mise en cohérence avec l'article 25 du règlement sur les données actuellement en discussion à Bruxelles. En effet, le règlement sur les données prévoit à ce jour une suppression progressive des frais de transfert sur trois ans, alors que la mesure inscrite au projet de loi pourrait s'appliquer dans quelques mois. À défaut et comme souligné par l'Autorité de la concurrence, cela pourrait entraîner un problème d'attractivité pour les fournisseurs.
En dernier lieu, l'approche proposée aux articles 8 et 9 sur la portabilité des actifs numériques ne reflète pas la variété et la complexité des services d'informatique en nuage et l'utilisation qu'en font nos clients. Ces services ne peuvent être comparés à des services téléphoniques, et regroupent des services aussi variés que la gestion d'une messagerie électronique comme laposte.net, des outils de traitement de photos, une base de données de gestion de contrats commerciaux ou les services proposés par la société française Hugging Face en matière d'intelligence artificielle. Les clients d'AWS utilisent des briques technologiques, des codes et des formats pour développer leurs propres applications et leurs propres services. Ils jouent un rôle actif en cas de transfert vers un nouveau fournisseur puisqu'ils ont défini l'architecture de leurs solutions. En pratique, ces clients vont consulter leurs équipes en interne, avoir recours à des prestataires externes et/ou s'appuyer sur les compétences du nouveau fournisseur pour mener à bien le transfert. La notion d'équivalence fonctionnelle est problématique dans la mesure où, comme souligné par l'autorité de la concurrence, elle pourrait étouffer l'innovation en standardisant les services vers le plus petit des dénominateurs communs.
Mme Catherine Morin-Desailly, présidente. - Le caractère stratégique et privé de nos données est au centre de notre préoccupation. En tant qu'entreprises extra européennes américaines, vous êtes soumis aux lois extraterritoriales. Avec la loi Foreign Intelligence Surveillance Act (FISA), vous êtes tenus de transmettre les données des Européens sur requête de la NSA, oui ou non ?
M. Arnaud David. - À mon sens, non. Le régime s'applique, mais nous avons la possibilité de contester son application en justice. Toute entreprise opérant dans un pays hors Union européenne ou même hors de France est soumise à des réglementations différentes.
M. Frédéric Géraud. - Nous contestons un certain nombre de requêtes formulées par le gouvernement américain. Le nombre de requêtes par typologie de services est publié dans notre rapport de transparence. Cela étant, le juge peut nous contraindre à soumettre ces données ; en tant qu'acteur local nous sommes contraints par la loi et nous respectons les législations locales partout où nous opérons.
Mme Catherine Morin-Desailly, présidente. - En l'absence d'accord de transfert des données entre les Européens et les États-Unis, il me semble que vous êtes contraints de soumettre les données.
M. Loïc Hervé, rapporteur. - Quel est l'état de vos relations avec les autorités administratives indépendantes dont la CNIL, l'ARCOM, l'ARCEP, le PEReN ? Quelles sont éventuellement les difficultés rencontrées ?
PHAROS nous a indiqué travailler en partenariat avec les opérateurs, qui eux-mêmes traitent des signalements relatifs à des contenus illicites ou en assurent la détection. Quelles actions menez-vous de votre côté et comment communiquez-vous avec les autorités nationales, y compris les juridictions ?
Comment analysez-vous les nouvelles règles créées par le DSA, celles qui créent de nouveaux types d'injonctions comme celles qui instituent un exposé des motifs en cas de contenu illicite ou une notification de soupçon d'infraction pénale, ou encore celles qui renforcent vos obligations en matière de transparence, d'audit et d'évaluation des risques ?
Le DSA vous impose de mettre en place des mesures spécifiques pour protéger les mineurs. Qu'avez-vous prévu en la matière ?
Pensez-vous qu'il soit possible, voire opportun, de développer des dispositifs d'identité numérique allant au-delà du simple contrôle de la majorité lorsqu'il s'agit de contrôler l'accès aux sites pornographiques ?
Je souhaite également avoir votre position sur les articles 1 à 5.
Le référentiel de vérification de majorité mis en place à l'article 1 du projet de loi semble concerner uniquement les éditeurs de services permettant l'accès à un contenu pornographique. Ne serait-il pas également utile en dehors de ce secteur spécifique ? Comment vérifiez-vous aujourd'hui que vos utilisateurs sont majeurs et dans quels cas procédez-vous à ce type de contrôles ?
Les services que vous fournissez peuvent conduire au visionnage d'images pornographiques par des mineurs. Que mettez-vous en place pour l'éviter ou le limiter, notamment dans le contrôle de vos publicités ?
Concernant l'article 3, que pensez-vous du cadre français de lutte contre les contenus terroristes et pédocriminels ? Quelle est votre analyse sur la nouvelle sanction pénale créée par l'article 3 en cas de défaut du retrait par un hébergeur d'un contenu pédopornographique dans un délai de 24 heures ?
Comment analysez-vous l'extension des pouvoirs de l'ARCOM dans la lutte contre la diffusion des contenus produits par les médias visés par les sanctions européennes ? Quelles mesures avez-vous mises en place depuis 2022 pour éviter la diffusion des programmes produits par Russia Today et par Sputnik.
L'article 5 crée une peine supplémentaire dite de bannissement et fixe deux obligations pour les plateformes : obligation de blocage du compte qui a servi à commettre l'infraction avec sanction associée et obligation de moyens sans sanction associée pour le blocage des autres comptes de la personne condamnée. Avez-vous les moyens techniques de faire respecter une telle obligation ? Comment procédez-vous lorsqu'une personne est bannie de votre service pour ne pas avoir respecté les conditions générales d'utilisation pour éviter qu'elle n'y revienne en dissimulant son identité ?
Mme Béatrice Oeuvrard. - Concernant les relations avec les autorités, nous n'avons pas attendu la loi contre la manipulation de l'information pour échanger avec l'ARCOM notamment. Lancée il y a cinq ans, la mission dite « Facebook » visait à expliquer notre manière de travailler aux régulateurs et a abouti au rapport Loutrel, sur lequel s'est appuyé le RSN. Les échanges avec le régulateur sont très importants et utiles pour nous aider à prendre des décisions ou a minima échanger sur les décisions à prendre. Ces relations fonctionnent de manière satisfaisante depuis plusieurs années. Au sein de Meta France, une personne est dédiée à la relation avec l'OCLCTIC. Environ 25 000 réquisitions par an sont traitées avec un taux de conformité approchant 90 %, comme indiqué dans notre rapport de transparence. Cela étant, nous manquons de visibilité sur la part des réquisitions qui sont judiciarisées. C'est dans ce contexte que s'inscrit notre proposition d'avoir recours à des agents assermentés qui disposeraient d'un pouvoir efficace. Nous pouvons retirer des millions de contenus, il faut aussi que le pouvoir étatique joue son rôle. Le chiffre de 54 condamnations pour cyberharcèlement montre que la justice a des difficultés à suivre. Un système intermédiaire permettrait de désengorger les tribunaux et de répondre à cette attente des utilisateurs.
Nous sommes également en relation avec le PEReN. Selon notre compréhension, le PEReN doit être mandaté par un régulateur comme l'ARCEP, la CNIL ou l'ARCOM afin de pouvoir initier des études et capter des données, ce qui n'est pas en ligne avec l'article 16 du projet de loi. Ils sont assimilés non pas à une institution gouvernementale, mais à des chercheurs, ce qui nous interroge. Nous nous questionnons sur la nature des données, les moyens mis en place et les raisons pour lesquelles ce dispositif n'a pas été notifié à la commission européenne, alors même qu'il touche aux articles 34 et 40 du RSN.
Concernant les types d'injonction inscrits à l'article 5, nous souscrivons aux dispositions de lutte contre le cyberharcèlement, mais comme indiqué nous nous interrogeons sur les modalités pratiques de blocage des comptes à venir de personnes condamnées. L'identification de ces personnes supposerait un échange de fichiers contenant des informations sensibles, ce qui devrait en premier lieu être discuté avec la CNIL. De plus, au regard de la LCEN et du RSN, le principe de spécialité implique la communication d'informations très spécifiques comme une URL. Agir uniquement sur la base d'un nom et d'un prénom poserait problème en cas d'homonymie. Les dispositions du projet de loi ne sont d'ailleurs pas alignées avec celles du RSN.
Dans les articles 1 et 2, il est tour à tour fait référence aux éditeurs et aux services de communication en ligne, ce qui peut porter à confusion. Selon nous, ces articles visent les éditeurs et non la partie hébergeur telle qu'on l'entend côté plateforme.
L'une des dispositions relatives aux contenus pédopornographiques nous oblige à notifier au potentiel pédocriminel les contenus qui ont été signalés, mettant potentiellement à risque les personnes ayant effectué le signalement.
Concernant Russia Today et Sputnik, nous avons répercuté les décisions telles qu'elles nous ont été notifiées au niveau européen et par l'ARCOM. Ces mesures avaient déjà été identifiées, car il y avait des violations de contenu. Lors des discussions sur le RSN, nous avions indiqué que la labellisation et le sourcing de ce type de contenus posaient problème.
Aujourd'hui, la source du contenu apparaît sur Facebook et Instagram et les contenus d'un média étatique sont identifiés comme tels, lorsque nous disposons de l'information. Cette labellisation s'appuie sur l'article 215 du traité sur le fonctionnement de l'Union européenne, ce qui garantit un cadrage et une définition précise et donc une identification facilitée.
M. Anton'Maria Battesti. - La question des jeunes publics et de l'identité numérique est traitée de différentes manières.
Le contenu doit d'abord être adapté à ces personnes. Sur Instagram, par exemple, quand vous êtes un mineur, certaines fonctionnalités sont activées par défaut. La pornographie étant interdite sur ces plateformes, le point n'est pas traité ici.
Un partenariat a été mis en place avec la société Yoti qui a développé une solution de vérification de l'âge par analyse morphologique. Dans 95 % des cas, si le jeune veut mentir il ne passe pas le test de Yoti ; la barrière est donc assez efficace. Si nous progressons en matière de contrôle de la majorité, les difficultés demeurent pour les utilisateurs plus jeunes et notamment les 13-14 ans. Les jeunes utilisent les réseaux sociaux comme un système d'entraide et y exercent leurs droits fondamentaux comme la liberté d'association et la liberté d'expression. Il faut donc accepter l'idée que c'est compliqué de trouver le bon équilibre.
Le RSN prévoit la réalisation d'analyses d'impact spécifiques pour les jeunes et contient des dispositions en matière de publicité pour ces publics. Sur la question de l'âge, il est important de mettre tous les acteurs autour de la table et d'en parler de manière régulière.
Mme Béatrice Oeuvrard. - Le délai de 24 heures donné aux plateformes pour retirer les contenus pédopornographiques s'assimile au dispositif mis en place par le règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne (TCO). Cela suppose une coordination au niveau européen avec les autorités et avec les autres plateformes, pour éviter, grâce à l'apposition de tags, que ces contenus apparaissent sur d'autres plateformes. Une coordination au niveau mondial via NCMEC, avec qui toutes les plateformes travaillent, est aussi souhaitable pour garantir la rapidité et l'efficacité de l'action. Il paraît difficile de tenir le délai de 24 heures sans cette coordination. Or, on ne retrouve pas la coopération entre autorités dans le projet de loi.
M. Benoît Tabaka. - Le régulateur naturel d'Internet a longtemps été le juge et il y a eu longtemps une vraie difficulté à rentrer dans une logique de régulation, mais nous avons assisté au cours des dix dernières années à une montée en compétences des divers régulateurs, autorités administratives et administrations comme le PEReN.
De véritables canaux de communication sont en place et des discussions, y compris sur le plan technique, sont menées avec les différents régulateurs comme l'ARCEP, la CNIL, l'ARCOM ou le PEReN.
De nombreuses questions font aujourd'hui intervenir plusieurs régulateurs, pour couvrir les différents prismes : concurrence, protection des données, régulation des contenus ou encore la liberté d'expression. Comme piste d'amélioration il nous semble qu'il faudrait mieux structurer cet échange et permettre à une entreprise en prise avec une question complexe d'obtenir une réponse tenant compte de l'ensemble des équilibres à trouver entre les différents droits et libertés.
Nos équipes sont entièrement engagées dans la préparation de la mise en oeuvre du RSN, maintenant que les différentes grandes plateformes ont été désignées. Les services que nous avions identifiés comme entrant dans le périmètre du RSN ont sans surprise effectivement été désignés comme tels. Parmi les dispositifs mis en oeuvre pour cet été, dès qu'il y aura un retrait de contenu, la personne sera informée des raisons et disposera de capacités d'appel.
Concernant les articles 1 et 2 et la vérification de l'âge pour l'accès aux sites pornographiques, il conviendrait d'ajouter la possibilité de faire reposer ces dispositifs de vérification sur les opérateurs de télécommunication comme c'est le cas dans d'autres pays. Le contrôle de l'âge ne se ferait plus au niveau du service, mais au niveau de l'opérateur, par l'intermédiaire d'un code d'accès, l'opérateur disposant d'informations sur l'identité du détenteur de compte. Une réflexion est à mener, mais il faut peut-être l'anticiper dans le texte.
L`article 227-24 du Code pénal, auquel fait référence l'article 2, ne se limite pas aux contenus pornographiques. Il porte entre autres sur les contenus qui mettent les mineurs en danger, comme les jeux dangereux. Ces contenus non pornographiques ne sont pas dans le périmètre de la loi et nous nous demandons comment ils seront traités en termes de blocage d'accès.
L'article 2 revoit la mécanique existante, qui était quasiment finalisée malgré tous les recours déposés par certains sites. Nous entrons sans doute dans une phase émaillée de débats judiciaires, de questions prioritaires de constitutionnalité et de recours au niveau européen. Le texte ne pourrait-il pas être stabilisé en s'inspirant de ce qui existe en matière de lutte contre le piratage ? Le juge donne une première orientation, et le régulateur s'appuie sur cette orientation pour être plus large en termes de mesures de blocage.
Concernant les contenus pédopornographiques, il s'agit là d'un vrai problème qui concerne notamment la France. Près de 7 millions de contenus pédopornographiques sont retirés chaque trimestre et notifiés aux autorités américaines, qui ensuite informent les différents pays et pour la France, l'Office central pour la répression des violences aux personnes. Cela représente 1,1 million de personnes dans le monde, et la France est le deuxième ou le troisième pays hébergeur de ces contenus selon les années. Il faut donc que cette mesure soit mise en oeuvre. Pour être encore plus efficace, il faudrait prévoir un rapport de transparence indiquant où sont stockés les contenus dont les autorités ont demandé la suppression. Si on a un problème en France, il est important de le savoir.
Concernant l'article 4, nous avons bloqué 800 chaînes YouTube et plus de 4 millions de vidéos sur décision de la commission européenne. La volumétrie est importante et ne concerne pas uniquement Russia Today et Sputnik. Le ministre du numérique de l'époque nous avait notifiés lorsque Russia Today avait refait une apparition via la plateforme Odysee, et nous l'avions fait déréférencer par le moteur de recherche. Cela étant, nous sommes favorables à des pouvoirs accrus du régulateur en la matière.
La désinformation et les pratiques d'influence étrangère prennent de plus en plus l'apparence et la qualification juridique de média. Le choix de l'ARCOM, le régulateur des médias, est donc pertinent.
Sur l'article 5, les 54 condamnations par an pour des faits de cyberharcèlement sont à rapprocher des 130 000 à 150 000 contenus YouTube qui sont supprimés tous les ans. Que peut-ont faire ? Il existe un mécanisme en France qui permet d'envoyer un message d'avertissement à une personne qui a téléchargé ou piraté un film. Et nous ne serions pas capables de faire de même lorsqu'une personne tient en ligne des propos antisémites ou autres propos haineux, ou lorsqu'elle s'adonne à du cyberharcèlement ? La mécanique et les outils juridiques existent pourtant et ce dispositif aurait un réel impact en termes d'efficacité.
Nous avons la possibilité de bloquer les comptes, même si c'est compliqué techniquement. Des informations beaucoup plus détaillées seront nécessaires si nous voulons aller au-delà de l'obligation de moyens et assurer un vrai blocage de nouveaux comptes, et cela soulèvera des questions en termes de protection des données. Il faudrait avoir un échange avec la CNIL pour déterminer où mettre les moyens et assurer la collecte des données et les interconnexions. Ce sera fait pour les 54 personnes condamnées chaque année, à condition encore que le juge, pour chacune d'entre elles, prononce la peine complémentaire d'interdiction de réseaux sociaux. Ce sera donc fait sans doute pour 25 personnes chaque année.
La mesure est utile, mais ne peut-on pas mettre en place d'autres mesures beaucoup plus efficaces ?
Concernant les dispositifs de protection de la jeunesse et de vérification d'âge, nos systèmes permettent d'identifier des incertitudes et/ou des incohérences qui déclencheront une vérification via la carte bancaire ou par la fourniture d'une pièce d'identité. Ce sera le cas par exemple pour une personne qui visionne beaucoup de contenus pour enfants sur YouTube, mais qui dans nos systèmes n'est pas présentée comme une personne mineure. En cas de doute, la personne sera poussée dans un univers jeunesse. Si le doute est levé, la personne pourra continuer à évoluer dans un univers tout public.
On peut se poser la question du blocage par l'ARCOM de sites qui ne proposent pas la vérification d'âge, comme les sites pornographiques, et de l'extension du rôle de l'ARCOM à tous les types de vérification d'âge.
Une même logique de régulation commence à émerger notamment en matière de contrôle des contenus sur Internet, avec la capacité pour une autorité administrative de retirer du contenu pour différentes raisons et derrière, une autorité référente. Notre recommandation serait de concentrer au sein d'une même autorité les personnalités qualifiées, qui ont une connaissance, une culture et des procédures. Pourquoi ne pas faire converger les moyens vers une autorité unique lorsqu'il s'agit de contenus sur Internet ?
M. Arnaud David. - La protection de l'enfant est un engagement très fort d'Amazon. Si les dispositifs de vérification d'âge devaient être étendus à d'autres domaines, l'ARCOM et la CNIL auraient un rôle à jouer et il en résulterait une procédure intéressante, car procédant d'une consultation de standard technique et d'un référentiel technique.
Il nous semble essentiel de travailler avec les associations. Sur les questions de cyberharcèlement et de protection de l'enfance, nous nous appuyons sur l'expertise d'associations françaises (Respect Zone par exemple) et internationales.
Il est par ailleurs important d'initier une harmonisation des standards internationaux. La France a un rôle moteur à jouer, avec par exemple l'Appel de Christchurch lancé avec la Première ministre de Nouvelle-Zélande sur la question du terrorisme en ligne. Une initiative lancée au Forum de Paris sur la Paix a débouché récemment sur la création d'un laboratoire sur la protection de l'enfance en ligne piloté par Henri Verdier, l'Ambassadeur pour le numérique. Amazon est membre fondateur de ces deux initiatives et s'associe en tant qu'entreprise à ces projets particulièrement pertinents.
M. Patrick Chaize, rapporteur. - Comment vos entreprises vont-elles contribuer au déploiement du filtre anti-arnaques ? Pour les fournisseurs de navigateurs Internet, de quelle façon allez-vous répondre aux demandes des autorités administratives pour prendre les mesures qui sont prévues par le texte ?
Vos entreprises ont aujourd'hui un poids certain sur l'informatique en nuage et il semble tout de même y avoir une forme de verrouillage du marché au détriment des entreprises françaises. Je partage votre analyse sur l'utilité des crédits cloud pour les jeunes pousses, mais quel est votre avis sur les orientations prises et notamment sur le fait de limiter dans le temps ces crédits cloud ? Sur le sujet des frais de transfert, est-ce votre position commune d'affirmer que vous n'en facturez pas ? Auquel cas l'intégrer dans la loi n'aurait aucune conséquence et ne poserait de problème à personne.
Sur l'intermédiation de données, pouvez-vous donner des exemples concrets de données qui pourraient être partagées volontairement par des entreprises sur ces nouvelles plateformes numériques ?
Concernant les jeux numériques monétisables abordés à l'article 15, vos entreprises en développent ou en proposent-elles ? Un encadrement spécifique est-il nécessaire selon vous ?
Mme Béatrice Oeuvrard. - Meta France n'est pas concerné par ces mesures.
M. Benoît Tabaka. - Google n'est pas concerné par les jeux numériques monétisables.
Concernant le filtre anti-arnaques inscrit à l'article 6, notre solution mondiale Google Safe Browsing permet de détecter des suspicions de phishing, de téléchargements de logiciels malveillants et autres grâce à l'intelligence artificielle et sur la base d'analyses menées par nos équipes. Cette interface de programmation d'application (API) affiche les informations dans les navigateurs comme Safari, Firefox ou Google Chrome, mais aussi dans les navigateurs internes de certaines applications. Nos équipes travaillent aujourd'hui sur l'articulation entre l'outil et le nouveau cadre juridique français, en sachant qu'un blocage via Safe Browsing serait par nature mondial.
Il serait par ailleurs intéressant de mettre en place une sorte de guichet unique qui centralise l'ensemble de ces contenus. Il faudrait aussi définir une personnalité qualifiée pour recevoir ces signalements, et l'ARCOM pourrait jouer ce rôle. La CNIL est à écarter selon nous, car elle ne peut être à la fois autorité notifiante et personnalité qualifiée. Il serait aussi utile d'instaurer un mécanisme de dialogue entre les opérateurs du numérique et les autorités, pour éviter ce qui s'est passé récemment avec le blocage de Telegram.
Sur le volet des sanctions, il est important d'aligner les dispositions du projet de loi avec la logique RSN. C'est la mauvaise volonté dans la mise en oeuvre de la loi qui devrait être sanctionnée, plutôt que d'appliquer une sanction dès le premier cas.
Il serait également intéressant que le gouvernement lance une opération de communication et publie un rapport annuel pour informer le public de ces nouvelles mesures.
Enfin, si l'obligation pèsera principalement sur les navigateurs, les faire participer est une piste à explorer au nom de l'efficacité.
M. Frédéric Géraud. - Concernant les crédits cloud, leur validité est limitée à deux ans et nous ne sommes pas favorables à une durée de vie plus courte. Sur l'année 2021 en France, Google Cloud a soutenu au travers de ces crédits 4 414 jeunes pousses, qui ont consommé en moyenne 1 300 euros de crédits. Il ne s'agit pas de dizaines ou de centaines de milliers d'euros, et un certain nombre d'acteurs du marché sont capables d'offrir le même type de conditions. Ces crédits aident les entreprises françaises à adopter des technologies numériques et d'informatique en nuage.
Sur la question des coûts de transfert, le texte nous semble prendre le contrepied des discussions au niveau européen. Il y a d'une part les coûts de sortie lorsqu'un client met fin à sa relation contractuelle, et d'autre part les coûts de transfert quand les données sont envoyées chez un autre fournisseur, dans des cas de multi cloud notamment, pour ensuite revenir chez le fournisseur d'origine. Dans ce deuxième cas de figure, il y a des coûts de réseau et de transport qu'il faut bien répercuter au client final. Google Cloud n'applique pas de pénalités en cas de transfert et facture strictement le coût d'utilisation des réseaux lors du transport de ces données. Nous sommes cependant disponibles pour approfondir la discussion sur ces coûts de transfert.
Concernant l'intermédiation de données, Google Cloud est membre de Gaia-X, une initiative du secteur privé qui réunit des acteurs industriels par activité et non par branche. Le groupe de travail Gaia-X sur les services financiers, les banques et les assurances a ainsi beaucoup avancé sur la question du partage de données selon le niveau de sécurité, selon l'usage et selon le type de fournisseur (de rang 1, de rang 2 et de rang 3). Le groupe de travail sur l'automobile a lui aussi produit des travaux intéressants. Et on sait aussi que le groupe de travail qui suit les questions autour de l'automobile au sein de Gaia-X aussi, a déjà beaucoup avancé sur ces questions. Nous partons du principe que l'ensemble de l'industrie, lorsqu'elle arrive à se mettre autour d'une table et à discuter pour définir des standards, des processus de communication et d'interopérabilité entre les acteurs, est toujours une excellente solution. Et donc, on continuera de participer activement au travail de Gaia-X.
M. Arnaud David. - La question du filtre anti-arnaques ne relève pas a priori de l'activité d'AWS, qui n'est pas producteur de contenus. Nos clients utilisent nos briques technologiques pour construire des sites qui peuvent avoir des contenus particuliers. Ça fait le lien avec les discussions de tout à l'heure sur les contenus pédopornographiques.
AWS applique une politique d'utilisation du service stricte qui oblige le client à respecter les réglementations applicables d'une part (européennes notamment), et nos termes de service qui interdisent tout type de contenu illégal d'autre part. En cas de signalement, nous travaillons avec le client pour que le contenu soit retiré. Si le client n'obtempère pas, la seule solution technique à notre disposition est la fermeture de l'accès à la plateforme.
Concernant les crédits cloud, nous y sommes favorables et nos clients, PME et entreprises de taille plus importante, les considèrent comme un moyen d'expérimenter des services et de la technologie. Nos programmes ont une durée d'un ou deux ans en fonction de la complexité du projet informatique, et nous sommes disponibles pour échanger avec la commission sur les durées appropriées.
En matière de frais de transfert, il y a une distinction à faire entre les pratiques délibérées qui visent à bloquer un changement de prestataire et un modèle économique qui consiste à facturer l'utilisation d'un réseau. L'entreprise a sa part de responsabilité dans le coût du transfert, en fonction de la manière dont elle a codé son service et développé son application. Dans le texte, les frais de transfert sont définis de manière large et peuvent englober la prestation d'un prestataire externe rendue nécessaire par la complexité de la solution. Il est nécessaire selon nous d'affiner les définitions et les périmètres.
La question de l'intermédiation de données est à rapprocher de celles des espaces de données, qui n'existent pas encore en tant que tel. Neuf projets sont en cours au niveau européen, notamment dans le transport, la finance et la santé. AWS est membre fondateur de Gaia-X à la demande de nos clients et a participé au développement de standards communs. En décembre 2022, AWS a été la première entreprise américaine à se conformer lors d'une démonstration à l'ensemble des critères de Gaia-X, que ce soit en matière de portabilité des données et de transfert d'un opérateur vers un autre en fonction du code SWIPO ou en matière de protection des données. Plus d'une centaine de services AWS sont conformes au code de protection des données CISPE qui a été validé par l'ensemble des autorités de protection européennes avec la CNIL en chef de file.
Mme Florence Blatrix Contat. - Vous aviez indiqué dans vos propos introductifs Madame la présidente que l'enjeu de ce texte est de retrouver la confiance et la concurrence sur ces marchés du numérique. Et je me satisfais, Monsieur Géraud, que vous ayez indiqué que vous souhaitiez un marché toujours plus ouvert. Cela dit, je souhaitais vous interpeller sur la question de la publicité en ligne. Même si ce n'est pas directement en lien avec le texte, il s'agit d'une question de concurrence essentielle. Le ministère américain de la Justice a porté plainte contre Google en janvier pour avoir utilisé des méthodes illégales et Google est visé par une enquête de la commission européenne. La commissaire à la concurrence, Margrethe Vestager, a indiqué que Google pourrait avoir abusé de sa position dominante en favorisant ses propres services. Ce qui vous est rapproché, c'est de favoriser vos propres services de technologie d'affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d'annonceurs et d'éditeurs. Quelle est votre appréciation de ces griefs ? Avez-vous la volonté de mettre fin à ces pratiques qu'on peut qualifier d'anti-concurrentielles et comment ?
Par ailleurs, le DMA implique de ne plus utiliser les données personnelles d'un utilisateur à des fins de publicité ciblée, sans son consentement explicite. Comment cette mesure est-elle mise en oeuvre ?
Enfin, vous avez indiqué que le marché du cloud est un marché dynamique avec de nombreux nouveaux opérateurs, dont le chiffre d'affaires augmente. Mais il faut bien constater que les opérateurs européens ont vu leurs parts de marché fondre sur le marché européen. Nous sommes bien dans une concentration du marché avec une domination des opérateurs extra européens. Vous semblez critiquer les mesures qui sont proposées. Quelles solutions nous proposez-vous pour rendre le marché du cloud plus contestable ?
Quand vous évoquez la possibilité de facturer l'utilisation du réseau, pensez-vous aux frais de bande passante ? À combien s'élèvent en moyenne ces facturations, en fonction de la taille des entreprises et des données hébergées ?
Mme Toine Bourrat. - Concernant le cyberharcèlement, le pseudonymat permet la multiplicité des comptes et son interdiction limiterait la publication de contenus haineux. Le RSN repose sur le principe suivant : ce qui est illégal hors ligne est illégal en ligne. Or dans la vie réelle, il est illégal d'avoir plusieurs identités.
Le texte prévoit l'obligation pour les plateformes de supprimer les contenus illicites qu'elles relaient dès leur signalement par la victime. Aujourd'hui, lorsqu'on est victime de cyberharcèlement, on subit une double peine. Non seulement on est victime de cyberharcèlement, mais en plus, on doit apporter la preuve de ce qu'on avance. Pendant ce temps, la publication continue à être diffusée à des milliers de personnes. Pour mieux modérer les réseaux, certains d'entre vous ont évoqué des ressources techniques, mais les moyens humains pour assurer la modération des différentes plateformes n'ont pas été mis en avant. Pouvez-vous nous en dire davantage sur ce point ?
Concernant le contrôle de l'âge, l'idée d'associer les opérateurs qui disposent de tous les éléments concernant l'identité des détenteurs du compte est très intéressante. Une solution de vérification de l'âge par analyse morphologique a été mentionnée. La solution repose-t-elle aussi sur la vérification d'une pièce d'identité ?
M. Anton'Maria Battesti. - Non, cette solution est utilisée en l'absence d'une pièce d'identité. Les adolescents n'ont pas nécessairement de pièce d'identité, en fonction notamment de leur localisation géographique. Des études ont permis de donner un âge en fonction de la morphologie. L'identité n'étant pas vérifiée, il ne s'agit pas de reconnaissance faciale.
Mme Toine Bourrat. - Comment peut-on s'assurer que la personne est bien celle qui va utiliser le compte ?
M. Anton'Maria Battesti. - La vérification de l'âge et la vérification de l'identité sont deux sujets importants, mais distincts. La solution Yoti apporte une réponse à la question de l'âge. Aujourd'hui, l'identité n'est pas vérifiée à l'inscription sur les réseaux sociaux.
Mme Toine Bourrat. - Selon ma compréhension, cette solution ne permet pas de s'assurer que le détenteur du téléphone est bien celui qui a été identifié comme majeur au départ.
M. Anton'Maria Battesti. - C'est aussi une question de proportion des moyens mis en oeuvre et du type de documents que le législateur souhaite voir collectés. Ce sujet est important, je partage votre position.
Mme Toine Bourrat. - Je relaye une question de mon collègue Laurent Somon.
Sur le sujet du commerce en ligne, si vous vous assurez que la législation du pays du vendeur est conforme, faites-vous de même dans le pays du client ? À titre d'exemple, si je suis dans un pays où la drogue n'est pas autorisée, serais-je en mesure d'en acheter dans un pays où c'est le cas ?
M. Benoît Tabaka. - Concernant la publicité, je ne commenterai pas les procédures en cours. Le marché de la publicité, qui a longtemps été défini comme un duopole entre Google et Facebook, est aujourd'hui en pleine évolution. Microsoft a racheté Xandr et Netflix a fait une entrée remarquée sur le marché publicitaire en ligne. Amazon et Meta participent à ce dynamisme du marché, tout comme Apple qui est entré récemment et qui devrait atteindre 30 milliards de dollars de revenus publicitaires dans les trois ou quatre ans à venir. TikTok est également présent depuis peu et réalise environ 10 milliards de dollars de revenus publicitaires par an.
En parallèle, on assiste à des bouleversements technologiques comme le blocage des cookies qui est déjà une réalité sur le navigateur Safari par exemple. Pour Google, le blocage progressif des cookies sur les sites tiers débutera en 2024 pour laisser le temps à l'ensemble du secteur de trouver des solutions conformes à la réglementation en matière de protection des données.
Le DMA apporte de nouveaux éléments sur l'utilisation des données et le recueil du consentement. Nous sommes en attente de lignes directrices de la part de la commission européenne sur la manière dont chaque article doit être interprété. Les services publicitaires entrent par ailleurs dans le périmètre du RMN et de nouvelles obligations en résultent.
Internet se caractérise effectivement par une forte logique de pseudonymat. Cela étant, on ne connaît pas nécessairement l'identité des personnes qui prononcent des propos illégaux dans la rue. Un sentiment d'impunité se développe lorsque seules 50 personnes par an sont condamnées pour cyberharcèlement. La loi française et le RSN imposeront aux plateformes des obligations de retrait de ces contenus. Tous les trimestres, nous supprimons près de 500 000 vidéos YouTube au niveau mondial pour des faits de cyberharcèlement.
En premier lieu, nous identifions et bloquons les contenus les plus évidents grâce à des outils technologiques. Un système en entonnoir permet ensuite d'amener les contenus pour lesquels nous avons des interrogations vers des équipes de modérateurs humains. Après l'entrée en vigueur du RSN, la personne ayant mis en ligne le contenu recevra un message d'explication et pourra faire appel. Si elle fait usage de ce droit, le dossier reviendra dans le giron de l'équipe de modération humaine.
Ce qui est interdit dans la vie hors ligne doit aussi l'être en ligne. Je reviens au parallèle avec le système d'amendes mis en place pour le harcèlement de rue et qui n'a pas d'équivalent en matière de harcèlement en ligne. Les opérateurs vont supprimer du contenu et bientôt seront aussi en mesure de supprimer des comptes, mais rien n'empêchera la personne de cyberharceler sa victime sur un autre réseau social ou un autre site Internet. Un travail à l'échelle européenne est en cours autour de la question du traitement de l'auteur et non plus seulement du contenu.
Sur le commerce en ligne, Google n'a pas d'activité dans ce secteur à proprement parler. Certains annonceurs comme les pharmacies ou les jeux en ligne pourront ou non être présents en fonction de la législation locale et des agréments, grâce à un mécanisme de territorialisation.
Mme Toine Bourrat. - Je reviens sur la question du pseudonymat en réponse à Monsieur Tabaka. On ne connaît pas nécessairement l'identité d'une personne qui prononce des propos haineux dans la rue, mais il s'agit d'anonymat et non de pseudonymat.
M. Anton'Maria Battesti. - Autour de 40 000 personnes dans le monde travaillent sur les enjeux de sécurité au sein du groupe Meta, dont environ 15 000 personnes sur la modération. Ces données sont publiques et nous rendons compte de ces ressources aux régulateurs.
Sur 10 000 contenus vus sur une plateforme comme Instagram, sept ont fait l'objet d'une action de modération pour du harcèlement. Au-delà des moyens, les régulateurs se penchent aussi sur l'efficacité des mesures. La majorité de ces contenus est aujourd'hui pré-détectée grâce à l'intelligence artificielle, qui joue un rôle de plus en plus important.
Concernant l'anonymat, on pouvait lire dans un célèbre dessin de presse des années 90 que « sur Internet, personne ne sait que vous êtes un chien ». Aujourd'hui, du fait de la coopération avec les autorités, cet anonymat n'existe pas. Nous recevons 25 000 réquisitions par an et sommes susceptibles de communiquer l'adresse électronique, le numéro de téléphone et l'adresse IP. Il y a des débats de fond sur la question de l'anonymat et du pseudonymat. Certaines associations actives dans des domaines sensibles veulent ainsi pouvoir garder une capacité de s'exprimer en ligne sans forcément révéler l'identité. Cela étant, que l'on agisse sous son vrai nom ou sous un pseudonyme, on doit pouvoir être identifié et le cas échéant, répondre de ses actes devant la justice. Contrairement à d'autres plateformes sur lesquelles il faudrait peut-être concentrer les moyens, Meta répond aux requêtes des autorités françaises.
Sur les questions de cyberharcèlement, Meta travaille avec des associations dont e-Enfance, qui anime la hotline joignable au 30 18 et peut remonter des cas particuliers aux équipes de Meta. Dans certains cas récents, ce numéro n'avait pas été suffisamment activé par les services administratifs, et parfois par les parents et les victimes eux-mêmes. Il n'est pas question de les blâmer, mais de constater que le 30 18 est insuffisamment connu et doit faire l'objet de campagnes d'information. Un récent rapport du Sénat sur le sujet du harcèlement scolaire montre l'ampleur du problème, qui a souvent une double composante physique et en ligne. La situation est comparable à celle de la sécurité routière il y a 20 ans, lorsque des dizaines de milliers de personnes perdaient la vie sur les routes tous les ans. Le président Jacques Chirac avait alors réuni l'ensemble des parties prenantes autour d'une table et avait ainsi réussi à inverser la tendance. Il faut provoquer un choc de société et faire de la lutte contre le harcèlement une grande cause nationale. Il me semble que le ministre de l'Éducation nationale et d'autres acteurs sont réceptifs, c'est le moment.
Mme Toine Bourrat. - L'efficacité du 30 18 me semble limitée, mais ce n'est pas le sujet aujourd'hui. Le projet de loi comporte un volet sur la protection des citoyens, et l'essentiel est de comprendre comment est protégé celui qui a fait le signalement.
Mme Béatrice Oeuvrard. - Les plateformes ont un rôle à jouer, mais il s'agit d'une chaîne de responsabilités. Les auteurs sont les grands absents du DSA et d'autres textes comme la loi Avia. Comment sont-ils sanctionnés ? Je reviens sur notre proposition d'avoir recours à des agents assermentés pour faire usage des données mentionnées. Le retrait de milliards de contenus n'endiguera pas le phénomène en l'absence d'un pouvoir étatique et de sanctions sur les auteurs. Les parents et les associations ont aussi leur rôle à jouer, c'est véritablement l'ensemble de la chaîne qu'il faut impliquer.
Mme Catherine Morin-Desailly, présidente. - Nous en avons bien conscience. Cela étant, le modèle économique de vos plateformes est fondé sur la gratuité, une publicité ciblée et un algorithme qui travaille à surexposer les contenus les plus sensationnels et les plus contestables. Comment travaillez-vous à la transparence des algorithmes et comment intégrez-vous la notion de « safety by design », selon laquelle il faut étudier les effets potentiellement pervers d'un algorithme avant de le mettre sur le marché ? Il est très important que vous ayez conscience que le modèle économique des plateformes pour lesquelles vous travaillez génère ce phénomène.
Au lendemain de l'affaire Cambridge Analytica, Damian Collins, président de la commission Culture digitale de la Chambre des communes, a fait un rapport extrêmement sévère sur les failles de Facebook et leur rôle dans la manipulation des opinions et des votes lors de l'élection présidentielle américaine. Tout cela a été démontré.
Le sujet des ingérences étrangères est traité dans le projet de loi. Pouvez-vous nous garantir qu'il n'y a plus de failles permettant des ingérences étrangères, la manipulation des opinions et la déstabilisation de nos sociétés occidentales dans leur modèle démocratique ? Avec l'application du RSN, avez-vous réellement pris « le taureau par les cornes » de sorte que l'on puisse contredire Frances Haugen dans les propos qu'elle a tenus à Bruxelles devant des parlementaires venus du monde entier ? Monsieur Mark Zuckerberg n'avait d'ailleurs pas daigné se déplacer. Qu'avez-vous fait pour mettre un terme à ces dérives qui sont tout simplement inadmissibles ? Si Internet doit rester une source d'échanges, de progrès et de connaissances, il faut agir.
M. Anton'Maria Battesti. - Concernant le modèle économique, notre chiffre d'affaires provient des annonceurs. Lorsque les manquement et imperfections que vous décrivez sont repris par la presse, les annonceurs nous demandent des comptes et menacent d'arrêter les campagnes. Nous n'avons donc aucun intérêt à voir le réseau se transformer en poubelle. Si des améliorations sont nécessaires, je ne peux pas laisser dire que le modèle économique est basé sur la recommandation de contenus malicieux ou illégaux.
Sur Cambridge Analytica, Mark Zuckerberg s'est exprimé devant le parlement européen.
Mme Catherine Morin-Desailly, présidente. - Il a également témoigné devant le congrès américain. C'était assez édifiant.
M. Anton'Maria Battesti. - Chacun a son opinion, mais il est à noter que Mark Zuckerberg a rendu des comptes devant le parlement européen et devant le Congrès américain. Une amende de plusieurs milliards de dollars a été acquittée auprès de la Federal Trade Commission (FTC) et des engagements personnels ont été pris par Mark Zuckerberg et d'autres responsables de Facebook pour mettre en place des procédures dont nous rendons compte de manière régulière. Le régulateur américain régule, on ne peut pas parler d'ultra libéralisme et de laisser-faire.
L'affaire Cambridge Analytica pose la question du degré d'ouverture des plateformes, notamment dans les échanges avec les chercheurs, dans la mesure où un chercheur a détourné des données et les a revendues. Des mesures très documentées ont été prises pour mettre un terme à certains partages de données dans nos applications.
Sur les ingérences étrangères, nous avons été les premiers à mettre en place une bibliothèque publicitaire qui identifie la cible, le budget, l'émetteur et le destinataire de chaque publicité publiée sur le réseau. L'ARCOM a publié des rapports sur la mise en oeuvre de la « loi fake news » qui donnent plutôt crédit de nos efforts ces dernières années. Je salue aussi l'effort de nos équipes, pilotées par Béatrice Oeuvrard. Le DSA nous fait entrer dans une phase de mise en oeuvre et aucune entreprise ne peut s'y dérober.
Mme Béatrice Oeuvrard. - Concernant les ingérences étrangères, nous publions des rapports de transparence sur les actions coordonnées inauthentiques à destination des chercheurs.
Concernant la bulle algorithmique, nous avons développé de nombreux outils permettant aux utilisateurs de choisir leur fil d'actualités : le fil proposé par Facebook, celui de votre famille, de vos amis, ou encore de manière purement chronologique. Dans chaque contenu qui apparaît sur le fil, l'utilisateur a la possibilité d'accéder au schéma expliquant pourquoi ce post ou cette publicité a été sélectionné.
Mme Catherine Morin-Desailly, présidente. - Merci pour vos réponses. Croyez bien que nous sommes aussi exigeants et sévères avec les autres plateformes que Facebook. Nous avons une commission d'enquête TikTok au sein de cette maison.
M. Arnaud David. - Concernant l'informatique en nuage et les parts de marché des entreprises européennes, vos chiffres semblent être en contradiction avec les miens. En tant que pionner de ce marché en Europe et dans le monde, AWS compte un nombre de clients important qui nous l'espérons sont satisfaits de nos services. Lorsqu'ils ne le sont plus, ils changent de fournisseur avec les facilités et les outils mis à leur disposition, comme je l'ai rappelé dans mon propos liminaire. Le marché cloud ne représente que 15 % du marché informatique global, ce qui n'est pas très significatif, et est en constante évolution. En Europe et en France, il manque une impulsion du côté de la commande publique qui peine à aller vers ces technologies. Le contexte réglementaire avec l'adoption de plusieurs textes au niveau national et au niveau européen explique aussi l'attitude attentiste de certains clients qui attendent l'entrée en vigueur et les mesures d'application effectives avant de migrer.
Sur les questions de portabilité, nos services ont été conçus pour permettre l'interopérabilité avec les logiciels open source, la mise à disposition d'API et les standards au niveau européen. Nous avons ainsi contribué à l'élaboration du code SWIPO, le seul standard existant aujourd'hui, auquel nous avons déclaré un certain nombre de produits. Cela a été salué par la commission européenne. Nos clients n'ont a priori pas constaté de barrière au changement de prestataire.
Concernant la facturation de l'utilisation du réseau, vous mentionnez le terme de bande passante alors que par réseau j'entends notre réseau privé interne, avant même de pouvoir accéder à un réseau public. AWS dispose de centres de données en France et dans plusieurs pays d'Europe et nos clients font faire une utilisation plus ou moins intensive de notre réseau en fonction de la quantité de données à transférer. Nous estimons que la facturation représente entre 1 % et 3 % de leurs dépenses annuelles en services informatiques. Selon une étude, le coût annuel de ce qu'on appelle le « run » en informatique serait en moyenne de 0,5 %. Il s'agit donc de sommes plutôt réduites. Les clients sont facturés par paliers avec un effet dégressif, et les tarifs sont en baisse de 50 % sur les cinq dernières années.
M. Frédéric Géraud. - Google Cloud fait partie de la maison Google, mais son modèle économique de services aux entreprises est différent du marché publicitaire. Dans le marché de l'informatique en nuage, on paye en fonction de la capacité et de la puissance souhaitées, pendant un laps de temps donné. C'est très éloigné d'un modèle économique de plateforme.
Concernant les propositions, il nous semble que pour enrichir le texte, il faut s'inspirer de la charte en dix points établie par le Cigref, qui rassemble des DSI du secteur public et du secteur privé, et le CISPE, qui réunit des fournisseurs d'informatique en nuage au niveau européen.
Sur la question de la bande passante, Google a fait dès le départ le choix d'investir massivement dans des réseaux de fibre optique propres qui permettent in fine une meilleure qualité de service et une différenciation de la concurrence. D'autres acteurs qui n'ont pas investi de la même manière vont passer des tiers qui vont pratiquer leurs prix.
Si vous êtes un acteur international, l'activité dépasse très largement le champ géographique de la France et implique des transferts de données à travers l'Europe et à travers le monde, avec à la clé des coûts différents. Si vous êtes un fournisseur de services plus petit avec des clients locaux, la donnée sera transportée moins loin pour un coût plus faible. Les fournisseurs se rejoignent sur les questions de normes et de standards internationaux, mais chacun a fait des choix technologiques différents.
Concernant l'interopérabilité et le multi cloud, je rappelle que Google Cloud détient moins de 10 % de parts de marché. Nous sommes un challenger avec des ambitions importantes, comme en témoigne la création d'une nouvelle société avec Thalès afin d'offrir l'ensemble des services de Google Cloud Platform. En tant que dernier arrivé sur le marché, Google Cloud se doit d'être interopérable pour exister au milieu des autres solutions.
Sur la question des coûts de transfert, nous ne souhaitons pas communiquer de chiffres dans ce forum, mais nous avons partagé ce type de données avec l'autorité de la concurrence.
M. Yohann Bénard. - Pour ce qui concerne les produits vendus en France, la place de marché d'Amazon est bien soumise au droit français, sous le contrôle de la Direction générale de la consommation, de la concurrence et de la répression des fraudes (DGCCRF) et du juge français. Le droit français est une combinaison de règles d'origine nationale et de textes issus de la transposition de textes européens. La loi pour la confiance en l'économie numérique (LCEN) de 2003 et d'autres textes plus récents visent justement à rehausser les standards pour que le droit français soit à la fois très protecteur pour les consommateurs et aligné sur les droits voisins.
Mme Catherine Morin-Desailly, présidente. - Le marché européen numérique est un marché profond et durable avec ses 500 millions de consommateurs. Nous avons changé d'ère en prenant conscience que nous dépendons tous de cet écosystème et qu'il faut à la fois assurer les conditions de juste concurrence et corriger les effets pervers sur les réseaux sociaux. Comme le disait l'un des co-fondateurs du web, si nous voulons un monde soutenable en matière de nouvelles technologies et qu'elles puissent être des sources de progrès, il faut que ce monde soit parfaitement régulé et sécurisé. C'est une responsabilité que tous les acteurs quels qu'ils soient, européens comme extra européens, doivent partager. C'est un sujet de très grande importance et nous sommes véritablement à la croisée des chemins. Sous l'impulsion du commissaire Thierry Breton, l'Europe développe désormais une politique beaucoup plus stratégique. Les textes qui se succèdent à l'heure actuelle, qui visent à corriger cette absence de régulation, serviront sans doute d'étalon-or pour le monde, à l'image du règlement général sur la protection des données.
Cette réunion a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 45.