B. LA POSITION DU RAPPORTEUR
Votre rapporteur partage pleinement la position de l'auteure de la proposition de résolution en ce qui concerne la nécessité pour l'Union européenne de se doter d'une véritable politique industrielle pour les objets connectés. Il constate que, lors de la réunion du Conseil compétitivité du 12 mars 2018, les États membres ont réitéré leur appel à une stratégie industrielle globale pour 2030 et au-delà, et ont fait de l'internet des objets un objectif stratégique pour l'avenir :
« Pour fonctionner dans une économie de la donnée, les entreprises doivent continuellement mettre l'accent sur le développement innovant et suivre les tendances d'avenir essentielles que sont notamment l'internet des objets, l'intelligence artificielle, la robotique, les mégadonnées et les plateformes, les systèmes connectés autonomes, la 5G, l'impression 3D, la normalisation, la sécurité des TIC et la chaine des blocs » 35 ( * ) .
Le Conseil a également insisté sur le fait que dans la mesure où les données deviennent un facteur nouveau de compétitivité, il convient de développer dans l'Union le stockage des données, l'informatique en nuage ainsi que des capacités de traitement de haute performance, afin d'assurer un niveau ambitieux de cybersécurité, de protection des données et des services des technologies de l'information et de la communication fiables.
Au regard de la proposition de résolution, ces orientations sont satisfaisantes et appuient l'ambition de l'auteure de la résolution soutenue par votre rapporteur. Il convient, en complément, de mesurer si le cadre juridique européen permet, en l'état, de concrétiser cette ambition.
1. Un haut niveau de protection des données à caractère personnel et de sécurité informatique ne passe pas dans l'immédiat par un nouveau règlement propre aux objets connectés
Le recueil et le traitement des données à caractère personnel par les objets connectés ou à partir de ceux-ci sont soumis au respect du RGPD applicable de plein droit à compter du 25 mai prochain.
Dès lors, les objets connectés doivent garantir la licéité, la loyauté et la transparence du traitement des données à caractère personnel, le respect des finalités du traitement de ces données - finalités qui sont elles-mêmes encadrées -, et préserver l'intégrité et la confidentialité des données.
Le RGPD reconnaît en outre des droits aux personnes concernées, droits que celles-ci doivent pouvoir exercer effectivement : le recueil du consentement exprès et informé de l'intéressé préalablement à la collecte, au traitement et à l'utilisation de ses données à caractère personnel, droit d'accès à leurs données personnelles, de rectification, droit à l'effacement des données (« droit à l'oubli »), droit à la limitation du traitement et droit à la portabilité des données.
Compte tenu de la nature, de la portée et de la finalité du traitement de ces données, ainsi que des risques associés dont la probabilité et la gravité sont variables, les responsables des traitements de données à caractère personnel doivent mettre en oeuvre des mesures techniques et organisationnelles pour garantir le respect de la finalité des traitements et la confidentialité des données (art. 25).
Dès lors, il n'est pas nécessaire de prévoir un nouveau cadre législatif au niveau européen mais bien plutôt de mettre en oeuvre des mesures propres à assurer un niveau de sécurité approprié, en recourant notamment aux techniques énumérées par le RGPD (art. 32), dont le chiffrement des données.
À cet égard, les codes de conduite et le processus de certification volontaire approuvé prévu par le RGPD (art. 40 à 43), qui font intervenir les secteurs d'activité concernés, les organismes de normalisation et des organismes de certification accrédités, doivent jouer tout leur rôle. Les acteurs européens doivent être pleinement actifs au niveau national, comme au niveau européen et dans les enceintes internationales.
Par ailleurs, le projet de règlement sur la cybersécurité, s'il est adopté, pourrait entrer en vigueur dans un an environ. De nouveaux schémas de sécurité seraient adoptés dans ce cadre, notamment en ce qui concerne l'informatique en nuage, au coeur du développement de l'internet des objets.
C'est pourquoi votre rapporteur estime que tant l'entrée en vigueur du RGPD que l'adoption de la proposition de règlement sur la cybersécurité vont apporter un encadrement réglementaire satisfaisant à ce stade des objets connectés . Il n'est donc pas souhaitable d'appeler à de nouvelles règles propres au secteur. Au demeurant, avant d'envisager un nouveau règlement spécifique, il conviendrait de mesurer l'impact du nouveau cadre réglementaire sur les objets connectés. On peut également objecter qu'un cadre réglementaire stable est plus favorable à l'activité des entreprises. Ainsi, pour faciliter le développement d'une industrie numérique en Europe, il importe de ne pas modifier les règles trop souvent.
Toutefois, votre rapporteur partage avec l'auteure de la proposition de résolution l'exigence qu'un haut niveau de protection soit mis en place dans le cadre évoqué. C'est le sens des modifications qu'il propose d'apporter aux alinéas 21 à 25 de la proposition de résolution
2. La question de la localisation des données appelle un examen approfondi
La localisation des données a une portée symbolique forte et peut paraître facilement comprise par l'opinion publique. Mais les auditions menées par votre rapporteur laissent à penser qu'elle ne sera pas suffisante si elle ne s'accompagne pas d'autres exigences de sécurisation, comme la confidentialité et la traçabilité ou encore l'anonymisation ou le chiffrement.
La sauvegarde des données amène aussi à s'interroger sur la portée de l'obligation. On peut très bien supposer que, concernant des données sensibles, une sauvegarde soit faite et stockée dans un lieu différent pour la prémunir d'attaques physiques ou virtuelles. L'obligation s'appliquerait-elle aussi au double des données ? Ou, au contraire, ne serait-il pas judicieux de sauvegarder ces copies ailleurs qu'en Europe ?
De plus, il n'est pas certain qu'un environnement réglementaire plus exigeant que celui d'autres régions du monde sera plus favorable aux entreprises européennes pour développer l'internet des objets. En outre, pour analyser les masses de données (on évoque actuellement plusieurs centaines de milliards de données par jour !), il faut disposer de capacités techniques suffisantes comme des outils d'intelligence artificielle ou des ordinateurs à haute performance. Or, ce n'est pas le cas de l'Europe actuellement. La mesure, en elle-même, pourrait donc s'avérer contreproductive.
On peut également ajouter que les règles actuelles n'empêchent pas de favoriser une localisation de certaines données sensibles sur le territoire européen, voir national . C'est particulièrement le cas des documents et données numériques des collectivités territoriales, qui relèvent du régime juridique des archives publiques et sont considérés comme un trésor national. À ce titre, ils ne peuvent sortir du territoire douanier national. Une solution d'archivage de ces données en nuage ne peut être mise en place qu'à la condition que celle-ci prévoit une localisation physique des données sur le sol français. On parle de « cloud souverain ».
C'est aussi le cas de mesures visant à attribuer un label à un prestataire de service d'informatique en nuage. L'Agence nationale de sécurité des services d'information, l'ANSSI, a ainsi créé un référentiel d'exigences applicables à des solutions d'informatique en nuage, le cloud , appelé SecNumCloud. Pour répondre aux exigences de l'ANSSI et voir le service qu'il propose recueillir une validation de niveau dit « essentiel », le professionnel doit s'engager à stocker et à traiter les données du client au sein de l'Union européenne. En outre, les opérations d'administration et de supervision du service doivent être réalisées depuis l'Union européenne. On peut constater l'effet vertueux d'une telle mesure. Pour obtenir la labellisation par l'ANSSI, le professionnel de l'informatique en nuage doit donc maintenir les données de ses clients dans l'Union européenne. Le label est un gage de sécurité pour le client et les données sont maintenues sur le territoire européen, sans qu'il soit besoin d'un nouveau règlement.
Cependant, il convient de rappeler que le droit de l'internet est en construction permanente et concerne un objet en évolution constante. L'Union européenne ne peut totalement exclure le principe d'une obligation générale de localisation des données à caractère personnel sur le territoire européen, ainsi que les conditions de leur sécurisation. La question se posera aussi pour les données à caractère non personnel qui constituent, elles aussi, un enjeu.
C'est la raison pour laquelle l'opportunité de cette localisation doit être étudiée de manière approfondie afin d'en mesurer toutes les conséquences, tant juridiques qu'économiques et techniques . Une telle étude devrait s'appuyer sur l'examen de l'accord d'adéquation avec les États-Unis, Privacy Shield , dont les résultats devraient être connus en septembre prochain, et au regard des évolutions législatives récentes aux États-Unis.
Le législateur américain vient de voter une loi (promulguée le 23 mars 2018) sur la surveillance des données à caractère personnel dans le nuage : le Cloud Act , pour Clarifying Lawful Overseas Use of Data Act . Ce texte permet aux services de police et de surveillance américains, qu'ils soient fédéraux ou locaux, de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Ainsi, la loi donne un cadre légal à la saisie par des agences gouvernementales ou des forces de police d'e-mails, de documents et de communications électroniques localisés dans des datacenters de sociétés américaines situés hors du sol américain. Autrement dit, le nouveau texte permet aux forces de l'ordre américaines d'obtenir les données personnelles d'un individu sans que celui-ci en soit informé, ni que son pays de résidence ne le soit, ni même que le pays où sont stockées ces données ne le soit. En échange, le texte prévoit une forme de réciprocité : les autorités étrangères pourraient avoir accès aux données stockées aux États-Unis, et en dehors des règles concernant le droit américain des données à caractère personnel. Ces mesures nouvelles ont été adoptées suite au refus de la société Microsoft de livrer aux autorités américaines des données relevant de comptes gérés par elle et stockées en Irlande. Le Gouvernement américain, estimant que son pouvoir d'enquête était entravé, avait porté l'affaire devant la Cour suprême. Il est encore tôt pour mesurer la portée exacte du nouveau texte de loi américain. Pour certains, il apporte une sécurité juridique, pour d'autres il constitue une atteinte aux libertés. Il n'en demeure pas moins qu'il constitue une application extraterritoriale du droit américain. Il convient de rappeler que le RGPD prévoit que les règles protégeant les données à caractère personnel des Européens s'appliquent même en-dehors du territoire de l'Union. Les deux textes pourraient entrer en conflit. En outre, de telles mesures mènent en exergue les limites d'une localisation géographique des données à l'ère numérique, à la fois comme moyen de protection contre des intrusions ou de l'espionnage et comme limite à la garantie juridique que les États doivent à leurs citoyens. |
3. La normalisation : poursuivre les actions engagées en vue d'accroître l'influence des acteurs européens de la normalisation au niveau international et appeler les acteurs français à se mobiliser
Votre rapporteur partage l'idée selon laquelle les acteurs européens de la normalisation doivent renforcer leur influence au niveau international , particulièrement en matière numérique et, plus spécifiquement, concernant l'internet des objets. C'est pourquoi il propose de ne modifier qu'à la marge la proposition de résolution à ce sujet .
Selon les acteurs de la normalisation, l'influence d'un pays au sein des organisations internationales se mesure essentiellement aux places occupées par des experts représentant les intérêts du pays en question dans les instances de travail propres à chaque organisation internationale . Auditionnés par votre rapporteur, les représentants de l'Association française de normalisation (AFNOR) ont, par exemple, souligné, d'une part, l'investissement du Gouvernement chinois dans la normalisation, qui en fait un élément de sa politique industrielle, d'autre part, l'influence toujours prégnante de l'Allemagne, tant au niveau européen que mondial. Si l'investissement des États membres et de leurs entreprises dans le processus de normalisation est donc d'une intensité diverse au sein de l'Union européenne, une mobilisation accrue de l'ensemble des acteurs européens est souhaitable . Cela concourrait sans aucun doute au développement d'une industrie européenne forte en ces domaines, là où l'Europe accuse déjà un retard non négligeable.
L'influence des Européens dans les organismes internationaux de normalisation est d'autant plus cruciale que, comme l'AFNOR l'a indiqué à votre rapporteur, seules 10 % des normes publiées dans la collection française ont une origine exclusivement française , le reste étant d'origine européenne ou internationale.
a) Renforcer la présence des acteurs européens dans les organismes internationaux de normalisation en matière de sécurité numérique et d'internet des objets
Comme précisé plus haut, les organismes internationaux de normalisation reposent sur le principe selon lequel chaque membre dispose d'une voix, et les États y sont représentés par les organismes nationaux de normalisation qu'ils peuvent subventionner, mais qui sont composés de professionnels, et pas d'administrations publiques.
En conséquence, les États membres de l'Union européenne apparaissent plus forts en disposant chacun d'une représentation dans ces organismes, plutôt qu'en étant représentés par l'Union européenne.
C'est pourquoi votre rapporteur propose de substituer, à l'alinéa 29, à la mention selon laquelle l'Union européenne doit renforcer sa présence dans les organismes internationaux de normalisation, celle selon laquelle ce sont les acteurs européens du secteur qui doivent, avec le soutien de l'Union européenne et de ses États membres, renforcer leur présence dans les enceintes internationales d'élaboration des normes de sécurité en matière numérique, et particulièrement d'internet des objets.
b) Appeler les acteurs français de l'internet des objets à se mobiliser en ce sens
Les auditions menées par votre rapporteur ont également souligné le manque d'investissement des acteurs français dans la normalisation . Ce constat avait également été dressé par notre collègue Elisabeth Lamure, dans son rapport précité sur la normalisation. C'est pourquoi votre rapporteur propose d'insérer, dans la proposition de résolution, un alinéa 30 , qui appelle tant les entreprises que les administrations publiques à se mobiliser pour assurer leur présence dans les organismes européens et internationaux de normalisation .
4. La politique commerciale de l'Union : promouvoir des normes exigeantes en matière numérique
Le système de normalisation ne fait pas partie de la politique commerciale des États, qui s'entend comme l'ensemble des moyens dont dispose un État pour orienter les flux d'échanges avec un pays étranger.
C'est pourquoi votre rapporteur propose la modification de l'alinéa 28 dans un sens plus cohérent avec la notion de politique commerciale : la proposition de résolution appelle l'Union à promouvoir, dans la conduite de sa politique commerciale, des normes - tant professionnelles que réglementaires - exigeantes dans le secteur numérique , notamment en matière de sécurité des systèmes d'information et de protection des données à caractère personnel. Au demeurant, le numérique étant de plus en plus présent dans les accords commerciaux, cette orientation de principe apparaît nécessaire 36 ( * ) .
5. Renforcer les moyens de contrôle en France
Les auditions menées par votre rapporteur ont montré que face aux évolutions juridiques et aux enjeux, notre pays ne dispose pas de suffisamment de moyens d'action et de contrôle.
À titre d'exemple, le rapport annuel de la CNIL fait état, pour 2017, de l'adoption de 2 964 autorisations de transfert de données en dehors de l'Union européenne, adoptées dans cadre total de 4 124 décisions et délibérations. Or, la commission ne dispose que d'un effectif limité, 198 personnes.
On sait d'ores et déjà que l'entrée en application du RGPD va augmenter la charge de travail de la CNIL.
L'essor de l'internet des objets - et de l'intelligence artificielle - va multiplier les questions relatives à la protection des données à caractère personnel dans les années à venir. Notre pays doit prendre la pleine mesure de ces défis et adapter les moyens de notre contrôleur national en conséquence. C'est le sens de l'alinéa 34 proposé par votre rapporteur.
* 35 Conclusions du Conseil compétitivité du 12 mars 2018.
* 36 Voir, sur ce sujet, le rapport précité de l'Inspection générale des finances et du Conseil général de l'économie, de l'industrie, de l'énergie et des technologies intitulé « Accord plurilatéral sur le commerce des services et partenariat transatlantique pour le commerce et l'investissement : enjeux numériques des négociations ».