II. DEUXIÈME AXE : LA SOUVERAINETÉ ÉCONOMIQUE ET NUMÉRIQUE EUROPÉENNE
A. UN SUJET AU CoeUR DES PRÉOCCUPATIONS DU SÉNAT
La question de la souveraineté numérique de l'Europe est évoquée de longue date au Sénat.
Dès 2013, Catherine Morin-Desailly alertait sur le
risque de voir l'Union européenne devenir « une colonie
du monde numérique14(*) ». Le rapport15(*) de 2019 de la commission
d'enquête présidée par Franck Montaugé avec comme
rapporteur Gérard Longuet intitulé « Le devoir de
souveraineté numérique »
a relancé le
débat sur la nécessité de mettre en place une
véritable stratégie « globale et
lisible ».
Les événements récents, tels que la crise pandémique ou la guerre en Ukraine, ont plus que jamais mis en avant l'impératif pour l'Europe de se doter de réels outils de souveraineté, dans le domaine numérique comme dans tant d'autres. La voie à emprunter n'est pas cependant pas simple, tant les intérêts des États peuvent apparaître en premier abord divergents, même si des progrès notables ont été réalisés ces derniers mois. Pour autant, il est indéniable que, face à des entreprises géantes, soutenues par leur gouvernement, l'Europe est le bon échelon d'action. Ainsi, la commission des affaires économiques, sur le rapport de Patrick Chaize16(*), a approuvé le 13 juillet 2022 la proposition de résolution européenne17(*) adoptée le 14 juin 2022 à l'initiative de Florence Blatrix Contat et Catherine Morin-Desailly sur le programme d'action numérique de l'Union européenne à l'horizon 2030.
Sans constituer une réponse exhaustive, le présent projet de loi permet quelques avancées notables sur la question sensible des données « en nuage ».
B. LA RÉGULATION DE L'INFORMATIQUE EN NUAGE
Dans leur rapport18(*) au nom de la commission des affaires économiques Cinq plans pour reconstruire la souveraineté économique, Sophie Primas, Amel Gacquerre et Franck Montaugé consacrent de larges développements à la réduction de la dépendance de notre pays dans le secteur de la donnée.
Ils mettent en particulier en avant la pratique des « crédits cloud » par les grandes entreprises américaines, à destination des jeunes entreprises, afin de leur permettre d'utiliser gratuitement et temporairement leurs logiciels et services d'hébergement de données.
Cette stratégie des « crédits cloud » peut être vue comme un moyen de soutenir la croissance et le développement des jeunes entreprises, en particulier celles qui sont actives dans le domaine de la technologie. Cependant, à terme, cette pratique commerciale « enferme » littéralement les entreprises dans leur phase de croissance dans une relation de dépendance avec leur fournisseur. En raison de la durée d'octroi de ces crédits, des montants distribués et des conditions restrictives imposées par les grandes entreprises américaines du numérique pour transférer les données qu'elles hébergent vers d'autres infrastructures et logiciels, ces pratiques ont été considérées comme ayant des effets anticoncurrentiels importants dans le rapport précité de la commission des affaires économiques.
De plus, si les entreprises françaises de l'informatique en nuage suivent désormais cette stratégie commerciale, elles ne peuvent en réalité pas rivaliser avec les géants américains qui monopolisent le marché...
La dépendance induite par ces pratiques a par ailleurs des effets de long terme. Ainsi, les jeunes entreprises qui auront recouru aux services des opérateurs américains lors de leur lancement seront invités à poursuivre avec le même fournisseur, ce qui a des impacts à plus long terme à la fois pour elles-mêmes, pour le marché du travail des jeunes diplômés et pour les entreprises européennes qui souhaiteraient se développer dans cette branche.
Dans leur rapport19(*) au nom de la commission des affaires européennes sur la proposition de résolution européenne sur le projet de règlement fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données du 11 mai 2023 (dit Data Act), Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly ont également fixé comme ambition de « supprimer les obstacles au changement de fournisseur ». Ce rapport est assorti d'une proposition20(*) de résolution européenne déposée le même jour, qui propose des objectifs ambitieux en matière de traitement des données et de souveraineté. En particulier, il appelle à « renforcer l'effectivité du droit de changer de fournisseur de services de traitement des données », avec plusieurs mesures comme la limitation des frais de transfert et de migration.
Le Data Act
Le projet de règlement européen sur les données, dit Data Act, est actuellement en cours de discussion. La finalisation des négociations en trilogue semble à ce stade en bonne voie, et le texte pourrait être adopté d'ici la fin de l'année 2023.
Plusieurs points d'accord vont dans le sens de la résolution européenne du Sénat :
- l'affirmation de la primauté des règles de protection des données à caractère personnel ;
- le renforcement des droits des utilisateurs sur les données produites ;
- le partage de données avec des tiers : encadrement des frais de mise à disposition pour prévenir les abus.
Le projet prévoit le droit de changer de fournisseur des services de traitement de données. Comme le souhaitait le Sénat, il est prévu de renforcer l'information préalable à l'acceptation de l'offre sur le droit de changer de fournisseur et les modalités de ce changement. En cas de demande de changement, le processus doit être lancé dans les deux mois suivant la notification (ce qui devrait écarter les délais résultant de crédits gratuits), et il est précisé que les frais doivent correspondre aux coûts de transferts vers le nouveau prestataire. En revanche, le délai de trois ans prévus pour la suppression progressive des frais ne serait pas réduit.
Les conditions de transfert vers des pays tiers avec lesquels l'Union Européenne n'a pas d'accord sont très strictement encadrées, mais l'opportunité de mettre en place un cloud souverain n'est pas évoquée.
Le projet de loi a tenu compte des remarques formulées par la commission des affaires européennes et la commission des affaires économiques visant à limiter la dépendance excessive à quelques fournisseurs d'infrastructures « en nuage » et à permettre le développement d'une véritable industrie européenne de la donnée.
Ainsi, le titre III (articles 7 à 14) vise à renforcer la confiance et la concurrence dans l'économie de la donnée et transpose par anticipation plusieurs dispositions du Data Act, notamment sur les frais de transfert et de migration des données.
L'article 7, qui n'est pas prévu dans le projet de règlement, prévoit pour sa part une limitation de la durée des « crédits cloud », dans une temporalité fixée par décret mais que le ministre, lors de son audition devant la commission spéciale le 8 juin, a souhaitée comprise entre trois et six mois. Ce sujet a fait l'objet d'une table ronde spécifique qui s'est tenue devant la commission spéciale le 15 juin.
* 14 Rapport d'information n° 443 (2012-2013) de Catherine Morin-Desailly, fait au nom de la commission des affaires européennes, intitulé L'Union européenne, colonie du monde numérique ?, déposé le 20 mars 2013.
* 15 Rapport n° 7 (2019-2020), de Gérard Longuet, fait au nom de la commission d'enquête sur le devoir de souveraineté numérique, déposé le 1er octobre 2019.
* 16 Rapport n° 774 (2021-2022) de Patrick Chaize, fait au nom de la commission des affaires économiques, sur le programme d'action numérique de l'Union européenne à l'horizon 2030, déposé le 13 juillet 2022.
* 17 Proposition de résolution européenne n° 664 (2021-2022) présentée par Florence Blatrix Contat et Catherine Morin-Desailly sur le programme d'action numérique de l'Union européenne à l'horizon 2030, déposée le 14 juin 2022, devenue résolution du Sénat (n° 138, 2021-2022).
* 18 Rapport d'information n° 755 (2021-2022) de Sophie Primas, Amel Gacquerre et Franck Montaugé, fait au nom de la commission des affaires économiques, intitulé Cinq plans pour reconstruire la souveraineté économique, déposé le 6 juillet 2022.
* 19 Rapport d'information n° 597 (2022-2023) fait par Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly au nom de la commission des affaires européennes sur la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données) - COM(2022) 68 final, déposé le 11 mai 2023.
* 20 Proposition de résolution européenne n° 596 (2022-2023) présentée par Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly sur la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données) COM(2022) 68 final, déposée le 11 mai 2023, devenue résolution du Sénat (n° 140, 2022-2023).