COMPTES RENDUS DES AUDITIONS PLÉNIÈRES

Réunion constitutive

Mardi 6 juin 2023

- Présidence de Mme Marie-Noëlle Lienemann, présidente d'âge -

Mme Marie-Noëlle Lienemann, présidente. - En ma qualité de présidente d'âge, il me revient d'ouvrir la première réunion de la commission spéciale sur la proposition de loi visant à sécuriser et réguler l'espace numérique dont la composition a été confirmée en séance publique le jeudi 1er juin dernier.

Conformément au Règlement du Sénat, nous allons tout d'abord désigner le président de la commission.

J'ai reçu la candidature de Catherine Morin-Desailly, qui a déjà travaillé avec la commission des affaires européennes sur les deux règlements qui sont au coeur du projet de loi - le règlement européen sur les services numériques (RSN) ou Digital Services Act (DSA) et le règlement européen sur les marchés numériques (RMN) ou Digital Markets Act
(DMA) -, et qui arpente depuis de longues années le monde de l'Internet.

Mme Catherine Morin-Desailly est désignée présidente de la commission spéciale.

- Présidence de Mme Catherine Morin-Desailly, présidente -

Mme Catherine Morin-Desailly, présidente. - Je vous remercie pour votre confiance. Le temps qui nous est imparti est très limité, mais nous veillerons à travailler efficacement pour créer un cadre permettant de lutter contre les contenus illicites etles contrefaçons et réguler le marché numérique.

Je commencerai par présenter quelques éléments de contexte.

Pour le Sénat, ce projet de loi est une source de satisfaction, dix ans après l'affaire Snowden qui avait déclenché la création au sein de notre assemblée d'une mission commune d'information sur la gouvernance mondiale de l'Internet. L'Europe a pris du retard pour légiférer, même si nous nous félicitons de l'adoption, sous présidence française de l'Union européenne, du DSA et du DMA.

Les enjeux sont les suivants : rouvrir la directive dite « e-commerce » et mettre en place un régime de responsabilité et de redevabilité pour les plateformes. Ces dernières ont abusé de leur position dominante en verrouillant les marchés, et ont permis la prolifération de contenus illicites et contestables, préjudiciables aux utilisateurs. La pandémie, qui a accru la digitalisation de notre économie, a accéléré la prise de conscience de la nécessité d'agir.

Une nouvelle doctrine a vu le jour au niveau européen, au travers de différents textes. Trois règlements ont été adoptés en 2022 : le DSA, le DMA et le Data Governance Act, lequel sera complété par un texte encore en négociation, le Data Act.

Sur ces sujets, notre assemblée a été active, notamment grâce à la commission des affaires européennes et à son président.

Ainsi, sur le DMA, à la suite de notre rapport avec Florence Blatrix Contat, que je suis heureuse de retrouver dans notre commission spéciale, le Sénat a adopté une résolution européenne le 12 novembre 2021, assortie d'un avis politique au Conseil. En particulier, nous avons été suivies sur l'ajout des services essentiels et sur les interdictions, ainsi que sur la coopération entre la Commission européenne et les autorités nationales.

Sur le DSA, et toujours sur notre initiative, le Sénat a adopté une résolution européenne le 14 janvier 2022. Là encore, notre position a été portée au niveau européen : je pense en particulier à l'inclusion des très grands moteurs de recherche dans le périmètre des obligations définies par le règlement et à la prise en compte des critères d'audience.

Enfin, sur un sujet encore en discussion au niveau européen mais très présent dans le projet de loi, nous avons, avec Ludovic Haye et André Reichardt, que je me félicite également de retrouver dans notre commission, émis une nouvelle résolution européenne le 13 février dernier sur le projet de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants.

Notre préoccupation est d'ailleurs en parfait accord avec les travaux de la délégation aux droits de femmes, dont je salue l'engagement -en particulier au travers de son rapport sur l'industrie pornographique. Je me félicite de la présence de nombreux membres de cette délégation parmi nous, dont sa présidente Annick Billon, qui a été rapporteure sur ce sujet avec Alexandra Borchio Fontimp et Laurence Rossignol.

Je salue également Marie Mercier, qui est très impliquée sur ces sujets.

Nous pouvons nous féliciter des avancées que nous avons obtenues, mais nous n'avons pas eu satisfaction sur tout. Il faudra mesurer la marge de manoeuvre dont nous disposons pour améliorer le texte, même si celle-ci risque d'être étroite. En effet, il s'agit non pas de transposer une directive, mais des règlements. Or les règlements sont d'application directe afin d'éviter une « fragmentation » des législations et d'aller vite. Cette limite sera pour beaucoup une frustration, en nous imposant de ne pas « déborder » sur le champ des règlements, sous peine de les fragiliser et de voir certains en Europe s'y engouffrer pour en réduire la portée. Nos débats seront suivis dans l'Union européenne et serviront largement de modèle, car nous sommes les premiers à nous adapter à ces règlements.

Le projet de loi ne se limite néanmoins pas à adapter notre droit et notre régulation à ce cadre européen. Il procède également à plusieurs améliorations destinées à protéger les utilisateurs. Je pense notamment aux dispositions sur « l'informatique en nuage » - le sujet de l'hébergement et du traitement des données est au coeur de la souveraineté numérique -, sur la gestion des locations touristiques de courte durée ou encore sur les jeux à objets numériques monétisables, qui font l'objet d'une demande d'habilitation à légiférer par voie d'ordonnance.

Un énorme travail doit être fait, mais je sais que nous pourrons compter sur nos rapporteurs qui sont très aguerris sur ces sujets !

Sur la forme, si je me félicite bien entendu de voir ce texte arriver en premier au Sénat, je déplore cependant le temps très réduit dont nous disposons. Je regrette également la profusion de textes sur le numérique qui nous sont arrivés ces derniers temps sous forme de propositions de loi - en réalité d'origine gouvernementale -, ce qui nuit à la vision stratégique et globale que nous devons adopter.

Cette vision stratégique, je souhaite précisément que nous puissions tous ensemble la porter, et, au travers de ce texte, faire valoir les positions déjà exprimées par le Sénat afin de marquer notre cohérence.

En tout état de cause, ce projet de loi n'est qu'une étape, même si elle est essentielle. Ainsi, demain, il nous faudra nous pencher sur la question de l'intelligence artificielle, à propos de laquelle nous avons déjà eu un débat en séance. Il faut également mentionner la proposition de règlement européen sur les données (Data Act), encore en cours de négociation, qui fixe des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, et sur lequel, avec Florence Blatrix Contat et André Gattolin, nous venons de déposer une nouvelle proposition de résolution européenne le 11 mai dernier.

Les données sont en effet « l'or noir » du numérique, et nous devons nous organiser pour éviter leur confiscation par quelques grandes plateformes qui verrouillent techniquement, financièrement et juridiquement le marché. Le projet de loi transpose d'ailleurs par anticipation certaines dispositions de cette proposition de règlement aux articles pour l'informatique « en nuage », notamment sur l'interopérabilité et la portabilité des données, de manière à permettre le développement d'une véritable industrie européenne.

J'espère que nous tirerons, en France comme en Europe, les conclusions de nos retards successifs en matière de numérique.

Par ailleurs, et toujours dans le cadre européen, la Commission a présenté en mars 2021 son programme d'actions pour la décennie numérique, dit boussole numérique, qui trace la voie vers une réelle souveraineté européenne. Patrick Chaize a d'ailleurs rapporté pour la commission des affaires économiques la proposition de résolution européenne que nous avions déposée avec Florence Blatrix Contat sur le sujet.

Enfin, en tant que présidente de notre commission spéciale, je serai très attentive à maintenir les règles constitutionnelles de respect des irrecevabilités, s'agissant notamment de l'article 45 de la Constitution. Il nous faudra rester vigilants et parfois réfréner nos ardeurs pour éviter la censure par le Conseil constitutionnel de dispositions qui n'auraient pas de lien avec le texte.

Mes chers collègues, je vous propose maintenant de procéder à la désignation du bureau de notre commission spéciale.

Nous procédons, dans un premier temps, à la désignation des vice-présidents et des secrétaires.

Conformément à l'article 13 de notre Règlement, selon le principe de la représentation proportionnelle et en tenant compte de la représentation déjà acquise au groupe Union Centriste (UC) pour le poste de président, nous devons désigner : quatre vice-présidents du groupe Les Républicains (LR) ; deux du groupe Socialiste, Écologiste et Républicain (SER) ; un du groupe Rassemblement des démocrates, progressistes et indépendants (RDPI) ; un du groupe communiste républicain citoyen et écologiste (CRCE) ; un du groupe du Rassemblement Démocratique et Social Européen (RDSE) ; un du groupe Les Indépendants - République et Territoires (INDEP) ; et un du groupe Écologiste - Solidarité et Territoires (GEST).

Compte tenu des candidatures qui sont parvenues au secrétariat de la commission spéciale, je vous propose de désigner comme vice-présidents : pour le groupe Les Républicains, Alexandra Borchio Fontimp, Toine Bourrat, Micheline Jacques et Marie Mercier ; pour le groupe Socialiste, Écologiste et Républicain, Sylvie Robert et Florence Blatrix Contat ; pour le groupe Rassemblement des démocrates, progressistes et indépendants, Xavier Iacovelli ; pour le groupe communiste républicain citoyen et écologiste, Pierre Ouzoulias ; pour le groupe du Rassemblement Démocratique et Social Européen, Bernard Fialaire ; pour le groupe Les Indépendants - République et Territoires, celle de Pierre-Jean Verzelen ; pour le groupe Écologiste - Solidarité et Territoires, Thomas Dossus.

Conformément aux propositions formulées par les groupes, je vous propose de désigner comme secrétaires : pour le groupe Les Républicains, MNadine Bellurot ; pour le groupe Union Centriste, Anne-Catherine Loisier ; pour le groupe Socialiste, Écologiste et Républicain, Jérôme Durain.

Les vice-présidents et secrétaires sont désignés.

Mme Catherine Morin-Desailly, présidente. - Nous procédons, dans un second temps, à la désignation des rapporteurs de notre commission spéciale, dont je précise qu'ils seront membres de droit du Bureau.

J'ai reçu les candidatures suivantes : pour le groupe Les Républicains, Patrick Chaize, et pour le groupe Union Centriste, Loïc Hervé.

M. Patrick Chaize et M. Loïc Hervé sont désignés rapporteurs de la commission spéciale.

Mme Catherine Morin-Desailly, présidente. - Nous sommes en train d'organiser le programme des auditions en plénière, que nous vous diffuserons dès que possible. Nous entendrons la cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), la commissaire divisionnaire Cécile Augeraud, responsable de la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos) demain, mercredi 7 juin, et le ministre Jean-Noël Barrot le jeudi 8 juin.

Le calendrier pourrait ensuite être le suivant : pour l'examen des amendements de commission et l'adoption du rapport, le délai limite pour les amendements serait fixé au vendredi 23 juin, à 12 heures, et la réunion de commission se déroulera le mardi 27 juin, à partir de 13 h 30.

Pour l'examen des amendements de séance publique, le délai limite pourrait être fixé au lundi 3 juillet, 12 heures. Nous examinerions les amendements le mardi 4 juillet, à partir de 13 h 30. La séance publique pourrait commencer, sous réserve des contraintes d'ordre du jour, ce même mardi 4 juillet en fin d'après-midi. L'examen du texte nous occuperait mercredi 5, jeudi 6, et peut-être jusqu'au vendredi 7 juillet.

D'ici à l'examen du texte en commission, nous mènerons avec les rapporteurs des auditions pour entendre les parties prenantes sur le texte. Nous proposons d'ouvrir ces auditions à l'ensemble des membres de la commission spéciale qui voudront y participer.

J'indique enfin que M. Loïc Hervé sera chargé des articles 1er à 5, 19 à 21, 23, 24, 28 à 32, 34 et 35 ; et M. Patrick Chaize, des articles 6 à 18, 22, 25 à 27, 33 et 36.

M. Loïc Hervé, rapporteur. - Mme la présidente nous a expliqué l'importance et l'étendue du projet de loi qu'il nous revient d'examiner. Pensé, dès ses origines, comme une zone de liberté, l'espace numérique ne peut pas pour autant être une zone de non-droit. Sa régulation est une nécessité absolue au regard de la place d'Internet dans nos vies quotidiennes, au coeur de nos modes de communication, de consommation et d'information. Tel est là tout l'enjeu des règlements dont ce projet de loi tire les conséquences : faire du numérique un espace où chacun peut s'exprimer librement, mais dans le respect des règles qui s'appliquent dans la « vraie vie » et avec le même droit d'entretenir une confiance légitime vis-à-vis de ses interlocuteurs.

Je me réjouis que, sur un sujet complexe, qui touche aux compétences de nombreuses commissions permanentes, le choix ait été fait de constituer une commission spéciale ; cette formule sera le gage de débats nourris par la pluralité de nos points de vue, de nos analyses et de nos sensibilités politiques.

Je regrette en revanche, comme notre présidente, que nous ayons si peu de temps pour conduire nos travaux. Le Conseil d'État a déploré dans son avis n'avoir eu que six jours pour se prononcer. Nous en aurons un peu plus, mais vu la complexité des dispositions et de la construction du texte qui retouche à plusieurs reprises les mêmes articles, ainsi que de sa rédaction a minima perfectible, j'espère que nous arriverons à produire un texte de qualité !

J'en viens aux articles dont j'aurai la charge en tant que rapporteur.

Les articles 1er à 5 portent sur la protection des citoyens dans l'espace numérique, au bénéfice notamment des mineurs.

Les articles 1er et 2 tendent à revoir le dispositif mis en place par l'article 23 de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales qui avait été adopté par la commission des lois sur l'initiative de notre collègue Marie Mercier. La procédure de blocage judiciaire peut actuellement être engagée par l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour bloquer l'accès et déréférencer les sites pornographiques qui ne mettraient pas en place le contrôle de majorité. Il s'agirait de transformer cette procédure judiciaire en procédure administrative, conformément à une recommandation de la délégation aux droits des femmes dans son rapport sur l'industrie de la pornographie, et à permettre aux agents de l'Arcom de dresser eux-mêmes des constats.

L'article 3 vise à créer une infraction pour pénaliser les hébergeurs qui n'agiraient pas dans les vingt-quatre heures pour supprimer des contenus pédopornographiques à la demande de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication.

L'article 4 étend les pouvoirs de l'Arcom pour faire respecter les interdictions de diffusion des contenus produits par des médias visés par des sanctions européennes : elle pourra désormais imposer le respect de telles interdictions à de nouveaux acteurs qui ne sont aujourd'hui pas couverts par la loi, comme les services de communication au public en ligne ou les opérateurs de réseaux satellitaires.

Quant à l'article 5, il crée une nouvelle peine complémentaire de suspension du compte d'accès à une plateforme en ligne, applicable aux personnes condamnées pour certains délits commis en utilisant ladite plateforme.

Le titre VII comporte trois articles à la rédaction similaire qui visent à confier respectivement au Conseil d'État, à la Cour de cassation et à la Cour des comptes une nouvelle mission de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions et leur ministère public, dans l'exercice de leur fonction juridictionnelle.

Le titre VIII est un titre « Diverses dispositions d'adaptation au droit de l'Union européenne » (Ddadue) ; il vise à tirer les conséquences des règlements européens dans des textes nationaux sectoriels, s'agissant notamment des prérogatives de l'Arcom, de la Commission nationale de l'informatique et des libertés (Cnil), de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et de l'autorité judiciaire. Je m'intéresserai plus particulièrement aux articles 23, 24 et 28 à 32.

Sans entrer dans le détail des évolutions prévues par ces articles, ceux-ci me semblent cependant soulever des difficultés de fond comme de forme. Je relève tout d'abord qu'un travail de mise en cohérence et de clarification sera probablement nécessaire : en effet, la portée de certaines règles reste floue, faute pour le projet de loi d'être parvenu à en préciser le périmètre, à en définir l'articulation avec d'autres dispositifs ou à en décrire les modalités concrètes d'application. Je pense notamment aux nouvelles compétences données à la Cnil sur l'altruisme en matière de données, dont la rédaction m'apparaît imprécise.

Par ailleurs, il semblerait que, sous couvert de mise en conformité avec le règlement européen sur les services numériques, des pans entiers de notre droit national se trouvent soit abrogés, soit alignés sur le règlement sans mesures complémentaires, alors que ce dernier n'a pas les mêmes seuils, notamment en termes de taille des plateformes soumises aux diverses obligations qu'il prévoit. Il nous conviendra lors de nos travaux d'être particulièrement vigilants pour nous assurer que l'application du règlement n'aura pas pour conséquence de dédouaner certaines plateformes opérant sur notre territoire de leurs responsabilités, par exemple en matière de lutte contre la désinformation.

M. Patrick Chaize, rapporteur. - Mes chers collègues, je vous remercie pour la confiance que vous m'accordez en me nommant corapporteur aux côtés de Loïc Hervé.

Je suis chargé des dix-neuf articles de ce projet de loi qui relèvent des compétences de la commission des affaires économiques, essentiellement en matière de régulation de l'économie numérique et des données, de concurrence, de droit de la consommation et de tourisme.

Ce projet de loi est en très grande partie un projet de loi d'adaptation de notre droit national au droit de l'Union européenne. Autrement dit, c'est un Ddadue qui ne dit pas son nom ! Il s'agit en effet d'adapter la quasi-totalité de nos lois nationales traitant des questions numériques, en particulier la loi de 1986 relative à la liberté de communication (loi Léotard) et la loi de 2004 pour la confiance dans l'économie numérique, à plusieurs règlements européens. Parmi les règlements déjà adoptés, il y a le RSN ou DSA, le règlement RMN ou DMA, et le règlement sur la gouvernance des données (RGA) ou Data Governance Act (DGA). Parmi les règlements toujours en cours de négociation à l'échelle européenne, il y a le règlement fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (Data Act), dont plusieurs articles anticipent l'adoption.

L'ensemble de ces règlements étant d'application directe, nous devons être prudents : il s'agit non seulement de rester fidèle à leur lettre comme à leur esprit, car ces textes sont issus de négociations et de compromis difficiles entre les différents États membres et les opérateurs économiques, mais également de ne pas adopter des dispositions qui seraient trop contraignantes, spécifiques à la France, et qui risqueraient de pénaliser injustement nos opérateurs économiques. Mais il faut aussi faire preuve de vigilance lorsque nos lois françaises se sont montrées particulièrement ambitieuses, protectrices et avant-gardistes, afin d'éviter que l'adoption de ce projet de loi ne se traduise par des dispositions moins-disantes par rapport aux règles existantes.

Je serai ainsi particulièrement vigilant lors de l'examen des articles 7 à 10 relatifs à la régulation du marché de l'informatique en nuage ou cloud. Comme le précisent l'exposé des motifs du projet de loi et l'étude d'impact du Conseil d'État, ces articles s'inscrivent dans la continuité directe des travaux de la commission des affaires économiques sur la souveraineté économique et numérique, dont le rapport a été adopté l'an dernier à l'unanimité et dont certaines recommandations ont été traduites dans le Data Act.

Il s'agit d'encadrer les crédits cloud accordés gratuitement par les grandes plateformes américaines à nos entreprises afin de les inciter à utiliser exclusivement leurs technologies plutôt que d'autres, et de supprimer progressivement les frais de transfert facturés à nos entreprises lorsqu'elles souhaitent changer de fournisseur de services d'informatique en nuage : c'est indispensable pour soutenir le développement de sociétés françaises et européennes d'informatique en nuage, pour garantir une concurrence plus saine et des marchés contestables et pour éviter de rendre nos entreprises « captives » des grandes plateformes américaines.

Je serai également vigilant lors de l'examen des articles 11 à 14, qui anticipent l'adoption des dispositions du Data Act relatives aux services d'intermédiation des données et qui désignent l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) comme autorité nationale compétente en la matière, en renforçant ses pouvoirs d'enquête et de sanction.

Sur les articles 16, 18, 22, 25, 26 et 27, il s'agit essentiellement de désigner les autorités nationales compétentes en matière d'application des grands règlements européens sur le numérique, d'adapter leurs prérogatives en conséquence et de faciliter leur coopération.

L'Arcom est ainsi désignée coordinateur national pour les services numériques et bénéficiera notamment de l'appui de la Cnil et de la DGCCRF pour la mise en oeuvre de ce règlement. De façon plus ponctuelle et plus spécifique, l'Arcom pourra davantage solliciter le pôle d'expertise de la régulation de l'économie numérique (PEReN) afin de mieux comprendre les algorithmes, les traitements de données, les codes et les risques systémiques des grandes plateformes.

L'Autorité de la concurrence (ADLC) est ainsi désignée coordinateur national pour les marchés numériques et bénéficiera notamment de l'appui de la DGCCRF, de la Cnil et de l'Arcom pour la mise en oeuvre de ce règlement.

Si ce projet de loi est en quelque sorte un Ddadue, il y a tout de même quelques mesures nouvelles, intéressantes, qui ne sont pas prévues par les règlements européens et qui méritent toute notre attention.

Je pense à l'article 15 sur les jeux à objets numériques monétisables dont une première définition a failli être adoptée lors de l'examen par la commission des affaires économiques de la loi visant à encadrer l'influence commerciale. Nous serions les premiers en Europe à définir et à encadrer ces innovations, mais, face à la complexité et à l'ampleur du travail à accomplir, le Gouvernement préfère, en l'état, recourir à une habilitation à légiférer par ordonnance.

Je pense également à l'article 17, visant à mettre en place une plateforme unique à destination des communes et des plateformes numériques permettant la location de meublés de tourisme, comme Airbnb. L'objectif de ce texte est de pallier les difficultés opérationnelles de mise en oeuvre des obligations légales actuelles, qui se traduisent notamment par une charge importante pour les communes. C'est sans doute la seule disposition intéressant les collectivités territoriales dans ce texte, nous devons donc être vigilants.

Je pense enfin à l'article 6, visant à mettre en place un dispositif national de cybersécurité grand public, ou « filtre anti-arnaques », afin de mieux lutter contre les actes de cybermalveillance qui font désormais partie de notre quotidien. C'est une promesse de campagne du Président de la République que ce projet de loi tente, à l'instar de ce qui a été fait par plusieurs autres pays européens, de mettre en forme.

Les fournisseurs de navigateurs Internet, les fournisseurs d'accès à Internet et les fournisseurs de systèmes de résolution des noms de domaine seront tous mis à contribution pour avertir les internautes lorsqu'ils seront sur le point d'accéder à des sites frauduleux, voire pour bloquer l'accès à ces sites, sous le contrôle attentif de la Cnil.

C'est, à la fois, la sécurisation de l'espace numérique et la restauration de la confiance de nos concitoyens dans l'économie numérique qui sont en jeu. Je serai très regardant sur le déploiement de ce filtre anti-arnaques : il complétera utilement l'initiative prise par notre collègue Laurent Lafon, président de la commission de la culture et auteur de la loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public - un texte qui vise à mettre en oeuvre un cyberscore -, et dont notre collègue Anne-Catherine Loisier était rapporteure pour la commission des affaires économiques.

Nous pouvons être fiers, ici au Sénat, d'être à l'avant-garde de la régulation de l'économie numérique, comme nous l'avons dit à plusieurs reprises récemment lors de l'examen de diverses propositions de loi visant à réguler nos usages numériques. Nous le sommes également avec la commission d'enquête sur TikTok constituée sur l'initiative de notre collègue Claude Malhuret.

Dans le cadre de l'ensemble de ces travaux, et y compris lors de l'examen de ce projet de loi, nous devrons être prudents et veiller à la cohérence de l'ensemble des dispositions que nous voterons et recommanderons.

Mme Laurence Rossignol. - Je m'interroge sur l'application de l'article 45 de la Constitution. J'évoquerai la partie du texte qui m'intéresse tout particulièrement, celle dévolue à Loïc Hervé, en particulier les trois premiers articles. Nous sommes nombreux à considérer que ceux-ci ne répondent pas à l'objectif annoncé, et qu'il faudrait les renforcer tout en restant dans le cadre de l'intitulé du titre Ier relatif à la protection des mineurs. Le texte témoigne d'une approche étroite de ce sujet. Comment l'améliorer si l'on nous oppose l'article 45 dès qu'un amendement n'est pas parfaitement « dans les clous » ? Par exemple, s'agissant de l'établissement du référentiel, nous pouvons certes donner toute latitude à la Cnil, mais il serait préférable de prévoir un encadrement.

Mme Annick Billon. - Je vous félicite, madame la présidente, pour votre désignation à la tête de cette commission spéciale, car vous êtes engagée de longue date sur ces sujets. Je félicite également les rapporteurs qui sont des spécialistes, Loïc Hervé étant membre de la Cnil et Patrick Chaize président du groupe Numérique.

En tant que présidente de la délégation aux droits des femmes, et avec les rapporteures Alexandra Borchio Fontimp et Laurence Rossignol, nous serons attentives à la transcription des recommandations que nous avions faites dans le rapport Porno : l'enfer du décor.

Les objectifs sont là, mais les moyens seront-ils suffisants ? Nous approuvons diverses mesures - je pense notamment à l'assermentation des agents de l'Arcom -, mais d'autres sujets ne sont pas évoqués, comme le droit à l'oubli et le dispositif de vérification d'âge.

Il faut aller plus loin et plus rapidement, car des textes ont été votés mais ne sont toujours pas appliqués.

Mme Catherine Morin-Desailly, présidente. - La protection de l'enfance est un de nos sujets prioritaires, et nous allons organiser une table ronde sur cette question.

Madame Rossignol, je ne suis pas habituée à l'exercice de la mise en application d'un règlement européen. Des améliorations ont été apportées par le Gouvernement, nous pouvons donc apporter les nôtres. Il faut néanmoins rester dans l'esprit des règlements, pour ne pas être censurés par le Conseil constitutionnel. Un travail très fin devra être fait avec les rapporteurs. Nous ne partons pas de loin, puisque nous disposons des propositions de la délégation aux droits des femmes et de la commission des affaires européennes.

J'aurais aimé aller plus loin sur la régulation des plateformes, jusqu'à créer un statut spécifique au même titre que les éditeurs de programmes. Mais le Sénat est à la pointe sur ces sujets et sait faire preuve de créativité !

Je m'assurerai que nous puissions améliorer au mieux le texte, mais, je le redis, il s'agit d'appliquer un règlement, ce qui n'est pas la même chose qu'une directive.

Enfin, je précise que l'article 3 n'est pas issu du DSA.

Mme Laurence Rossignol. - Le Gouvernement surtranspose puisqu'il a amélioré le texte.

Mme Catherine Morin-Desailly, présidente. - Nous pourrons évoquer ces questions jeudi avec le ministre Jean-Noël Barrot.

Audition de Cécile Augeraud, commissaire divisionnaire, chef de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), Pierre-Yves Lebeau, chef de l'état-major de la sous-direction de lutte contre la cybercriminalité (SDLC) et Clara Timsit, conseillère juridique rattachée à l'état-major de la SDLC

Mercredi 7 juin 2023

Mme Catherine Morin-Desailly, présidente. - Nous sommes aujourd'hui réunis pour recevoir Mme Cécile Augeraud, cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Madame Augeraud, je vous remercie d'avoir accepté notre invitation.

Créée en 2009, la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos) est une branche de la direction centrale de la police judiciaire. Elle constitue la pièce centrale du dispositif de signalement des propos illicites ou offensants tenus en ligne - autant dire que votre mission est vaste.

Nous sommes très sensibles à votre travail et également très préoccupés par la situation des mineurs, victimes d'un grand nombre d'actes délictueux. Nous souhaiterions connaître le fonctionnement de Pharos et nous aimerions que vous puissiez nous présenter un bilan des dispositifs existants.

Le projet de loi reconduit des mécanismes existants, par exemple s'agissant du rôle du juge en matière de blocage des contenus illicites ; c'est pour le Parlement l'occasion de dresser avec vous le bilan de ces procédures. Il crée des outils nouveaux pour lesquels votre expertise sera précieuse : je pense, entre autres, à la peine complémentaire de suspension des comptes d'accès aux plateformes qui serait encourue en cas de condamnation pour certains délits commis en ligne.

Le projet de loi instaure en son article 3une sanction pénale pour défaut d'exécution d'une demande de retrait d'un contenu pédopornographique par un hébergeur. Je rappelle que les contenus à caractère terroriste sont dorénavant régis par la loi du 16 août 2022, qui contraint au retrait dans un délai d'une heure.

Nous sommes donc impatients de vous entendre afin que vous puissiez nous présenter le travail exigeant que vous menez au quotidien, nous donner votre point de vue sur ce nouveau texte et nous donner quelques perspectives d'amélioration des procédures en vigueur.

Mme Cécile Augeraud, cheffe de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication. - Merci pour votre présentation très exhaustive.

Pharos est l'une des composantes de l'Office que je dirige. La plateforme fait partie d'un ensemble luttant contre la cybercriminalité : c'est l'action de toutes ces composantes qui rend nos dispositifs efficaces.

L'Office compte 150 agents et assure quatre missions principales. Premièrement, nous enquêtons sur les cyberattaques et sur les cyberservices criminels. Deuxièmement, nous fournissons un appui technique aux services territoriaux de police et de gendarmerie et nous dispensons des formations d'investigateurs en cybercriminalité sur l'ensemble du territoire. Troisièmement, nous effectuons des analyses du renseignement criminel : nous travaillons en étroite collaboration avec les plateformes et nous sommes le point d'entrée pour la France de nos partenaires internationaux. Quatrièmement, nous assurons une mission de détection par le biais de nos deux plateformes : Pharos, la vieille dame du service, née en 2009, mais aussi le dispositif de traitement harmonisé des enquêtes et signalements pour les e-escroqueries (Thésée), créé le 15 mars 2022, qui permet de recueillir les signalements pour huit champs infractionnels. En outre, Thésée offre aux particuliers la possibilité de déposer plainte entièrement en ligne - les victimes ne doivent, à aucun moment, se déplacer.

Pharos est une plateforme qui a connu beaucoup d'évolutions, en raison d'un accroissement des dangers, des menaces, des risques et des infractions. Elle est destinée à recevoir des signalements pour tous les contenus illicites présents sur Internet, à condition qu'ils soient publics - Pharos n'intervient pas dans la sphère privée. La plateforme a évolué au gré des événements : l'assassinat à caractère terroriste de Samuel Paty a conduit au doublement de ses effectifs, avec, à ce jour, 43 agents qui se relaient désormais vingt-quatre heures sur vingt-quatre et sept jours sur sept. Elle est en mesure de réagir en permanence à tous les signalements. Les missions sont désormais plus diversifiées, grâce à l'ouverture d'enquêtes sur le fondement des signalements de contenus illicites et à la création d'un pôle judiciaire de dix enquêteurs. Les effectifs consacrés à la lutte contre la haine en ligne ont augmenté, car c'est un sujet de préoccupation majeure.

Une cellule recueille les signalements, puis une équipe d'enquêteurs est chargée de veiller à l'application de mesures administratives prévues par la loi pour la confiance dans l'économie numérique (LCEN). Son article 6-1 nous permet de demander le retrait de contenus illicites à caractère terroriste ou pédopornographique et d'enjoindre au blocage ou au déréférencement lorsque le retrait n'a pas été effectué.

En 2022, Pharos a reçu près de 176 000 signalements, qui se sont traduits par 89 000 demandes de retrait, dont 83 % visaient des contenus pédopornographiques au titre de l'article 6-1 de la LCEN. Quelque 4 024 injonctions de déréférencement et 354 injonctions de blocage ont été décidées : cela montre que nos demandes de retrait sont suivies. En outre, 78 790 contenus illicites ont été détectés grâce à des actions de veille : nous ne nous contentons plus de recevoir des signalements, par exemple, en matière de lutte contre les discriminations.

J'insiste sur le nombre de signalements : 176 000 en 2022, contre 246 000 en 2021 et 290 000 en 2020. Cette diminution s'explique par la baisse du nombre d'actes terroristes et par la création de la plateforme Thésée. Pharos se concentre désormais sur des faits de pédopornographie et de haine en ligne, tandis que les escroqueries ont été déportées sur la plateforme Thésée. Le traitement des signalements est très différent. Sur Thésée, les particuliers peuvent faire des signalements ou déposer des plaintes en ligne pour chantage, fausse location, faux site de vente, entre autres. Celles-ci feront l'objet d'un recoupement par l'intermédiaire d'un outil d'analyse afin d'en optimiser le traitement. Thésée peut recevoir le signalement de personnes physiques majeures, mais aussi mineures -
en revanche, les dépôts de plainte sont inaccessibles aux mineurs. Les personnes ne souhaitant pas se déplacer dans un commissariat ou une gendarmerie peuvent ainsi s'affranchir du regard des forces de l'ordre : ce dispositif est parfois très pertinent pour les parents déposant plainte pour des mineurs victimes de chantage en ligne.

Ces deux plateformes fonctionnent avec des partenaires référencés et des signaleurs de confiance ; le projet de loi participe de la même philosophie. Nous travaillons à la signature de conventions avec les grandes plateformes, qui reçoivent des signalements ou détectent elles-mêmes des contenus très sensibles. Nous voulons prioriser leur traitement afin d'agir rapidement.

Si les faits d'escroquerie ont fait l'objet d'un déport partiel vers Thésée, les attaques de phishing, ou d'hameçonnage, restent prises en charge par Pharos, qui a reçu plus de 11 000 signalements de ce type en 2022.

M. Loïc Hervé, rapporteur. - Merci pour votre présentation.

Quel bilan qualitatif et quantitatif tirez-vous du droit en vigueur en matière de lutte contre les contenus illicites et contre la criminalité en ligne ? Y a-t-il des mécanismes plus efficaces que d'autres ? Certains gagneraient-ils à être étendus ? À l'inverse, d'autres doivent-ils être abandonnés aujourd'hui, parce qu'ils vous semblent obsolètes ou inadaptés ? Comment s'organise la coopération avec vos partenaires à l'échelle européenne ?

Comment analysez-vous les nouvelles obligations imposées aux plateformes et aux hébergeurs par le Digital Services Act (DSA), ou, en français, le règlement sur les services numériques (RSN) en matière de détection et de mise hors d'accès des contenus illicites ?

Quel sera l'impact, pour l'Office et ses services partenaires, des nouveaux pouvoirs qui seraient conférés à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et à la Commission nationale de l'informatique et des libertés (Cnil) ? Des échanges ont-ils été engagés avec ces autorités pour définir des modes d'action partagés en matière de lutte contre les contenus illicites ?

Quelle est votre analyse du nouveau mécanisme d'évaluation des risques par les plateformes et les moteurs de recherche ? Ces évaluations sont-elles de nature, à terme, à avoir une influence sur les méthodes des services chargés de la lutte contre la criminalité en ligne ?

Comment l'action de l'OCLCTIC, notamment celle des plateformes Pharos et Thésée, s'articulera-t-elle avec les nouvelles « injonctions d'agir contre des contenus illicites » créées par l'article 9 du RSN, avec la « notification des soupçons d'infraction pénale » créée par l'article 18 de ce règlement, ou encore avec le statut nouvellement institué de « signaleur de confiance », prévu à l'article 22 ?

Comment évaluez-vous l'efficacité des nouvelles mesures coercitives créées par le projet de loi, comme l'interdiction d'accès aux sites pornographiques aux mineurs, la peine complémentaire de blocage des comptes d'accès aux plateformes, le renforcement de la lutte contre la pédopornographie, entre autres ? En particulier, comment analysez-vous la nouvelle peine complémentaire de blocage des comptes d'accès aux plateformes ? Je rappelle que l'application de cette peine serait limitée à quelques délits et qu'elle ne toucherait que le compte utilisé pour commettre l'infraction.

Y a-t-il, selon vous, des difficultés ou des lacunes, techniques ou juridiques, qui portent atteinte à l'effectivité de la lutte contre les contenus illicites et qui n'auraient pas été couvertes par le RSN et par le projet de loi ? Cette question est sans doute la plus importante : nous pourrions, le cas échéant, améliorer la qualité juridique du texte et combler ses éventuels manques.

Mme Cécile Augeraud. - Votre première question est très vaste. Les dispositifs existants sont nombreux : nous ne connaissons pas tout le spectre et je ne serai pas en mesure de vous dresser un bilan exhaustif. Les textes en vigueur nous permettent de respecter l'indispensable équilibre entre la sécurisation d'Internet et des pratiques proches de la censure - ce qui pourrait, à juste titre, nous être reproché. Nous ne travaillons pas uniquement avec des partenaires français ; certains ont des visions très éloignées des nôtres. Il existe une forte disparité parmi les législations européennes, malgré les avancées du RSN et du règlement Terrorist Content Online (TCO) du 29 avril 2021 ou règlement relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.

Le seul bilan quantitatif que nous sommes en mesure de dresser consiste en la recension des signalements reçus sur Pharos et Thésée. Toutefois, leur contenu est très disparate.

La loi pour la confiance dans l'économie numérique est un outil majeur de notre action quotidienne. De plus, le texte n'a cessé d'évoluer depuis 2004, le plus récemment grâce au règlement TCO et à la lutte contre les sites « miroirs » prévue à l'article 6-3 de la LECN. Ces outils nous permettent de formuler des demandes de retrait sur les contenus faisant l'apologie du terrorisme ou pédopornographiques.

L'article 6-1 de la LCEN nous confère des pouvoirs administratifs importants : nous pouvons ainsi traiter un grand volume d'affaires. Grâce à Pharos, la France est très en avance sur les procédures de retrait par rapport à d'autres pays européens. Cela dit, certains textes en cours d'examen risquent d'alourdir les dispositifs que nous avons l'habitude d'utiliser. Lorsque nous devrons fournir des justifications plus détaillées à chaque demande de retrait, nous ne serons plus en mesure de traiter autant de signalements.

M. Loïc Hervé, rapporteur. - C'est là un point très important. Cette diminution de votre capacité d'intervention - que vous redoutez - est-elle imputable à l'application directe du règlement ou à certaines dispositions du projet de loi ? Quelle aide pourrions-nous vous apporter sur ce point ? Bien sûr, nous devons assurer le respect de certaines garanties, mais nous devons aussi ne pas entamer votre productivité.

Mme Cécile Augeraud. - Le projet de loi n'est en rien responsable de cette situation, bien au contraire. Jusqu'à présent, l'article 6-1 nous conférait une autorité limitée : nous ne pouvions que solliciter le retrait des contenus auprès des hébergeurs. Depuis l'entrée en vigueur du règlement TCO, nous bénéficions désormais d'une injonction de retrait. Il en ira de même pour les affaires pédopornographiques. Ce sont des progrès essentiels : le RSN et le projet de loi nous permettront de gagner en efficacité.

M. Pierre-Yves Lebeau, chef de l'état-major de la sous-direction de lutte contre la cybercriminalité. - Nous devons encore nous approprier les outils découlant du règlement TCO qui seront utilisés au sein d'Europol. Dans quelques années, nous pourrons dresser une première comparaison entre les outils fournis par les agences européennes et les instruments que nous offre le droit français depuis 2015.

Mme Cécile Augeraud. - Il nous est impossible de dresser un bilan aujourd'hui. Nous en sommes encore au stade des discussions pour la proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants, dit règlement ASM. Nous craignons qu'un formalisme excessif ne constitue un frein à notre action.

Mme Laurence Rossignol. - Pourriez-vous être plus précise ?

Mme Catherine Morin-Desailly, présidente. - Je reprends la question : pouvez-vous nous préciser votre mode opératoire ? Quels pourraient être les freins à votre action ? Le futur règlement ASM vous apportera-t-il des moyens complémentaires ?

Mme Cécile Augeraud. - Sur Pharos, des compétences en matière de retrait nous sont octroyées par l'article 6-1 de la loi pour la confiance dans l'économie numérique. Lorsque des contenus pédopornographiques ou à caractère terroriste nous sont signalés, nous pouvons demander le retrait de ces contenus auprès de l'éditeur et de l'hébergeur. Si cette première demande n'est pas exécutée, nous pouvons exiger soit un déréférencement des adresses des sites concernés soit un blocage du site.

Aujourd'hui, le règlement TCO et le nouvel article 6-1-1 nous octroient des pouvoirs plus stricts d'injonction : nous pourrons exiger le retrait dans l'heure d'un contenu à caractère terroriste. Le règlement ASM est lui en cours de discussion, mais les contours de ce texte ne sont pas encore clairement établis ; les discussions, auxquelles nous participons, sont en cours. Nous aimerions que les règles définies par le règlement ASM en matière de pédopornographie soient semblables à celles du règlement TCO en matière de contenus terroristes.

Cela dit, l'article 9 du RSN, relatif à l'injonction d'agir sur les contenus illicites, nous impose de fournir des éléments précis pour motiver nos demandes, ce qui n'est pas le cas actuellement. Aujourd'hui, nous sollicitons le retrait d'un contenu au titre des pouvoirs administratifs dont nous disposons - un pouvoir assez exceptionnel pour des policiers. Bien sûr, nous sommes contrôlés par l'Arcom, via la personnalité qualifiée qui formule des recommandations sur nos actions. Le dispositif actuel, grâce auquel nous pouvons formuler des demandes de retrait en masse, est relativement fluide : en 2022, 89 057 demandes de retrait ont été formulées. C'est un chiffre très important : si chaque demande devait faire l'objet d'une justification précise, nous estimons à ce stade que notre travail serait ralenti.

Mme Catherine Morin-Desailly, présidente. - Vous avez mentionné votre mission de veille. À cet égard, quel est le rôle de la personnalité qualifiée de l'Arcom, Mme Laurence Pécaut-Rivolier ?

Mme Cécile Augeraud. - L'Arcom ne nous adresse pas de signalements : elle contrôle notre action sur les retraits, les blocages et les déréférencements que nous prononçons. Elle formule des recommandations quand elle estime que nos demandes ne sont pas légitimes. Elle a récemment rendu son rapport : le nombre de recommandations est peu élevé. De plus, elle a souligné qu'elle pouvait mener à bien aisément son travail de contrôle a posteriori. Mais peut-être votre question portait-elle sur l'évolution du rôle de l'Arcom dans le projet de loi ?

Mme Catherine Morin-Desailly, présidente. - Ma question portait sur le mode opératoire, notamment pour répondre aux préoccupations de Mme Rossignol. La personnalité qualifiée de l'Arcom participe aussi aux travaux de la cellule de veille ; elle indique identifier chaque année 150 000 contenus pédopornographiques et terroristes. Comment sa surveillance constante se traduit-elle très concrètement dans le suivi des signalements ?

Mme Cécile Augeraud. - Toutes nos demandes de retrait relatives aux contenus pédopornographiques et terroristes font l'objet d'un contrôle a posteriori de l'Arcom qui ne mène pas d'actions de détection.

M. Patrick Chaize, rapporteur. - Que pensez-vous de la création, prévue à l'article 6 du projet de loi, d'un filtre national de cybersécurité à destination du grand public ? Les dispositifs déjà existants de filtrage et de retrait sont-ils suffisamment efficaces ?

Comment l'OCLCTIC et la plateforme Pharos sont-ils associés au déploiement du filtre national de cybersécurité grand public ?

Le champ des infractions visées par la base commune de recensement des sites frauduleux vous semble-t-il adapté et suffisant, notamment en matière d'usurpation d'identité ou de collecte de données ? Des infractions supplémentaires correspondant à d'autres actes de cybermalveillance devraient-elles être ajoutées ?

Vous avez évoqué un risque de ralentissement de votre action en raison des futures règles européennes. En avez-vous déjà mesuré les conséquences sur vos missions ?

Les plateformes Pharos et Thésée font-elles l'objet d'opérations de communication à destination du grand public ? Il me semble que ce point devrait faire l'objet d'améliorations.

Mme Cécile Augeraud. - Le filtre anti-arnaques concernera les deux plateformes, surtout Thésée. La création d'un tel filtre est indispensable, tant les usages numériques et la consommation en ligne ont augmenté depuis la crise sanitaire.

Des filtres existent déjà, notamment Signal Spam, la plateforme 33 700, qui lutte contre les appels et les SMS indésirables ou encore le site cybermalveillance.gouv.fr. Je ne suis pas en mesure d'évaluer ces dispositifs. Cela dit, nous constatons que Pharos a recueilli en 2022 plus de 11 160 signalements de phishing. Pour sa part, Thésée a reçu plus de 120 000 déclarations depuis son ouverture. Il faut donc adapter nos moyens de lutte à l'ampleur du phénomène et au nombre de victimes. Le Gouvernement a déterminé une politique ambitieuse afin de mieux lutter contre la cybercriminalité.

Tel qu'il est prévu aujourd'hui, le dispositif du projet de loi ne prend pas en compte un élément central, à savoir les faux sites de vente qui ne sont pas le « miroir » d'un site existant. Or, grâce à Thésée, nous avons recensé plus de 1 500 faux sites, avec plus de 32 000 plaintes, soit autant de victimes : c'est considérable. Certes, les préjudices sont souvent faibles, mais les conséquences peuvent être dramatiques. En raison de la hausse des prix des matières premières, de nombreux internautes se sont reporté l'hiver dernier sur les sites d'achat de bois, pensant ainsi diminuer leur facture, mais les faux sites avaient fleuri. Or ces victimes connaissaient déjà des difficultés financières.

Nous avons été associés à tous les travaux du filtre anti-arnaques depuis le mois d'octobre, notamment sur la détermination du périmètre. Nous déplorons que le périmètre évoqué initialement n'ait pas été retenu, notamment pour ce qui concerne les faux sites de vente. On ne pourrait en effet traiter que les faux sites de vente usurpant l'identité de vrais sites. Ces affaires ne représentent qu'une part très limitée des infractions constatées sur Thésée, puisque nous n'avons enregistré que quarante cas de faux sites depuis sa création en mars 2022.

M. Loïc Hervé, rapporteur. - Pourquoi ?

Mme Cécile Augeraud. - Sans doute s'agit-il d'une volonté de tester le filtre anti-arnaques avant d'envisager, dans un second temps, un élargissement de son périmètre.

Dans la mesure où le règlement TCO vient juste d'entrer en vigueur et que la proposition de règlement ASM n'en est qu'au stade des discussions, je ne suis pas capable d'évaluer les dispositifs qu'ils contiennent ni d'apprécier l'impact qu'ils auront sur Thésée.

Nous cherchons à développer la communication à l'égard du grand public. Vu le nombre de signalements reçus sur Pharos, il n'est pas possible de faire un retour à chaque personne, et ce ne sera pas possible demain non plus. En revanche, une communication plus globale, par thèmes, sur le nombre de retraits de contenus que nous avons obtenus ne peut qu'accroître la notoriété de la plateforme.

Mme Annick Billon. - La délégation aux droits des femmes a travaillé sur l'industrie de la pornographie. Avec Laurence Rossignol, Alexandra Borchio Fontimp et Laurence Cohen, nous avons publié un rapport sur le sujet. Il existe une porosité entre pornographie, prostitution et proxénétisme. Certaines vidéos comportent des actes d'inceste, de barbarie, de racisme, de viol, etc. Il n'est pas nécessaire de visionner les vidéos, la seule lecture des titres et des rubriques des sites pornographiques suffit. La lutte contre les violences pornographiques est insuffisante. Pensez-vous que la création d'une troisième branche au sein de Pharos consacrée aux tortures, aux actes de barbarie et aux violences sexuelles serait utile pour augmenter le nombre de signalements et mieux agir contre ces images illicites ?

Notre arsenal législatif doit-il être complété pour qualifier ces vidéos pornographiques qui mettent en scène, conformément d'ailleurs souvent à la réalité du tournage, des actes de torture, de barbarie ou de viol ? Nous avions proposé d'assermenter les agents de l'Arcom afin de leur permettre de constater eux-mêmes les infractions commises par les sites pornographiques accessibles aux mineurs. Est-ce suffisant pour accélérer les procédures de retrait ou de blocage de ces sites ? Les moyens de l'Arcom sont-ils suffisants selon vous pour répondre à toutes vos demandes dans un temps limité ?

Deux affaires sont en cours devant la justice grâce à l'action des associations : les affaires « French Bukkake » et « Jacquie et Michel ». Disposez-vous des moyens d'enquête suffisants pour avancer sur ces sujets ?

Mme Laurence Rossignol. - Comment définissez-vous la pédocriminalité ? Quels critères retenez-vous ? Faites-vous une distinction entre pédocriminalité et pédopornographie ? Enfin, existe-t-il une convergence au niveau européen sur ces sujets, sur la définition de la pédocriminalité et sur la volonté de purger le net, autant que possible, de ces vidéos ?

M. Laurent Somon. - Comment travaillez-vous avec la gendarmerie, qui a mis en place une application Gend'Élus, laquelle renvoie vers d'autres sites comme cybermalveillance.gouv.fr ou stop-djihadisme.gouv.fr, ou avec la DGCCRF, qui anime le site info-conso.fr ?

M. Pierre-Antoine Levi. - Le projet de loi prévoit d'alourdir les sanctions contre le cyberharcèlement, avec notamment une peine complémentaire de bannissement des réseaux. Pourriez-vous nous donner plus de détails sur la manière dont l'Office compte faire appliquer ces bannissements ? Quels mécanismes seront mis en place pour garantir le respect de ces interdictions ? Enfin, comment envisagez-vous de travailler avec les plateformes de médias sociaux et les autres acteurs pour assurer l'efficacité de ces mesures ?

Mme Cécile Augeraud. - La sémantique est importante. En France, nous avons toujours parlé de pédopornographie et de contenus à caractère pédopornographique. Nous constatons un glissement de langage vers la pédocriminalité. Quoi qu'il en soit, il s'agit toujours d'actes délictuels. Tous les contenus visibles en ligne présentant des actes à caractère sexuel impliquant des mineurs ont un caractère illicite.

Vous avez dit qu'il n'était pas nécessaire de regarder certaines vidéos pour se convaincre de leur caractère illicite, dans la mesure où leur titre serait suffisamment explicite. Certes, mais, en tant que policiers, nous devons les visionner pour pouvoir caractériser les faits.

Nos moyens d'enquête sont importants : ils nous permettent de mener aussi bien des enquêtes sur le fondement des signalements qui nous sont adressés en matière de pédopornographie ou de pédocriminalité, que des enquêtes sous pseudonyme, puisqu'un certain nombre de nos agents sont habilités à procéder à ce type d'investigation visant à détecter des comportements illicites impliquant des mineurs sur les réseaux sociaux. Nous avons ainsi réussi, dans certaines affaires, à faire condamner des individus jusque-là inconnus des services d'enquête.

Les affaires que vous avez citées ne sont pas du ressort de Pharos. L'une d'entre elles a été traitée par la section de recherches de Paris. Pharos n'est pas un service d'enquête de dernier niveau. Notre rôle est d'amorcer les enquêtes afin d'identifier les individus qui se cachent derrière tel ou tel pseudonyme sur Internet, afin de pouvoir transmettre ensuite le dossier au service de police ou de gendarmerie territorialement compétent.

Certains de nos voisins européens, notamment les Pays-Bas, ont une définition plus limitée de la pédocriminalité et de la pédopornographie, ce qui aboutit parfois à des divergences de points de vue sur les contenus susceptibles d'être retirés. On l'a constaté dans une affaire concernant des hébergeurs de contenus manifestement pédopornographiques installés aux Pays-Bas : l'appréciation des autorités néerlandaises était très différente de la nôtre. Il n'y a donc pas d'homogénéité au niveau européen, même s'il existe un consensus global sur le caractère intolérable de la diffusion de contenus pédopornographiques en ligne. On obtient ainsi des retraits de contenus dans 95 % des cas.

Notre action est essentiellement concentrée sur la pédopornographie : en 2022, sur les 89 000 demandes de retrait, 83 % d'entre elles concernaient la pédopornographie.

Sur les moyens de l'Arcom, je ne me permettrai pas de répondre pas en lieu et place de Laurence Pécaut-Rivolier. L'Arcom est la seule apte à juger des moyens qui sont mis à sa disposition.

Mme Catherine Morin-Desailly, présidente. - Mme Pécaut-Rivolier est bien seule !

Mme Cécile Augeraud. - Effectivement, mais elle est entourée de personnes auxquelles nous apportons notre concours et que nous rencontrons régulièrement. Ses équipes sont, comme les miennes, soumises à la difficulté de visionner en permanence des contenus très difficiles. J'y insiste, pour les policiers c'est tout aussi difficile que pour les membres de l'Arcom. Je rappelle que les personnels de Pharos font l'objet d'un suivi psychologique obligatoire.

La plus grande difficulté de l'Arcom, c'est de visionner l'ensemble des contenus. Cette autorité joue pleinement son rôle de contrôle et vérifie chaque contenu pour lesquels nous sollicitons un retrait - et le volume est très important. Pour que les équipes puissent déconnecter de temps en temps, il faut qu'elles soient en effectifs suffisants.

Mme Catherine Morin-Desailly, présidente. - Nous avons auditionné longuement Mme Pécaut-Rivolier, nous connaissons bien le sujet.

Mme Annick Billon. - En lien avec la question de Patrick Chaize sur l'information de Pharos à destination du public, les rubriques de la plateforme sont-elles suffisamment explicites ? D'autres rubriques devraient-elles être créées pour de meilleurs signalements ?

Mme Cécile Augeraud. - Nous avons modifié en avril 2022 l'interface de Pharos pour la rendre plus ergonomique. Nous avons également simplifié, à la demande d'un certain nombre d'internautes, de parlementaires et de partenaires, certaines rubriques. Nous créons une nouvelle rubrique lorsqu'émerge un besoin particulier non couvert par les rubriques existantes. Je pense notamment à la dernière que nous venons d'ajouter, celle liée à la maltraitance animale. L'ensemble des rubriques semble pouvoir répondre aux demandes d'une grande majorité d'internautes. Le nombre de signalements sur la plateforme en est la preuve.

Mme Laurence Rossignol. - Je vous ai demandé quels étaient les critères pour établir la pédocriminalité ou la pédopornographie - je constate comme vous, le glissement de vocabulaire qui crée une certaine confusion. Est-ce la présence d'un mineur de moins de 18 ans ? Pour être très claire, lorsque vous avez été auditionnée devant le Haut Conseil à l'égalité, vous avez indiqué que l'identification de la minorité se faisait sur des critères d'apparence, liés à des signes de puberté. Est-ce bien cela ? Votre réponse a suscité bon nombre d'interrogations chez les personnes engagées dans la lutte contre la pédopornographie. Mais peut-être y a-t-il eu un malentendu dans la manière dont les choses ont été perçues et retranscrites ?

Mme Cécile Augeraud. - Lors de cette audition, j'ai dit que nous appliquions les critères définis par Interpol, qui héberge la plateforme recensant la majorité des images à caractère pédopornographique. Lorsque nous avons de nouveaux contenus à caractère pédopornographique, nous les transmettons pour alimenter la plateforme d'Interpol.

Nous nous fondons donc sur ces critères, dont celui que vous venez d'évoquer, mais nous ne nous contentons pas de ça. Comme je l'ai expliqué, Pharos fait un travail proactif, complété par de la recherche en sources ouvertes. Les policiers ou gendarmes de la plateforme essayent de retrouver en source « ouverte » des images des jeunes filles ou jeunes garçons mis en scène dans les vidéos dont nous disposons afin d'obtenir des éléments permettant de déterminer leur âge. Quand nous avons un doute extrêmement sérieux, nous contactons Europol, Interpol, et nous travaillons en concertation avec l'Office central pour la répression des violences aux personnes qui traite de tout ce qui relève de la pédocriminalité - un office « mineurs » est en cours de création.

Sur les arnaques commerciales, Gend'Élus est un outil parmi tant d'autres. Nous avons une démarche collective et guidée. Nous considérons qu'une victime ne doit pas avoir à chercher l'endroit où elle pourra faire son signalement ou son dépôt de plainte. Nous travaillons avec de très nombreux partenaires - avec la gendarmerie nationale bien sûr, puisqu'elle est partie prenante à la plateforme Pharos, mais également avec le site cybermalveillance.gouv.fr, la DGCCRF, etc. Le site cybermalveillance.gouv.fr renvoie vers Thésée et Pharos, tout comme le site masecurite.interieur.gouv.fr, commun à la police et à la gendarmerie. La démarche de la victime est guidée pour qu'elle n'ait pas à tout recommencer si elle s'est trompée de site.

Le travail en collaboration avec la DGCCRF est très profitable pour nous. Elle est, avec cybermalveillance.gouv.fr, l'un des premiers partenaires pour Thésée, puisque ses personnels font un travail de recensement et de détection et qu'ils initient une sorte de travail d'enquête, même si leurs moyens restent limités. Ils nous ont aidés à aboutir sur des enquêtes, et nous les aidons également dans leurs démarches.

Sur le bannissement des réseaux, celui-ci se fera sur le fondement d'une décision judiciaire. L'avantage de cette mesure, c'est qu'elle permet de supprimer non pas seulement le compte concerné, mais l'ensemble des comptes qui pourraient être créés sur une plateforme. L'inconvénient, c'est le non-échange entre les différents réseaux sociaux. Pour davantage d'efficience, il faudrait bannir la personne sur l'ensemble des réseaux à un instant T, car il est extrêmement facile d'aller recréer un compte ailleurs.

Il faudrait lutter de manière plus importante contre l'utilisation d'adresses mails jetables et d'adresses IP Tor, associée à des numéros virtuels Onoff. Autant de dispositifs qui visent à camoufler une identité et qui complexifient considérablement notre action. S'il semble impossible d'interdire complètement l'utilisation de ces dispositifs - certaines personnes ont besoin d'anonymat -, il faudrait peut-être soumettre cette utilisation à la justification d'un besoin d'anonymat. Certaines plateformes et certains réseaux sociaux sont plus coopératifs que d'autres.

M. Patrick Chaize, rapporteur. - Si l'on imposait une identité numérique réelle à tous les sites, réglerait-on une grande partie du problème ?

Mme Cécile Augeraud. - Je le pense, mais c'est sûrement un voeu pieux. Il me semble assez difficile d'imposer une telle régulation : elle pourrait être assimilée à une censure trop importante. Néanmoins, l'utilisation cumulée et régulière de tous les dispositifs que j'ai cités est un véritable sujet.

M. Pierre-Yves Lebeau. - Le projet de loi prévoit le bannissement des individus multirécidivistes de la diffusion de contenus illicites. Les plateformes et les réseaux sociaux voient arriver la création de certains comptes à l'aide des outils qui permettent de s'anonymiser, tels que Tor et les adresses e-mail jetables. Ils peuvent être proactifs, mais encore ont-ils besoin d'une sécurité juridique pour empêcher la création de nouveaux comptes utilisés pour commettre des infractions.

Mme Catherine Morin-Desailly, présidente. - Je vous remercie pour le très bon travail que vous faites. J'ai pu constater que la France est à la pointe sur ce sujet au niveau européen.

Audition de Jean-Noël Barrot,
ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications

Jeudi 8 juin 2023

Mme Catherine Morin-Desailly, présidente. - Messieurs les rapporteurs, chers Loïc Hervé et Patrick Chaize, mes chers collègues membres de la commission spéciale, nous sommes aujourd'hui réunis pour recevoir Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications.

Monsieur le ministre, je vous remercie d'avoir pu vous rendre disponible dans un délai assez court pour venir présenter devant les membres de notre commission spéciale ce projet de loi que vous allez porter devant nous dans quelques semaines.

Monsieur le ministre, le Sénat a choisi de constituer une commission spéciale sur ce texte. Elle rassemble des membres de toutes les commissions permanentes, ce qui est assez rare. C'est dire la transversalité du sujet et cela met en exergue le fait que les sujets présents dans votre texte remplissent un large espace qui mobilise toutes les compétences du Sénat.

Ces compétences, justement, je crois que vous avez pu largement les mesurer dans le domaine du numérique. Notre assemblée a été très active dans le cadre des négociations sur les projets de règlement sur les services et les marchés numériques, avec des résolutions européennes adoptées à l'unanimité. Le Sénat a également apporté des contributions décisives au débat sur la protection de l'enfance, avec le rapport sur l'industrie pornographique de la Délégation aux droits des femmes et une nouvelle résolution européenne sur les abus sexuels sur les enfants, ou encore sur la souveraineté économique, avec le rapport de juillet 2022 de la commission des affaires économiques.

Le Sénat appelle de ses voeux une réelle régulation d'Internet, non seulement pour des raisons de souveraineté nationale et européenne, mais aussi pour donner un cadre à un espace qui fait souvent figure de véritable jungle, avec de graves dysfonctionnements : harcèlement sur des enfants, cybersécurité, pornographie, manipulation d'informations, attaques contre le secteur économique...

Je crois pouvoir dire que la voix du Sénat a été entendue, et nous reconnaissons dans les règlements européens et dans le projet de loi de nombreux éléments que nous avions défendus. Nous aurions aimé aller plus loin, mais c'est déjà un motif de satisfaction.

Vous devez, mais je crois que vous y prendrez plaisir, vous attendre à un débat de fond avec de vrais experts, à commencer par les rapporteurs, un débat comme le Sénat sait les mener, et qui nous permettra de donner une nouvelle preuve de la cohérence de nos positions.

Je vous propose donc l'organisation suivante pour nos débats : je vais vous laisser une dizaine de minutes pour nous présenter les grandes lignes de votre projet de loi, puis je donnerai la parole successivement à Patrick Chaize et Loïc Hervé, nos deux rapporteurs, pour des questions. L'ensemble des membres de la commission spéciale pourra alors engager le dialogue avec vous.

Je précise que nos débats sont retransmis en direct sur le site du Sénat.

Monsieur le ministre, je vous donne la parole.

M. Jean-Noël Barrot, ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications. - Merci beaucoup madame la présidente. Messieurs les rapporteurs, mesdames et messieurs les sénateurs, c'est un grand honneur et un grand plaisir d'être parmi vous aujourd'hui. Je vous remercie pour votre invitation, notamment la présidente Catherine Morin-Desailly, ainsi que les rapporteurs Patrick Chaize et Loïc Hervé.

La commission spéciale qui s'est constituée est une assemblée d'experts dont les travaux ont fortement nourri ce projet de loi. Je pense particulièrement aux travaux sur l'industrie de la pornographie (chantier transpartisan d'ampleur), qui ont souligné le potentiel de régulation du secteur. Un grand nombre des recommandations ont été reprises dans le projet de loi. Je remercie Alexandra Borchio Fontimp, Annick Billon, Laurence Rossignol et Laurence Cohen pour leurs travaux. Je voudrais également saluer les rapports de Mme Florence Blatrix Contat et de la présidente, notamment sur les enjeux et les ambitions relatifs au règlement DSA (règlement sur les services numériques et sur les marchés numériques), ainsi que le travail de Sophie Primas sur les enjeux et propositions d'action en vue d'accroître notre souveraineté numérique, notamment sur le marché de l'hébergement en nuage.

Je pourrai citer également les travaux de :

- Rémi Cardon et Anne-Catherine Loisier sur la cybersécurité ;

- Catherine Morin-Desailly, Patrick Chaize, Loïc Hervé, Sylvie Robert et Pierre Ouzoulias sur les sujets de concurrence et de souveraineté économique ;

- Alexandra Borchio Fontimp, Marie Mercier, Xavier Iacovelli et Pierre-Jean Verzelen en matière de lutte contre la haine en ligne ;

- Sylviane Noël sur le contrôle parental ;

- André Gattolin, Catherine Morin-Desailly, Cyril Pellevat et Elsa Schalck sur l'intelligence artificielle, qui constituent un autre sujet d'actualité, même s'il n'est pas traité directement dans le texte.

L'insécurité que nos concitoyens rencontrent au quotidien sur Internet sape leur confiance dans le numérique. Tous les Français sont concernés, particulièrement les plus vulnérables. Nos concitoyens les plus modestes, les plus âgés, les plus éloignés du numérique sont les proies privilégiées des cybercriminels. Nos enfants subissent en ligne des attaques brutales contre leur innocence. Nos entreprises également - que la loi du plus fort place dans la dépendance des géants du numérique -, sont concernées, ainsi que notre démocratie dans son ensemble, soumise aux coups de boutoir incessants des professionnels de la désinformation.

Face à l'accumulation de ces désordres, qui viennent parfois questionner, aux yeux de nos concitoyens, la pertinence de la transition numérique, la France a montré la voie, ces dernières années, au plan national, à travers des textes pris pour lutter contre la désinformation ou protéger l'enfance en ligne. Au niveau européen, la France, notamment, a porté des projets de règlement. Au niveau international, notre pays a pris part à des initiatives multipartites comme l'appel de Christchurch ou le Forum de Paris sur la paix, qui ont permis, à défaut d'ériger des règles contraignantes, d'éveiller la conscience mondiale sur certaines de ces questions.

Avec ce projet de loi, que la Première ministre a souhaité inscrire à l'ordre du jour parlementaire avant l'été, et qui a vocation à être enrichi et renforcé au Parlement, l'objectif est d'apporter des réponses concrètes aux inquiétudes, aux difficultés et aux souffrances que le numérique peut parfois causer dans la vie quotidienne de nos concitoyens.

Ce projet de loi s'est formé à partir des trois affluents que vous avez rappelés, madame la présidente.

Il s'agit d'abord des règlements européens que la France a portés l'an dernier, lorsqu'elle présidait l'Union européenne, pour mettre fin aux abus du numérique, qui nécessitent que nous prenions des mesures d'adaptation afin qu'ils puissent correctement s'appliquer dans notre pays. Le règlement sur les services numériques (DSA) fait entrer les grandes plateformes dans l'ère de la responsabilité :

- en leur imposant des obligations de modération des contenus qui leur sont signalés ;

- en leur enjoignant à analyser et corriger le risque systémique qu'elles font peser sur le bien-être et la santé de leurs utilisateurs ainsi que sur la qualité du débat public ;

- en leur interdisant de proposer de la publicité ciblée sur les mineurs, notamment ;

- en les contraignant à faire auditer leurs algorithmes et à ouvrir leurs données aux chercheurs.

Certaines des dispositions prévues par ce règlement ont d'ores et déjà été mises en oeuvre par les géants du numérique. Il s'agit d'un compromis européen qui n'est peut-être pas allé aussi loin que ce que la France aurait souhaité, mais qui a la force du compromis européen. Il prévoit un régime de sanctions extrêmement lourd en cas de manquements par les entreprises concernées par ces obligations, avec des amendes pouvant aller jusqu'à 6 % du chiffre d'affaires mondial et une exclusion de l'Union européenne en cas de manquements répétés.

Le règlement sur les marchés numériques (DMA) a pour objet de rétablir l'équité commerciale dans l'économie numérique et de favoriser ainsi l'émergence d'acteurs français et européens, en fixant 26 interdictions qui correspondent à des pratiques commerciales déloyales. C'est le cas par exemple de l'auto-préférence qui consiste, pour l'éditeur d'un moteur de recherche, par exemple, à faire remonter plus haut dans les résultats des contenus produits par une entreprise avec laquelle cet éditeur de moteur de recherche est lié. Cette pratique est déloyale. Elle sera désormais interdite.

Un autre exemple est la pratique qui consiste, pour le vendeur d'un smartphone, à y préinstaller le moteur de recherche, le navigateur et l'assistant personnel. Il y a là une pratique déloyale, puisque c'est de la vente liée. Un autre éditeur d'un moteur de recherche ne peut alors prendre pied sur le marché, tant celui-ci est verrouillé.

Citons aussi l'utilisation à des fins publicitaires, par l'éditeur d'un réseau social, de contenus ou de données collectés sur un autre service édité par la même entreprise du numérique. Il y a là aussi une forme d'accaparement du marché et donc une pratique commerciale déloyale.

Auparavant, ces pratiques déloyales étaient constatées et sanctionnées a posteriori, souvent des années plus tard, par les autorités de la concurrence. Désormais, les 26 interdictions sont faites par le règlement a priori, sans attendre un délai éventuel de plusieurs années d'instruction de la plainte.

Il faut également souligner la puissance des sanctions, qui peuvent atteindre 10 % du chiffre d'affaires mondial la première fois, puis 20 % en cas de manquements répétés.

Les travaux parlementaires (députés et sénateurs de toutes les sensibilités politiques) ont également nourri ce projet de loi. Je citais tout à l'heure le rapport d'Annick Billon, Alexandra Borchio Fontimp, Laurence Cohen et Laurence Rossignol sur l'exposition des mineurs à la pornographie. Je voudrais citer également le rapport d'Amel Gacquerre, Franck Montaugé et Sophie Primas sur la souveraineté économique. Il comporte un chapitre dédié à la souveraineté numérique et a inspiré les mesures concernant le marché du cloud.

Le troisième affluent réside dans les consultations menées, notamment dans le cadre du Conseil national de la Refondation. Le texte instaure des protections nouvelles pour nos concitoyens, pour nos enfants, nos entreprises et collectivités et pour la démocratie.

Au chapitre des mesures visant à protéger nos concitoyens figure notamment le filtre anti-arnaques, qui servira de rempart contre les campagnes de mails et de SMS frauduleux. Nous avons tous reçu un SMS prétendument du Compte personnel de Formation ou de la Sécurité sociale nous invitant à suivre un lien malveillant. C'est ainsi que 18 millions de Français ont été victimes de cybercriminalité l'an dernier, dont la moitié ont perdu de l'argent. Ce sont les Français les plus fragiles, les plus démunis, les plus éloignés du numérique qui se retrouvent spoliés de leurs économies ou entraînés dans la spirale infernale de l'usurpation d'identité, dont ils mettent parfois une décennie à pouvoir sortir. Il faut donc couper le mal à la racine et dévitaliser le commerce de ces mafias qui se sont professionnalisées, et qui ont fait de nos smartphones et tablettes l'instrument de leur racket.

Une peine complémentaire de bannissement des réseaux sociaux est également prévue, durant six mois, pour les personnes reconnues coupables par le juge de cyberharcèlement. Ce phénomène, comme vous le savez, se développe massivement. Il touche toutes les catégories d'âge, plus particulièrement les femmes, qui sont 27 fois plus exposées au cyberharcèlement que les hommes. C'est une violence dont nos consultations ont montré qu'elle se délocalise dans l'espace physique, puisque le cyberharcèlement peut muter en harcèlement physique alors qu'il a commencé sur les réseaux sociaux. Les responsables sont une minorité d'internautes qui se comportent en chefs de meute et propagent la haine et la violence sur les réseaux sociaux, en désignant à leur communauté des victimes vers lesquelles ils déclenchent des raids de haine et de violence. Cette mesure les frappera là où cela fait mal, en les privant de leur caisse de résonance, en confisquant leur notoriété. À l'image de l'interdiction de stade, elle préviendra la récidive. C'est donc une peine complémentaire à une condamnation pour cyberharcèlement, pour une durée de six mois portée à un an en cas de récidive.

Je citerai un troisième exemple des mesures de protection de nos concitoyens instaurées par ce texte, à travers l'encadrement des nouveaux types de jeux en ligne. L'objectif est de définir un régime pionnier et protecteur des utilisateurs pour l'encadrement des jeux numériques fondés sur une technologie émergente du web 3, c'est-à-dire des registres distribués (blockchain) qui offrent les garanties nécessaires de protection des mineurs, de lutte contre le blanchiment et de lutte contre le financement du terrorisme, tout en permettant le développement en France de ce type d'activité.

Au chapitre de la protection de nos enfants, deux mesures sont prévues. Il s'agit d'abord du blocage, du déréférencement et d'amendes dissuasives prononcées par l'Arcom à l'encontre des sites pornographiques qui ne vérifient pas l'âge de leurs utilisateurs. Vous avez pu prendre connaissance comme moi de la publication de l'Arcom, il y a quelques jours, confirmant que deux millions d'enfants sont exposés chaque mois, dans notre pays, à des contenus pornographiques. À douze ans, la moitié des garçons de notre pays sont exposés à ces contenus dont nous voulons les préserver, tant les conséquences de cette exposition sont majeures sur leur santé (troubles du sommeil, troubles de l'attention, troubles de l'amélioration, développement de conduites à risque, hypersexualisation précoce, pour ne citer que ces conséquences possibles).

Les sites pornographiques ne vérifient en effet pas l'âge de leurs utilisateurs, malgré l'obligation qui leur est faite par la loi du 30 juillet 2020.

Il faut donc soustraire nos enfants au déferlement d'images pornographiques en accès libre sur Internet, déversées par des mercenaires cupides et irresponsables qui considèrent que les recettes publicitaires valent mieux que la santé de nos enfants. Une procédure est en cours. Le tribunal judiciaire de Paris rendra son verdict le 7 juillet prochain dans le cas de cinq sites pornographiques. Pour l'avenir, les mesures prévues par le projet de loi permettront d'agir plus vite et plus fort.

Une peine d'un an d'emprisonnement est également prévue, complétée par 250 000 euros d'amende, pour les hébergeurs qui ne retireront pas les contenus pédopornographiques qui leur sont signalés par la police ou la gendarmerie en moins de vingt-quatre heures, sur le modèle de la sanction qui s'applique en cas de non-retrait des contenus terroristes. Il existe aujourd'hui une obligation inscrite dans le droit, mais elle n'est pas sanctionnée par des peines, alors même qu'il s'agit d'un phénomène assez massif. Vos auditions passées et à venir vous confirmeront que l'an dernier, 72 000 demandes de retrait de contenus pédopornographiques ont été adressées aux hébergeurs, ce qui est considérable.

Pour les entreprises, le texte prévoit l'interdiction des frais de transfert, l'encadrement des avoirs commerciaux et l'interopérabilité sur le marché de l'informatique en nuage et de l'hébergement en nuage, c'est-à-dire le marché du cloud. Celui-ci est très concentré entre les mains d'une poignée d'entreprises qui abusent de leur position dominante, se livrent à des pratiques commerciales déloyales et placent nos entreprises dans une position d'assujettissement. Il faut en finir avec la loi du plus fort et libérer nos entreprises de ce joug. C'est un enjeu de souveraineté, ce qui constitue une priorité de l'action que nous menons avec Bruno Le Maire et l'une du Sénat également, je crois, à la lueur des rapports rendus sur ce sujet. J'ai fait référence à un certain nombre d'entre eux dans mon introduction. Inspirée par les travaux parlementaires, cette mesure permettra aux entreprises françaises de changer beaucoup plus facilement de fournisseur de cloud et de retrouver une forme de liberté en faisant jouer la concurrence.

Pour nos collectivités, il est prévu la création d'une base de données unique pour recenser l'activité des meublés de tourisme. Cette mesure pérennise une expérimentation initiée par la loi Elan, qui a associé cinq collectivités et cinq plateformes de location. Elle a vocation à permettre aux collectivités de mesurer de façon beaucoup plus simple la durée de location des meublés de tourisme sur leur territoire, de façon à faire respecter la limite des 120 nuitées par an.

Sur le plan de la protection de la démocratie, la capacité sera donnée à l'Arcom de mettre en demeure et d'ordonner le blocage des sites Internet diffusant des médias frappés par les sanctions internationales, comme celles que l'Union européenne a prises contre RT France et Sputnik. La désinformation sur Internet est une des menaces les plus lourdes qui pèsent sur la démocratie. Nous l'avons vu avec l'assaut sur le Capitole aux États-Unis et avec la montée des mouvements « antivax » qui aurait pu aggraver la situation sanitaire. Cette mesure complétera notre arsenal pour lutter efficacement et rapidement contre la propagande des ennemis de la démocratie, même si, en matière de lutte contre la désinformation, il faut toujours agir avec la main tremblante et dans le respect de la liberté d'expression.

Ce texte emprunte à vos travaux et a vocation à être enrichi par les travaux de cette commission spéciale et les travaux en séance. Nous soutiendrons des propositions qui pourraient naître dans ce cadre, avec deux lignes rouges. La première sera le respect des compromis trouvés au niveau européen : c'est grâce à ces compromis que nous allons obtenir collectivement des concessions très significatives des géants du numérique. En contrepartie de ces compromis, lorsque, au niveau des États membres, des dispositions sont adoptées et empiètent sur le champ de ces compromis européens, elles deviennent fragiles, car elles peuvent alors être contestées devant les juridictions européennes, qui ont donné raison de façon constante aux plaignants dans de tels cas.

Par ailleurs, face aux drames parfois vécus par nos concitoyens, nous pourrions être tentés d'aller très loin dans les protections que nous souhaitons instaurer dans l'espace numérique. Il nous faut être vigilants à ne pas aller trop loin dans l'empiètement sur les libertés fondamentales, qui constituent le socle de notre démocratie. Connaissant la sagesse du Sénat et son attachement aux libertés fondamentales, je suis convaincu que vous saurez améliorer, par vos travaux, le projet de loi qui vous est soumis.

Mme Catherine Morin-Desailly, présidente. - Merci, monsieur le ministre. Soyez assurés qu'au Sénat, nous tentons toujours de trouver le juste équilibre. Nous sommes attachés à la rigueur, mais aussi aux libertés fondamentales. Nous avons également bien conscience des limites de l'exercice, s'agissant de règlements européens d'application directe, mais souhaitons malgré tout travailler le mieux possible à l'amélioration du texte présenté ici.

Patrick Chaize va d'abord aborder le volet économique du projet de loi.

M. Patrick Chaize, rapporteur. - Vous indiquez, monsieur le ministre, que nous sommes dans un jeu d'équilibre entre la stricte adaptation du droit national aux règlements européens, alors que la communication gouvernementale se concentre sur les dispositifs nouveaux. Pouvez-vous nous préciser le périmètre que vous souhaitez donner à ce projet de loi, du fait de ces deux contraintes ?

Je vais poser une série de questions sur le filtre national de cybersécurité grand public. Le dispositif déjà existant de filtrage et de retrait des contenus illicites est-il suffisamment efficace ? Qu'est-ce qui justifie la mise en place d'un nouveau dispositif de filtrage des contenus pour les actes quotidiens de cybermalveillance ?

Pourquoi avoir choisi un dispositif de filtrage des contenus ordonné par voie administrative plutôt que par voie judiciaire ?

Le champ des infractions visées par ce dispositif vous semble-t-il adapté et suffisant ? Des infractions supplémentaires correspondant à d'autres actes quotidiens de cybermalveillance devraient-elles être ajoutées ?

Quelle sera l'autorité administrative désignée pour constater les infractions et notifier la mise en oeuvre des mesures conservatoires ? Plusieurs autorités administratives seront-elles concernées et, si oui, lesquelles ?

Que pensez-vous de la désignation de la Cnil comme garante du caractère proportionné et justifié des mesures prises par l'autorité administrative ?

M. Jean-Noël Barrot, ministre. - S'agissant du périmètre du texte, des mesures d'adaptation du droit national devaient être prises, afin que les règlements sur les marchés numériques, sur les services numériques et sur la gouvernance des données puissent être appliqués. Il ne faut pas sous-estimer l'importance de ces règlements, qui ont fait l'objet de travaux dans lesquels la France a joué un rôle moteur, et qui permettent de changer la donne, à condition qu'ils soient mis en oeuvre. Nous avons des échanges réguliers avec la Commission européenne, qui sera en première ligne pour les faire appliquer. Le poids du Marché unique est le seul susceptible de faire réellement évoluer les pratiques des géants du numérique. Le mérite de ces règlements est d'utiliser la force du Marché unique pour obtenir des concessions significatives de ces acteurs ou en tout cas une mise en conformité avec nos valeurs.

Si nous régulions en ordre dispersé dans l'Union européenne, les géants du numérique se joueraient des disparités nationales de nos régulations et procéderaient à des arbitrages en conséquence, ce qui pourrait favoriser par exemple des pratiques de dumping. Nous ne parviendrions pas à faire fondamentalement changer un certain nombre de pratiques, par exemple en matière de responsabilité sur les réseaux sociaux ou en matière d'équité commerciale.

Les dispositifs existants de filtrage et de retrait des contenus existants ont prouvé leur efficacité. La représentation nationale se penche régulièrement sur ces dispositifs, qu'ils opèrent par voie administrative ou judiciaire. Ils visent tous à protéger les internautes contre différentes catégories de contenus (contenus haineux, atteintes aux personnes, atteintes au droit d'auteur, apologie du terrorisme, désinformation en période électorale, etc.).

Cependant, aucun dispositif existant ne permet de couvrir le périmètre et l'objet de ce filtre national de cybersécurité, à savoir les sites intrinsèquement et ontologiquement cybermalveillants, créés par des cybercriminels pour leur permettre de conduire des opérations d'hameçonnage, c'est-à-dire de pillage des données personnelles ou d'injection de logiciels malveillants dans des terminaux pour détourner des moyens de paiement. Tel est l'objectif qui différencie le filtre anti-arnaques des dispositifs de filtrage existants.

Nous avons effectivement prévu un dispositif de filtrage par voie administrative plutôt que par voie judiciaire. Nous nous sommes basés sur une analyse précise et éclairée des phénomènes que nous souhaitions endiguer, ainsi que sur des comparaisons internationales. Aujourd'hui, une campagne d'hameçonnage s'orchestre en quelques clics et touche plusieurs centaines de milliers de nos concitoyens en quelques jours. Si vous avez reçu il y a quelques semaines de tels messages, je vous invite à cliquer sur les liens de ces faux SMS. Bien souvent, quelques jours après la réception du message, le site est d'ores et déjà désactivé : une fois que le cybercriminel a touché suffisamment de comptes, il fait disparaître le site. Il faut donc agir très rapidement, d'où la voie administrative, tout en entourant le dispositif de toutes les garanties et précautions requises. C'est la raison pour laquelle nous avons procédé à la rédaction de cet article.

Quant au champ des infractions visées, notre objectif a été double : nous inscrire dans les canons de la jurisprudence constitutionnelle, en prévoyant un champ d'application précis, afin de minimiser le risque d'atteinte aux libertés protégées par la Constitution. On va automatiquement rediriger des internautes vers une page sécurisée. Il s'agit aussi de nous conformer de la façon la plus stricte à l'esprit de la mesure : il s'agit d'un outil de protection cyber, qui doit donc être limité à la lutte contre la cybercriminalité. Tel est le sens des infractions que nous avons retenues, généralement mobilisées par le juge lorsqu'il est saisi dans une affaire d'hameçonnage. Quant à savoir s'il faut en ajouter d'autres, nous sommes ouverts à la réflexion, à condition que cela ne dénature pas le dispositif, qui n'a pas vocation à filtrer de façon aveugle tous les contenus à problèmes sur Internet, mais bien ceux qui visent à piller les internautes de leurs données personnelles ou bancaires.

S'agissant de l'autorité administrative désignée pour constater les infractions, le champ d'application du dispositif porte sur des objets qui sont parfois à cheval sur les compétences de plusieurs autorités administratives. Dès lors, plusieurs de ces autorités seront sollicitées. Je pense à l'Agence nationale de sécurité des systèmes d'information (Anssi), au groupement d'intérêt public Action contre la cybermalveillance (Acyma), à la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), au Commandement de la gendarmerie dans le cyberespace (COMCyberGend) ou à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) ainsi qu'à des autorités administratives indépendantes telles que l'Autorité des marchés financiers (AMF), l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Autorité nationale des jeux (ANJ), qui chacune reçoit ponctuellement des notifications de sites identifiés comme malveillants. L'objectif est de mutualiser l'information reçue en temps réel par l'ensemble de ces structures et, au travers du filtre anti-arnaques, diffuser cette information le plus rapidement possible aux fournisseurs d'accès Internet afin qu'ils puissent mettre en oeuvre le filtre et éviter ce type de cyber-arnaques.

Il nous a paru souhaitable que la Cnil soit associée à ce filtre anti-arnaques, s'agissant d'un régulateur qui est au fait des enjeux de liberté sur Internet et soucieux de la protection de la vie privée des utilisateurs, bien que le filtre n'ait pas vocation à faire intervenir des traitements de données personnelles. Nous n'avons pas décidé unilatéralement de confier cette responsabilité à une personnalité qualifiée rattachée à la Cnil. Nous l'avons fait dans le cadre d'un dialogue avec la Cnil elle-même et pris en compte ses observations sur le dispositif, ainsi que son souhait d'en contrôler l'application. Je pense que la Cnil pourra vous le confirmer lors de son audition.

Mme Catherine Morin-Desailly, présidente. - Abordons le deuxième chapitre, celui de la régulation du marché de l'informatique en nuage. Monsieur le rapporteur, vous avez la parole.

M. Patrick Chaize, rapporteur. - Un encadrement des crédits de l'informatique en nuage est-il prévu à l'échelle européenne ou s'agit-il d'une initiative française ? Autrement dit, n'y a-t-il pas un risque de pénaliser injustement les opérateurs français et leur activité sur notre territoire, si nous sommes les seuls à anticiper l'application du Data Act ou à adopter des dispositions plus restrictives ?

S'agissant de l'encadrement de l'informatique en nuage, pourquoi la durée maximale de validité et les conditions de renouvellement ne sont-elles pas fixées par la loi ? Quelle durée et quelles conditions de renouvellement recommanderiez-vous ?

Pourquoi maintenir des frais de migration facturés lorsqu'une entreprise change définitivement de fournisseur de cloud, alors que les autres frais sont supprimés ? Comment ces dispositions s'articulent-elles avec le Data Act, qui prévoit une période de trois ans pour la suppression de ces frais ?

Concrètement, qu'est-ce que l'interopérabilité des services du cloud ? Pourquoi n'est-ce pas défini et précisé dans la loi ? Qu'est-ce que la portabilité des services du cloud ? Pourquoi n'est-ce pas précisé et défini dans la loi ?

Enfin, que pensez-vous du rôle attribué à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), du renforcement de ses pouvoirs de sanction, d'enquête et de règlement des litiges ? Est-ce suffisant ? Nous sommes un peu sceptiques quant à sa capacité à assurer cette régulation supplémentaire.

Mme Catherine Morin-Desailly, présidente. - Nous sommes extrêmement attentifs à ces questions, ici au Sénat, monsieur le ministre, eu égard notamment au rapport de Mme Primas et de ses co-auteurs.

M. Jean-Noël Barrot, ministre. - S'agissant de l'encadrement des crédits d'informatique en nuage, la réponse est non : cette disposition n'est pas prévue à ce stade dans le règlement sur les données en cours de discussion au niveau européen, dans le cadre de trilogues (Commission européenne, Parlement, Conseil européen).

L'interdiction des frais de transfert et l'interopérabilité figurent dans le règlement sur les données. Le texte prévoit des clauses d'extinction : dès lors que le règlement sur les données s'appliquera de plein droit, les dispositions contenues dans le projet de loi s'éteindront.

Nous avons introduit les crédits d'informatique en nuage dans le texte, suivant en cela les recommandations des rapports que vous venez de citer. Cette proposition nous semblait en effet pertinente dès lors que l'objectif, ici, est de déverrouiller un marché sur lequel quelques acteurs se sont octroyé une position de monopole en offrant des avoirs commerciaux à l'entrée qui s'apparentent à une forme de dumping. Ils empêchent ou du moins compromettent l'arrivée de nouveaux acteurs sur ce marché. À la sortie, des frais de transfert parfois démesurés sont facturés. Ce sont donc, à l'entrée et à la sortie, des pratiques déloyales mises en oeuvre par les acteurs dominants, qui éliminent toute forme de concurrence, plaçant les entreprises utilisatrices dans une situation de grande dépendance.

Comme je le soulignais, les compromis européens ne sont pas toujours pleinement satisfaisants, mais ils présentent le mérite de bénéficier de la puissance du Marché unique. Dans le règlement sur les données ne figurent pas les crédits d'informatique en nuage, mais une mesure nous semble pouvoir être prise au plan national sans entrer dans le champ d'application du règlement sur les données. Nous l'avons vérifiée. C'est la raison pour laquelle cette disposition figure dans le texte.

Ensuite se pose la question de la durée de validité de ces avoirs d'informatique en nuage. Deux possibilités s'offraient à nous. La première aurait consisté à supprimer ou plafonner ces crédits. Nous avons écarté cette possibilité, dans la mesure où de nombreuses entreprises utilisatrices de ces crédits commerciaux sont de jeunes entreprises innovantes pour lesquelles ils peuvent s'apparenter à une forme de financement. Nous avons retenu le principe d'un encadrement dans le temps. Plutôt que de brider les montants qu'une jeune entreprise innovante pourrait solliciter pour cofinancer son développement, cela permet de faire apparaître ces crédits commerciaux pour ce qu'ils sont, c'est-à-dire une forme d'échantillonnage.

Se pose la question de la durée de validité, que le texte renvoie aux décrets. Je crois qu'il est nécessaire d'essayer de faire en sorte que ces avoirs commerciaux demeurent une forme d'échantillon, pour tester la solution de tel ou tel et non rester avec lui durant des années, au point d'être, à un moment donné, enfermé dans la solution d'un acteur dominant. Une durée de validité relativement courte, de trois à six mois, nous paraît donc un point de départ intéressant. Cela suppose sans doute quelques discussions complémentaires. Aussi avons-nous proposé que cela passe par voie réglementaire.

Pourquoi maintenir les frais de migration alors que le texte propose la suppression des frais de transfert ? Si le manque de transparence et de prévisibilité des frais de migration contribue à la dynamique d'enfermement sur le marché, ceux-ci peuvent correspondre à des coûts légitimes et incompressibles pour les fournisseurs de services. En particulier, les frais de migration varient de manière significative en fonction de la complexité du projet de migration considéré. La migration des données RH d'une PME mobilisera moins de ressources que la migration du système d'information d'une grande entreprise bancaire. Il peut ainsi y avoir des frais qui se justifient en cas de migration. Les autorités françaises ont défendu, dans le cadre de la négociation du règlement sur les données, un encadrement basé sur les coûts réels supportés par le fournisseur de services dans le cadre du processus de migration, afin d'éviter de faire peser un poids disproportionné sur les fournisseurs de services français et européens, qui seraient davantage impactés en raison de la difficulté à amortir ces coûts du fait de la plus petite taille de leur base de clients. L'interdiction de la facturation des frais au titre du transfert de données s'inscrit en pleine cohérence avec l'esprit de ce qui a été défendu au plan européen, c'est-à-dire une approche par les coûts. Une période transitoire est prévue, durant laquelle les fournisseurs ne pourront facturer des frais dépassant les coûts réels supportés au titre des transferts de données.

Au regard de la baisse constante du prix de la bande passante (principal coût lié au transfert de données) et des importantes divergences entre les pratiques des fournisseurs de services alternatifs et dominants, la suppression des frais de transfert de données apparaît comme la meilleure approximation du coût réel supporté par les fournisseurs de services.

Pourquoi la portabilité et l'interopérabilité ne sont-elles pas définies en tant que telles dans le texte ? L'interopérabilité repose sur la compatibilité des formats de données et sur l'accès à des interfaces permettant aux différents services de dialoguer et d'échanger des données, à l'instar des interfaces de programmation applicative (API). Ces principes d'interopérabilité et de portabilité ne peuvent trouver une définition satisfaisante qu'au travers de l'énonciation de spécifications techniques (nature des API, caractéristiques techniques, etc.). Les dispositions introduites dans le projet de loi, directement inspirées du projet de règlement européen sur les données, visent à définir, en lien étroit avec les utilisateurs et fournisseurs de services, les éléments techniques qui devront faire l'objet d'un travail de définition collective afin de rendre effectives l'interopérabilité et la portabilité entre les services de cloud. C'est donc l'Arcep qui sera le « régulateur » de cette interopérabilité et de cette portabilité.

Vous m'interrogez, monsieur le rapporteur, sur le rôle dévolu à l'Arcep. L'évolution constante du paysage numérique et de l'économie de la donnée crée un contexte dans lequel la proposition d'étendre le mandat de l'Arcep pour y inclure la régulation des services d'informatique en nuage est un choix logique et stratégique, l'Arcep ayant démontré une expertise notable dans les domaines de la régulation numérique, de la normalisation technique et de l'interopérabilité. Elle est donc bien positionnée pour assumer ces nouvelles responsabilités. Son expérience solide en gestion des sujets à enjeux économiques, dans le secteur des télécommunications, renforce cette proposition. Cette approche est alignée avec les objectifs du règlement sur les données, du règlement sur la gouvernance des données et converge avec la vision de la Commission européenne et de nos partenaires européens.

Évidemment, pour permettre à l'Arcep de répondre effectivement à ces nouvelles exigences, une augmentation de personnel est actuellement à l'étude dans le cadre du prochain projet de loi de finances.

Mme Catherine Morin-Desailly, présidente. - Y a-t-il des questions complémentaires sur la question de l'informatique en nuage ?

Mme Florence Blatrix Contat. - Cette dimension du texte me semble importante. Nous y avons longuement travaillé dans le cadre de notre rapport sur le DSA. C'est un marché stratégique, qui conditionne la souveraineté numérique et la compétitivité économique. Nous nous sommes rendu compte, au cours de nos auditions, que ce marché était très largement dominé par des opérateurs extra-européens, comme vous l'avez souligné. Même si les acteurs européens ont progressé en termes de chiffre d'affaires, leur part de marché a reculé, passant de 27 % à 13 % en cinq ans. Il faut mettre un frein à cette hémorragie pour nos entreprises.

Globalement, les PME (petites et moyennes entreprises) et ETI (entreprises de taille intermédiaire) sont encore peu présentes sur ce marché. Il y a donc un enjeu à permettre aux entreprises européennes d'y prendre pied. Ne pourrions-nous pas envisager de ne pas facturer les frais de migration aux PME et TPE (très petites entreprises) compte tenu de ces enjeux ? Pourquoi avez-vous écarté cette option ?

Mme Catherine Morin-Desailly, présidente. - Je prolonge cette question. Les grandes plateformes, pour capter des marchés, font des offres gratuites. Doit-on autoriser les offres gratuites, qui représentent une forme de dumping ?

M. Jean-Noël Barrot, ministre. - Madame la sénatrice, j'entends votre remarque. Le principal objectif poursuivi par ces articles est de permettre de déverrouiller un marché qui concerne aujourd'hui les grandes entreprises plutôt que les petites et moyennes, qui n'ont pas encore fait leur migration vers le cloud. Je propose d'examiner l'idée que vous soulevez, notamment afin d'avoir un ordre de grandeur des frais de migration s'appliquant aux PME qui sont en cours de migration vers le cloud. Je reviendrai donc vers vous avec un avis plus définitif quant à l'opportunité d'une différenciation du régime qui s'appliquerait à la migration selon la taille de l'entreprise.

Les offres gratuites me semblent s'apparenter à des avoirs commerciaux, madame la présidente. Elles me semblent donc tomber sous le coup de l'interdiction prévue par le texte. Je propose de le vérifier avant de vous apporter une réponse définitive.

Mme Catherine Morin-Desailly, présidente. - Le déverrouillage de ce marché de l'informatique en nuage, appelé à connaître un fort développement, paraît nécessaire sur les plans technique, financier et juridique, car nous avons besoin de solutions souveraines pour nos données sensibles et critiques. Ne pourrait-on pas envisager d'afficher, à travers ce texte, d'une manière ou d'une autre, ce qu'est une donnée sensible, ce qu'est une donnée critique pour notre sécurité nationale et affirmer que ces données doivent relever d'un cloud souverain ? C'est une proposition que nous avions faite. Nous sommes très préoccupés par le devenir de nos données de santé. Nous avons maintes fois interrogé le ministre de la santé, vous-même et votre prédécesseur, quant au devenir de la plateforme de données de santé, aussi appelée HealthDataHub et confiée à Microsoft. Nous aimerions que soit rapidement mise en place une solution souveraine.

M. Jean-Noël Barrot, ministre. - C'est effectivement un point très important et je vous remercie, madame la présidente, de le soulever. Le 12 septembre dernier, à l'occasion de l'inauguration du nouveau centre de données d'OVHcloud, Bruno Le Maire a indiqué que l'obligation serait faite aux administrations, en vertu de la doctrine du « cloud au centre », de loger leurs données sensibles dans des services d'informatique en nuage certifiés SecNumCloud, c'est-à-dire faisant partie de solutions immunisées contre l'extra-territorialité de législations extra-européennes. Bruno Le Maire a également précisé, le même jour, que la définition des données sensibles serait prochainement présentée dans le cadre de l'actualisation de la circulaire « cloud au centre », dans son neuvième paragraphe. Les entreprises, en particulier celles qui se trouvent dans des secteurs critiques et celles qui sont des opérateurs de services essentiels (OSE) ou des opérateurs d'importance vitale (OIV), ont aussi été encouragées à considérer très sérieusement de procéder comme les administrations, faute de quoi des mesures de coercition pourraient, à terme, être prises.

Le schéma de certification du cloud est en cours de discussion au niveau européen en vertu du règlement sur la cybersécurité. Celui-ci prévoit que ces schémas de certification peuvent être créés dans un certain nombre de secteurs, auquel cas les États membres peuvent s'y référer de manière volontaire. Une fois créés, ils écrasent les schémas de certification nationaux. Nous consacrons beaucoup d'énergie à convaincre certains de nos amis européens réticents à imposer l'immunité à l'extraterritorialité des législations extra-européennes (et américaine en particulier), car si ce schéma de certification intégrait, dans son niveau de sécurité le plus élevé, les mêmes critères que ceux que nous avons retenus pour notre certification nationale (ce qui est mon souhait), alors les acteurs français et européens qui auront choisi de faire certifier leur solution pourront les faire reconnaître dans le reste de l'Union européenne. En revanche, si ce schéma de certification européen ne retenait pas, dans son niveau de sécurité le plus élevé, l'immunité vis-à-vis de la législation extraterritoriale, notre certification SecNumCloud deviendrait illégale en France, sauf pour des motifs explicites de sécurité nationale. Nous avons des débats serrés avec un certain nombre d'États membres, notamment les Pays-Bas, qui emmènent derrière eux le groupe des pays les plus réticents. Nous avons bon espoir de parvenir à convaincre nos partenaires. Nous n'avions pas, jusqu'à la semaine dernière, publié cette circulaire actualisée. Elle l'a été le 31 mai et fait apparaître, dans son neuvième paragraphe, la définition des données sensibles que les administrations devront désormais, en cas de migration vers l'informatique en nuage, placer dans un cloud certifié SecNumCloud.

Parallèlement, nous soutenons les acteurs - notamment français - qui engagent le processus de certification de l'ANSSI afin que leurs offres soient certifiées SecNumCloud, notamment grâce à un guichet que nous avons ouvert il y a quelques mois. Nous nous y étions engagés le 12 septembre dernier. Il donne un petit coup de pouce financier, en particulier aux petites et moyennes entreprises du cloud, lorsqu'elles souhaitent faire certifier une solution sans avoir la taille suffisante pour absorber les coûts fixes induits par le processus de certification.

Mme Catherine Morin-Desailly, présidente. - Il nous importe que les données sensibles des Français et des Européens soient bien protégées contre une législation extraterritoriale qui nous est, pour l'instant, défavorable. Les discussions se poursuivront sur ce point et nous y serons très attentifs.

Je redonne la parole au rapporteur, qui va aborder le chapitre des jeux à objets numériques monétisables.

M. Patrick Chaize, rapporteur. - Monsieur le ministre, si vous deviez définir simplement les jeux à objets numériques monétisables, quelle définition retiendriez-vous ? Quel encadrement de ces nouvelles pratiques de jeux en ligne préconisez-vous compte tenu des risques sociaux et sanitaires qui leur sont associés ? Comment justifiez-vous le recours, dans cet article, à une habilitation à légiférer par ordonnance ?

Mme Catherine Morin-Desailly, présidente. - Vous savez que le Sénat n'aime pas beaucoup habiliter le gouvernement à légiférer par ordonnance.

M. Jean-Noël Barrot, ministre. - Comment définir ces jeux ? Il s'agit de jeux d'un nouveau genre, à la confluence entre les jeux vidéo et les jeux d'argent et de hasard. Ils sont nés de la technologie des registres distribués (la blockchain), qui permet d'isoler la propriété d'un actif numérique. Ainsi, l'on peut désormais détenir un actif numérique en pleine propriété et en quelque sorte l'utiliser comme un support de jeu. J'en prends pour exemple le jeu Stables, développé par le PMU et lancé il y a quelques mois. Il repose sur une plateforme numérique permettant aux utilisateurs d'acquérir des jetons qui prennent l'apparence de chevaux de course, reliés à un cheval dans le monde physique et à ses performances dans le monde réel. Cela permet d'organiser des jeux d'un nouveau type.

C'est parce que ces jeux se trouvent à la confluence de deux types de jeux existants (les jeux vidéo et les jeux d'argent et de hasard), et alors que nous avons un écosystème florissant dans le Web 3, qu'il nous paraît important de créer un cadre permettant à l'innovation de se développer en France et en Europe, tout en instaurant un niveau de protection suffisant pour les utilisateurs, sans oublier la lutte effective contre le blanchiment d'argent et le financement du terrorisme.

L'esprit qui nous a guidés est celui qui a présidé à la conception, en 2018, d'un régime « PSAN » (prestataire de services sur actifs numériques) défini pour les cryptoactifs dans le cadre de la loi Pacte. Ce régime soulevait au départ quelques interrogations, mais il a été conçu de façon à offrir un cadre suffisamment souple pour que l'innovation puisse se développer (de sorte que notre pays reste attractif pour l'innovation) tout en offrant un niveau de protection suffisamment élevé pour susciter un haut niveau de confiance.

Cinq ans plus tard, il apparaît que ce cadre a permis d'attirer en France les principaux leaders mondiaux dans ce domaine et de susciter dans notre pays des vocations entrepreneuriales très importantes. Hier soir encore, nous avons reçu la confirmation du fait qu'un acteur américain de ce domaine avait choisi la France pour s'implanter. Les États-Unis ne s'étaient initialement donné aucun cadre de régulation et lorsque des scandales ont éclaté à l'automne dernier (en particulier avec la société FTX), les autorités américaines ont fait machine arrière, serrant les boulons de façon probablement excessive. Cela a conduit un certain nombre d'acteurs américains à se délocaliser et à quitter les États-Unis au profit de l'Europe. Le cadre européen qui s'appliquera à partir de 2024, dit Mica, est directement inspiré du cadre français, qui avait donc fait ses preuves. Celui-ci nous met dans une certaine mesure à l'abri de scandales tels que ceux qui ont éclaté aux États-Unis à l'automne dernier, même si l'on n'est jamais à l'abri d'une fraude massive.

C'est la même démarche, au fond, qui nous guide pour ce type de jeux, c'est-à-dire la construction d'une réglementation protectrice et susceptible de favoriser l'innovation. Si nous définissons ses contours de façon suffisamment judicieuse, elle peut même inspirer la réglementation qui viendra au niveau européen, afin que les acteurs fassent de la France leur camp de base pour leur expansion européenne.

Le recours à une habilitation à légiférer par ordonnance est nécessaire pour pouvoir coordonner dans des délais suffisants des travaux interministériels particulièrement techniques et complexes, qui mobilisent de nombreuses administrations au sein de différentes branches de l'exécutif (ministère de l'économie, ministère de l'intérieur, ministère de l'agriculture, ministère des sports, ministère de la culture) et nécessitent le concours de plusieurs autorités de régulation (ANJ, Cnil, Tracfin, AMF, ACPR, Arcom). Il est par ailleurs nécessaire pour permettre des consultations des différents acteurs du secteur et des secteurs voisins des jeux vidéo et des jeux d'argent et de hasard. Il n'en demeure pas moins que l'objectif est d'avancer le plus rapidement possible dans la création de ces dispositions, afin de pouvoir présenter au plus vite au Parlement des dispositions stabilisées. Nous avons pris note de vos remarques et ferons en sorte que ces dispositions puissent vous être présentées au plus vite.

Mme Catherine Morin-Desailly, présidente. - Nous avons été saisis, comme vous pouvez vous en douter, par l'ensemble des acteurs du monde des jeux plus classiques, qui craignent une distorsion de concurrence à travers l'adaptation d'un texte qui leur serait défavorable et qui comporterait moins d'exigences vis-à-vis du secteur des jeux en ligne. Nous serons attentifs à ces sujets, afin que le texte proposé, le cas échéant, ne soit pas en quelque sorte un dégonflage d'une architecture classique. Cette perspective serait terrible, car nous avons besoin d'une régulation sérieuse sur l'Internet. Ce sont des jeux d'argent, comme vous l'avez vous-même souligné.

M. Patrick Chaize, rapporteur. - J'en viens aux questions sur les meublés de tourisme. Comment le dispositif de centralisation des données relatives aux meublés de tourisme permettra-t-il aux communes de mieux contrôler la conformité des locations sur leur territoire ? Selon l'étude d'impact du projet de loi, le taux de non-conformité de l'offre de meublés de tourisme atteindrait 34 % à Paris et 46 % à Lyon. Comment expliquez-vous de tels taux?

Quel serait l'organisme unique désigné pour mettre en place la plateforme de déclaration à destination des communes et les plateformes numériques de la location touristique. La proposition de règlement européen sur les locations de courte durée est en cours de négociation. Comment situez-vous cette future régulation au niveau européen et le dispositif prévu par le présent projet de loi ?

S'agissant du droit de la consommation, comment se matérialisera la lutte contre les dark patterns, ces interfaces conçues de manière à tromper ou manipuler les internautes-consommateurs ? Est-il prévu de créer une équipe dédiée au sein de la DGCCRF, à l'image de la brigade chargée de l'influence commerciale ?

M. Jean-Noël Barrot, ministre. - Aujourd'hui, les communes concernées par un fort développement de l'activité de meublés touristiques sont contraintes d'aller chercher « à la main » les informations liées la limite des 120 jours applicables à la location de la résidence principale. Grâce au dispositif de centralisation des échanges, elles n'auront plus à formuler qu'une seule demande par plateforme pour obtenir ces informations. Il leur sera donc beaucoup plus facile d'identifier les manquements des loueurs au regard de leur obligation de déclaration et du respect du plafond de 120 jours de location par an applicable aux résidences principales. Cette base de données unique permettra une harmonisation et une fiabilisation des données, ainsi qu'une automatisation des processus. Ce sera donc une vraie simplification.

Le taux de non-conformité réglementaire correspond au pourcentage d'annonces publiées qui ne présentent pas de numéro d'enregistrement. Il est relativement élevé dans l'ensemble des marchés touristiques pour lesquels les données sont mises à disposition par Inside Airbnb et collectées par des techniques de moissonnage sur Internet. Il s'agit d'estimations effectuées à partir de données partielles. Le niveau élevé du taux de non-conformité tient à un facteur qui relève des loueurs eux-mêmes. Ex ante, un certain nombre de propriétaires ne respectent pas la réglementation en vigueur, en particulier l'obtention d'un numéro d'enregistrement ou la déclaration de changement d'usage, ou encore la limitation des 120 jours de location pour la résidence principale.

S'agissant de l'organisme unique qui serait désigné pour mettre en place la plateforme de déclaration, plusieurs pistes sont encore à l'étude. Il est certain que le guichet de centralisation ne sera pas géré par une autorité administrative indépendante ni par une autorité publique indépendante, car la désignation d'une telle autorité ne pourrait se faire que par décret et nécessiterait l'intervention du législateur. La création d'une personne morale ad hoc n'est pas non plus prévue, afin de ne pas multiplier les personnes morales ou les organisations, étant donné la relative modicité des moyens nécessaires à la gestion de ce guichet. Il est envisagé à ce stade, sans préjuger de la décision finale, l'attribution de cette compétence à un service d'administration centrale ou à un opérateur de l'État existant.

Vous m'interrogez sur l'articulation avec le règlement européen en cours de discussion. Il s'agit effectivement d'une anticipation partielle du projet de règlement européen proposé en novembre 2022 par la Commission européenne concernant la collecte et le partage de données relatives aux services de location de logements de courte durée. La proposition de règlement vise à renforcer la transparence dans la collecte et la transmission de ces données. Les deux objectifs principaux de ce règlement sont l'harmonisation des exigences nationales en matière d'enregistrement et la facilitation de la transmission de données entre plateformes et autorités publiques compétentes. À ce stade, la proposition qui doit être débattue au Parlement européen prévoit que les États membres exigeant des opérateurs numériques qu'ils leur communiquent les données mettent en place un point d'entrée numérique unique. Nous sommes donc parfaitement alignés avec l'esprit du projet de règlement.

S'agissant des places de marché en ligne, l'article 26 du projet de loi comporte une habilitation des agents de la DGCCRF à rechercher et constater les infractions aux dispositions de l'article 25 du règlement sur les services numériques qui prohibe les dark patterns. Le règlement sur les services numériques traite des réseaux sociaux et des places de marché. À cet effet, les agents disposent de pouvoirs d'enquête prévus par le code de la consommation. Ils sont considérés comme des pouvoirs de police judiciaire exercés sous l'autorité du Procureur de la République puisqu'il s'agit d'infractions pénales punies à titre principal d'un emprisonnement de deux ans et d'une amende de 300 000 euros. Ce montant peut être porté de manière proportionnée aux avantages tirés du délit à 6 % du chiffre d'affaires mondial. L'ensemble des enquêteurs de la DGCCRF pourront donc être amenés, lors de leurs contrôles en ligne, à rechercher et constater ces « dark patterns ». L'enquête sur ce sujet sera diligentée dans le cadre du programme national d'enquête de la DGCCRF pour l'année 2024.

Mme Catherine Morin-Desailly, présidente. - Je donne la parole à Loïc Hervé, rapporteur de l'autre partie du texte.

M. Loïc Hervé, rapporteur. - Une très grande partie des acteurs de l'Internet sont établis hors de notre pays et nombre d'entre eux se trouvent hors de l'espace européen. Comment assurer l'effectivité des règles (notamment en matière de sanctions pénales) que ce projet de loi propose de soumettre à notre vote ?

J'en viens à la question de la pornographie et à la régulation de l'accès des mineurs à ces contenus. Dans quelle mesure la transformation de la procédure judiciaire en procédure administrative permettra-t-elle d'être plus efficace pour vérifier qu'un contrôle de la majorité sérieux est bien mis en place ? Les sites semblent déployer des moyens très importants pour s'opposer aux procédures judiciaires. J'imagine qu'ils feront de même dans le cadre d'une procédure administrative.

L'Arcom aura-t-elle suffisamment de moyens pour mettre en oeuvre la nouvelle procédure, qui supposera l'établissement de constats par ses agents ?

Peut-être pouvez-vous également préciser les modalités techniques envisagées sur la question du contrôle de l'âge à proprement parler. Ce sujet a été abordé à de très nombreuses reprises dans cette maison, en particulier dans le cadre des travaux de la Délégation aux droits des femmes. Il suscite un certain nombre d'interrogations de notre part et plusieurs de nos voisins européens semblent être légèrement en avance sur nous, notamment l'Allemagne et l'Italie.

Le projet de loi répartit la compétence de mise en oeuvre du RSN entre l'Arcom, la Cnil et la DGCCRF, l'Arcom étant consacrée en tant que coordinateur des services numériques. Le choix de recourir à plusieurs acteurs procède-t-il d'une spécialisation bienvenue ou crée-t-il le risque d'une dispersion qui rendrait le dispositif moins lisible et moins efficace ? Comment envisagez-vous la coopération entre les différents acteurs ?

Récemment, la commission des lois a adopté une proposition de loi qui sera débattue lundi 12 juin, comportant un amendement permettant d'intégrer le président de l'Arcom ainsi que la présidente de l'Arcep au sein du Collège de la Cnil. Qu'en pensez-vous ? Est-il prévu, réciproquement, qu'un membre de la Cnil siège dans les différentes autorités que je viens d'évoquer ?

Les plateformes disposent-elles, en l'état, des moyens techniques et humains pour mettre en oeuvre les nouvelles règles européennes ? Ont-elles déjà adapté leurs moyens et leurs procédures à cette nouvelle réglementation ? Quel est l'état du dialogue entre le gouvernement, votre ministère et les acteurs du secteur, s'agissant non seulement de l'entrée en application du règlement, mais aussi des mesures autonomes prévues par le projet de loi en matière d'interdiction d'accès des mineurs aux sites pornographiques et de renforcement de la lutte contre les contenus à caractère pédocriminel, voire terroriste ? Comment la France se positionne-t-elle en ces matières, par rapport à ses voisins et partenaires européens ?

Comme le reconnait implicitement l'étude d'impact de votre projet de loi, l'application du règlement ne couvrira pas entièrement certaines dispositions du droit national modifiées, voire abrogées par ce texte. Je pense aux articles 29 et 30, qui vont passer le seuil à partir duquel les plateformes sont soumises à des obligations en matière de transparence et de lutte contre la désinformation. Nous passerions de cinq millions d'utilisateurs nationaux à 45 millions d'utilisateurs européens. Est-ce un choix délibéré de votre part de ne pas prévoir de mesures complémentaires pour les plateformes qui ne seraient plus, dès lors, soumises à ces obligations ? Disposez-vous de données quant au nombre d'opérateurs n'entrant pas dans le champ des très grandes plateformes et des très grands moteurs de recherche au sens du règlement, qui seraient donc soustraits à ces obligations ?

Pensez-vous que la loi du 21 juin 2004 pour la confiance dans l'économie numérique gagnerait en lisibilité et en intelligibilité une fois que ce texte sera adopté ? Il me semble que l'on continue de juxtaposer des dispositifs sans une réécriture globale, ce qui semble, d'abord au plan juridique, mais aussi au plan intellectuel, rendre les choses plus complexes. J'imagine que vous avez des contacts nombreux avec un certain nombre d'acteurs du secteur pour les informer des évolutions envisagées. Peut-être pouvez-vous tracer d'autres perspectives à l'issue de cette discussion parlementaire.

M. Jean-Noël Barrot, ministre. - S'agissant de l'effectivité des règles que le gouvernement entend soumettre à votre analyse, alors que nous avons face à nous des acteurs qui se jouent parfois des frontières, j'avancerai deux éléments qu'il me paraît important de rappeler.

Dans les règlements européens que ce projet de loi permet de faire appliquer correctement, en France comme dans les autres États membres de l'Union européenne, en se donnant des règles communes et en confiant à la Commission européenne, épaulée par les régulateurs nationaux, le soin de faire appliquer ces règlements, on écarte une fois pour toutes le risque d'arbitrages et de dumping réglementaire permettant à des géants du numérique de se réfugier dans des pays considérés comme plus souples ou plus tolérants dans leur appréciation des règles européennes.

Même si, notamment pour le DSA, les régulateurs nationaux sont appelés à jouer un rôle important, c'est bien la Commission européenne qui sera en première ligne. Elle veillera à ce que l'application du droit soit uniforme dans les différents États. C'est un point très important, car nous nous sommes souvent heurtés à une forme d'hétérogénéité dans les approches par les autorités chargées de ces sujets, y compris concernant l'application de règles européennes. Je pense notamment au Luxembourg ou à l'Irlande.

Si certaines sanctions pénales pourraient s'avérer plus difficilement applicables à des acteurs situés loin de l'Union européenne, les mesures de blocage (en particulier celles qui s'appliquent aux sites diffusant des contenus pornographiques ou diffusant des médias frappés par les interdictions telles que celles que l'Union européenne a prises à l'encontre des médias russes) reposent sur des acteurs basés en France, les fournisseurs d'accès Internet. Leur effectivité sera donc immédiate.

S'agissant de l'accès des mineurs aux sites pornographiques, la loi du 30 juillet 2020 précise que l'interdiction d'exposer des mineurs à des contenus pornographiques doit également s'appliquer lorsqu'un site Internet se contente de demander l'âge de l'utilisateur, sans le vérifier sérieusement. Le décret d'application de cette loi a été pris en octobre 2021. La loi et le décret d'application prévoient que l'Arcom mette en demeure un site qui ne vérifie pas l'âge de l'utilisateur. Si au bout de quinze jours, le site ne s'y est pas conformé, l'Arcom saisit le tribunal judiciaire de Paris, qui instruit ensuite l'affaire.

En octobre 2021, l'Arcom a mis en demeure cinq des principaux sites pornographiques de mettre en place un système de vérification de l'âge des utilisateurs. Constatant, quinze jours plus tard, que cette mise en demeure n'a pas été suivie d'effets, l'Arcom a saisi, au mois de novembre 2021, le tribunal judiciaire de Paris. En septembre 2022, le tribunal judiciaire de Paris a convoqué une audience qui rassemble les sites concernés et l'Arcom. Les sites concernés ont brandi à l'audience une question prioritaire de constitutionnalité (QPC). Le tribunal judiciaire de Paris a transmis la question prioritaire de constitutionnalité à la Cour de cassation et ordonné une médiation entre les sites pornographiques et l'Arcom. En janvier 2023, la Cour de cassation a annoncé ne pas transmettre la question prioritaire de constitutionnalité au Conseil constitutionnel. Quelques semaines plus tard, l'Arcom a indiqué sortir de la médiation avec les sites pornographiques. L'Arcom s'est alors tournée à nouveau vers le tribunal judiciaire de Paris, qui a convoqué une audience. Celle-ci a eu lieu en avril 2023 et le délibéré est attendu le 7 juillet prochain. Il aura donc fallu attendre environ un an et demi pour qu'un jugement soit éventuellement rendu. Il me paraît important que nous puissions aller plus vite, en donnant à l'Arcom la capacité, après avoir assermenté ses agents à cet effet, de constater et mettre en demeure, mais aussi d'ordonner plus directement le blocage.

L'Arcom devra d'abord disposer des moyens humains nécessaires pour exercer cette compétence nouvelle. L'Arcom compte actuellement 370 agents (en comptant les 16 antennes territoriales) et dix recrutements sont en cours pour la mise en oeuvre des compétences nouvelles qui seraient confiées à l'Arcom par le DSA.

La question de la vérification de l'âge a fait l'objet de travaux approfondis par la mission parlementaire. Le texte prévoit que l'Arcom publie, après avis de la Cnil, un référentiel qui indiquera ce que doivent être, au minimum, des dispositions acceptables pour la vérification d'âge. Sans attendre que ce projet de loi soit adopté, il appartient aux sites Internet concernés notamment par la procédure en cours de mettre dès aujourd'hui en place des systèmes de vérification d'âge. Il en existe. Ils ne sont pas absolument parfaits, mais ils permettraient d'éviter l'exposition massive de mineurs aux contenus pornographiques, que l'Arcom a encore dénoncée dans son étude parue il y a quelques semaines.

Pour anticiper sur l'adoption de ce projet de loi, nous avons encouragé des entreprises françaises à se saisir de cette problématique de la vérification de l'âge en ligne et de développer, comme le proposent les recommandations du rapport des sénateurs, des solutions qui soient doublement anonymes, de sorte que le fournisseur de la preuve de majorité ne puisse pas connaître ce pour quoi cette preuve est utilisée. Peut-être le sera-t-elle pour consulter un site pornographique. Peut-être le sera-t-elle pour l'achat de produits alcoolisés, ou encore pour des transactions sur des sites proposant des jeux d'argent et de hasard, qui sont également soumis à des restrictions d'âge. Le site qui sollicitera la preuve de majorité pour donner l'accès à ce service ne doit pas non plus avoir à connaître l'identité de la personne concernée.

Du point de vue de la répartition des compétences entre les autorités et de la mise en oeuvre du RSN autour du coordinateur des services numériques, le RSN est avant tout un règlement transversal qui modélise un régime d'obligation appliqué à un environnement de plateformes intervenant sur une multitude de secteurs économiques. Il est logique que sa mise en oeuvre soit organisée de façon distribuée entre les principales autorités de régulation qui disposent, en France, des compétences statutaires dans chaque domaine traité par le RSN. Notre choix repose sur une double conviction : privilégier les compétences et les expertises acquises dans chaque domaine (la Cnil pour la protection des données personnelles, l'Arcom sur la problématique des contenus, la DGCCRF pour les pratiques du commerce en ligne), tout en veillant à une coordination et à une synergie efficaces de l'ensemble. Nous sommes conscients des écueils liés à cette gouvernance « distribuée » entre différentes autorités administratives. C'est la raison pour laquelle le projet de loi prévoit des dispositions particulières en matière de dialogue et de consultation parmi ces différentes entités.

Vous soulevez une question qui était évoquée dans l'avis du Conseil d'État, dès lors que le règlement sur les services numériques pourrait « écraser » certaines dispositions de la loi de lutte contre la manipulation de l'information que le Sénat avait passée au tamis de son examen. Il est vrai que le règlement sur les services numériques est un règlement d'harmonisation maximale, qui interdit en principe le maintien, au niveau national, de législations poursuivant le même objectif, notamment en matière de lutte contre la désinformation en ligne. En conséquence, le projet de loi que nous proposons abroge, comme vous le soulignez, certaines dispositions de la loi relative à la lutte contre la manipulation de l'information, qui prévoit des mesures applicables aux opérateurs de plateformes en ligne. Ceci concerne en particulier les articles 11, 13 et 14 de la loi du 22 décembre 2018.

Néanmoins, ces dispositions abrogées sont couvertes en grande partie par le règlement sur les services numériques. Les articles 11, 13 et 14 de la loi de lutte contre la manipulation de l'information ont des équivalents directs dans le règlement sur les services numériques et les obligations prévues restent donc pleinement exécutoires. Ce règlement prévoit notamment l'obligation, pour les très grandes plateformes et les très grands moteurs de recherche, d'analyser les risques systémiques de désinformation engendrés par le fonctionnement de leurs services (algorithmes, systèmes de recommandation) et de prendre les mesures nécessaires pour les atténuer. Le projet de loi n'entraîne donc pas de recul sur ce point.

S'agissant du code électoral, vous pouvez constater que le gouvernement a suivi l'avis du Conseil d'État et n'a pas procédé à l'abrogation de l'article L. 163-1. Il a seulement procédé à de légères modifications de cohérence avec le DSA. Il a été décidé, eu égard à la sensibilité de l'information des personnes en période électorale, de conserver l'obligation, pour les très grandes plateformes et les très grands moteurs de recherche, de faire figurer les informations listées par ces articles. Cette obligation pourra ensuite être abrogée avec l'entrée en application du projet de règlement relatif au ciblage et à l'amplification des publicités à caractère politique - règlement en cours de discussion au niveau européen, à l'étape des trilogues. L'impact de cette modification sera donc quasiment nul dans la mesure où les dispositions abrogées ont un équivalent dans le DSA et où celles qui n'ont pas d'équivalent dans le DSA seront maintenues.

Enfin, s'agissant de la lisibilité de la loi pour la confiance dans l'économie numérique (LCEN), il est évident que ce texte y introduit des changements importants. La LCEN sert de socle à notre législation pour le numérique. Cette loi fondatrice a porté, depuis vingt ans, un cadre propice et dynamique en faveur de l'économie et de la société numériques. Après vingt ans de résultats, compte tenu de la transformation profonde liée à la numérisation de l'économie, à l'occasion de l'adoption du RSN, il est aujourd'hui indispensable de refonder cette loi. Le projet de loi s'emploie à cette réorganisation du corpus de la LCEN pour le rendre plus logique, lisible et l'articuler avec ces règlements européens nouveaux qui vont continuer à être adoptés. Après celui sur la gouvernance des données, le règlement sur les services numériques et les marchés numériques, viendront le règlement sur les données, celui sur l'intelligence artificielle et d'autres encore, en vue de construire un marché unique du numérique au sein duquel devront être respectés un ensemble de principes auxquels nous sommes très attachés.

Mme Catherine Morin-Desailly, présidente. - Cela nous oblige à une certaine gymnastique dans l'anticipation de futures transpositions et dans la recherche de cohérence d'un texte à l'autre, du point de vue des dispositifs proposés.

Mme Annick Billon. - Merci, monsieur le ministre, d'avoir balayé un certain nombre de sujets en réponse à nos deux rapporteurs. Nous avons déjà eu l'occasion de nous rencontrer et de vous présenter les conclusions des travaux de la Délégation aux droits des femmes.

Nous avions préconisé la création d'une nouvelle rubrique sur la plateforme Pharos, car il se pose un problème de visibilité. Pensez-vous que la création d'une nouvelle rubrique qui concernerait notamment les actes de barbarie, de violence sexuelle ou de torture, serait de nature à faciliter les signalements ?

Lors de nos travaux au sein de la Délégation aux droits des femmes, nous avons entendu des témoignages extrêmement violents, difficiles à entendre, qui nous ont profondément marqués du point de vue du regard que nous portons sur l'industrie de la pornographie. Le retrait des vidéos serait-il possible selon vous, sans avoir à les visionner, dès lors que dans le titre d'une vidéo apparaît par exemple l'apologie d'un crime ? Serait-il envisageable de permettre le retrait plus rapide de tels contenus, sans nécessairement avoir à visionner ces vidéos pour vérifier ce qu'elles contiennent ?

La question du droit à l'oubli se pose aussi au regard de la demande potentielle de retrait de vidéos, sans contrepartie financière, de la part des actrices. Une actrice de pornographie gagne 400 euros pour une vidéo et il lui est actuellement demandé 4 000 à 5 000 euros pour le retrait d'une vidéo dans laquelle elle apparaît.

Mme Florence Blatrix Contat. - Monsieur le ministre, vous avez évoqué l'inégale diligence des différentes autorités de régulation nationales dans l'application des régulations numériques et indiqué que, dorénavant, la commission en aurait la charge. Lorsque nous avons travaillé sur le DSA est apparue la question suivante : la commission se dotera-t-elle des moyens, humains notamment, requis pour exercer cette régulation ?

Lors de nos auditions, qui ont notamment conduit à entendre des acteurs connaissant très bien les réseaux sociaux, nous nous sommes rendus compte qu'il manquait souvent des modérateurs dans chaque langue, notamment en français. C'est une carence dans la lutte contre la désinformation et la haine en ligne. En quoi ce texte permettra-t-il de répondre à cela ?

Mme Catherine Morin-Desailly, présidente. - Je me permets d'insister sur la question du droit à l'oubli, qui a été évoquée à plusieurs reprises au Sénat et qui a fait l'objet d'une de nos préconisations.

M. Jean-Noël Barrot, ministre. - Concernant la question de la nouvelle rubrique, qui était liée, si j'ai bien compris, à celle du retrait de vidéos diffusées par des sites pornographiques, lorsque ces contenus s'apparentent à des actes criminels, nous avons avec ma collègue Isabelle Rome, à l'appui de vos travaux, engagé des discussions avec le Haut Conseil à l'égalité entre les femmes et les hommes, en vue d'explorer les moyens juridiques qui permettraient de caractériser de façon suffisamment précise, y compris du point de vue juridique, des catégories de vidéos dont le retrait serait justifié. Nous devons le faire avec le souci de ne pas franchir la limite de la liberté d'expression et avec à l'esprit la réalité des violences que vous évoquez. Autrement dit, il s'agit de se demander si, de manière suffisamment précise, une vidéo peut être identifiée comme un acte de barbarie et faire l'objet d'un retrait sur injonction de la plateforme Pharos ou des forces de l'ordre, comme c'est le cas pour des contenus de nature terroriste ou de nature pédopornographique. Nous avions évoqué ce sujet. Nous continuons d'y réfléchir et nous n'avons pas encore trouvé la solution.

Le règlement général de protection des données personnelles (RGPD) prévoit le droit à l'oubli dans le cas de données ou d'images personnelles n'ayant pas fait l'objet d'un contrat. Vous proposez de venir écraser un contrat, dans le cas que vous citez, qui est celui des images pornographiques. Nous avons saisi le Garde des Sceaux, qui souhaite constituer un groupe de travail réunissant des experts de la question afin de trouver des réponses satisfaisantes. Ces travaux feront appel au droit des contrats et aux dispositions relatives à la protection de la vie privée des personnes.

Vous m'interrogez, madame Blatrix Contat, sur les moyens de la Commission européenne. C'est une question que je pose chaque fois que je rencontre le commissaire compétent, c'est-à-dire Thierry Breton. Il y a huit mois, nous avions des inquiétudes à ce sujet. Elles se sont dissipées, car 80 ETP (équivalents temps plein) ont été recrutés au sein de la DG Connect et de la DG Comp pour l'exécution de ces règlements. Il y aura des infractions à ces deux règlements et tant que les premières sanctions n'auront pas été prononcées, nous serons extrêmement vigilants et continuerons de faire connaître à la Commission européenne notre exigence forte de voir ces DG dotées de moyens. Il est à noter que, selon l'architecture prévue pour ce dispositif, nous solliciterons de la part des régulés une partie de la prise en charge des moyens nécessaires à leur régulation.

S'agissant de la modération, le DSA imposera désormais aux plateformes la mise en place de dispositifs qui devront être par ailleurs audités, avec à la clé des amendes particulièrement lourdes. Nous estimons que cela les conduira à améliorer leurs processus de modération. Ceux-ci ne passent pas toujours, ou pas intégralement, par des moyens humains : l'intelligence artificielle, notamment, est utilisée et a contribué, sur certaines plateformes, à un retrait beaucoup plus rapide qu'auparavant de contenus qui étaient immédiatement identifiables comme illicites. La diversité de ces moyens de modération doit tenir compte de la variété des langues des pays dans lesquels ces services sont utilisés et le non-respect de ces règles sera sanctionné par des amendes particulièrement lourdes.

Au-delà de l'audit de ces processus de modération et de signalement, toutes les plateformes devront publier de manière transparente les retraits de contenus et le nombre de signalements traités, c'est-à-dire leur activité de modération. Tel est déjà le cas en France.

Mme Toine Bourrat. - Je voudrais aborder le chapitre du cyberharcèlement. Je suis préoccupée par la proposition (contenue dans le projet de loi) consistant à bannir des réseaux sociaux les personnes condamnées pour avoir diffusé des contenus haineux ou violents sur un réseau social. Compte tenu du décalage qui existe entre la vitesse à laquelle fonctionne la justice et la viralité des réseaux sociaux, serait-il envisageable de prévoir des dispositions enjoignant les réseaux sociaux à mieux traiter et mieux réguler les signalements ? Entre le moment où l'on est victime de cyberharcèlement et le moment où l'agresseur potentiel est condamné, je crains que les délais ne soient très longs, ce qui rendrait cette disposition inefficace.

M. Jean-Noël Barrot, ministre. - Effectivement, il y a assez peu de condamnations aujourd'hui et ces condamnations méritent d'être diffusées. Lorsqu'on examine qui étaient les agresseurs de Mila, d'Eddy de Pretto ou de Hoshi, on se rend compte que des personnes se pensant à l'abri derrière un pseudonyme ont participé à des raids de haine et de violence sans soupçonner qu'elles pouvaient être punies par des peines d'emprisonnement. Cette mesure de bannissement qui vient s'ajouter à une éventuelle condamnation ne constitue qu'un des éléments du dispositif.

On peut rappeler certaines des condamnations qui ont été prononcées dans ces cas. Dans l'affaire Mila, douze mois de prison ferme ont été prononcés à l'encontre d'un jardinier âgé de 23 ans, pour des menaces de mort et de viol diffusées sur Internet. En juillet 2021, des peines de quatre à six mois de prison ont été prononcées à l'encontre de onze personnes et deux mois plus tard, une personne ayant menacé Mila de mort a été condamnée à dix mois de prison.

Dans le cas d'Eddy de Pretto, onze cyberharceleurs ont été condamnés en décembre 2022 à des peines de trois à six mois de prison.

Vendredi dernier, une peine de huit mois de prison, dont deux mois de prison ferme, a été prononcée à l'encontre de l'un des cyberharceleurs de Hoshi. Celui-ci devra également verser à l'artiste 5 000 euros de dommages et intérêts. Cette personne a dit qu'elle n'avait aucune conscience du fait que les actes qu'elle avait perpétrés étaient passibles de sanctions aussi lourdes.

Il nous paraît important que les peines, lorsqu'elles sont prononcées, soient particulièrement lourdes. Dans certains cas, le bannissement des réseaux sociaux ajoutera au caractère très symbolique de ces peines, qui doivent être connues afin que chacun réalise qu'il peut être poursuivi et que ce qui est illégal dans la rue l'est aussi sur Internet.

Mais ce n'est qu'un des éléments du dispositif « à 360 degrés » que nous devons mettre en place pour lutter contre le cyberharcèlement. Il commence avec la sensibilisation, notamment des plus jeunes. Nous allons généraliser à la rentrée prochaine le passeport numérique, c'est-à-dire la sensibilisation de tous les élèves, en sixième, aux risques et aux attitudes à adopter lorsqu'ils sont témoins ou victimes de cyberharcèlement.

Je souhaite aussi que, grâce à la loi d'orientation et de programmation du ministère de l'intérieur et grâce à la loi de programmation de la justice en cours de discussion au Sénat, des moyens viennent renforcer les capacités d'enquête et d'instruction de ce type d'affaires.

Dans le cadre de la loi de programmation du ministère de l'intérieur, il sera désormais possible de déposer une plainte en ligne et d'être accompagné par un avocat lors du dépôt de plainte. Ce sont autant d'éléments qui permettront d'améliorer la prise en compte des plaintes des nombreuses victimes de cyberharcèlement. Peut-être faudra-t-il aller plus loin. Nous étudierons toutes les propositions d'amendements que vous défendrez, tant ce phénomène doit être contenu, d'abord, puis éliminé.

Enfin, le règlement sur les services numériques va imposer aux plateformes un niveau de responsabilité particulièrement élevé. La loi existant en France leur impose, lorsqu'elles ont connaissance de faits de cyberharcèlement, d'y mettre fin, à la condition que ces faits leur aient été signalés. Deux nouveautés vont s'appliquer dès le 25 août au titre du règlement sur les services numériques. D'une part, les plateformes devront - parallèlement au traitement du signalement et à l'élimination du comportement de cyberharcèlement - signaler ces faits de cyberharcèlement aux autorités compétentes. D'autre part, là où les peines encourues actuellement dans le droit français, en cas de non-respect de cette obligation, sont d'un an d'emprisonnement et 250 000 euros d'amende, leur plafond passera à 6 % du chiffre d'affaires mondial. La peine encourue par la plateforme augmente donc de manière très significative.

Mme Catherine Morin-Desailly, présidente. - Vous avez souligné à juste titre, dans l'exposé des motifs, que la Présidence française de l'Union européenne avait été à la pointe de cette grande avancée en 2022. Force est de reconnaître également que le commissaire français, Thierry Breton, s'est montré très actif au niveau européen, où les choses ont enfin bougé, avec plusieurs textes qui nous sont proposés. Le gouvernement entend continuer de porter de hautes ambitions dans ce domaine. Il faut s'en réjouir. Le Sénat y est très attentif, comme vous le savez. Nous avons néanmoins du mal à comprendre quelle cohérence et quelle visibilité existent lorsque, il y a quelques jours, le Président de la République déroulait en quelque sorte le tapis rouge à Elon Musk, lequel nous défie, quelques jours après, en se retirant du code des bonnes pratiques. Il a d'ailleurs été sévèrement rappelé à l'ordre par Thierry Breton, qui a assuré que le RSN s'appliquerait partout, y compris à Twitter, faute de quoi cette plateforme serait déréférencée. Nous avons du mal à comprendre cette fascination pour les représentants des Big Tech, dont vous avez dit à juste titre, en préambule, que pour elles, les recettes publicitaires primaient sur toute autre considération, y compris la sécurité des enfants. Nous vous soutenons sur ce sujet. En son temps, François Hollande avait également déroulé le tapis rouge à Mark Zuckerberg, en pleine affaire « Cambridge Analytica ». Le fait d'attribuer la plateforme de données de santé à Microsoft sans appel d'offres nous a aussi particulièrement heurtés. Nous aimerions recevoir des garanties, car nous portons la même ambition que vous. Nous serons regardés au niveau international. Je crois pouvoir dire que le RGPD constitue en quelque sorte un étalon-or. On en parle dans le monde entier, par exemple au sein des assemblées parlementaires de la francophonie. Nous sommes également attendus du point de vue de ce texte. Quelle cohérence et quelle lisibilité lieront ces différentes actions, qui engloberont également la politique industrielle de soutien à nos entreprises du cloud européen ?

M. Jean-Noël Barrot, ministre. - Vous avez tout à fait raison. Elon Musk a repris, il y a moins d'un an, un réseau social. Il était auparavant et reste par ailleurs constructeur de fusées et de voitures électriques. En tant que tels, compte tenu de sa position sur ces marchés, comme pour les investisseurs étrangers, nous évoquons avec lui et ses équipes toutes les possibilités d'implantation de sites industriels en France. Nous le faisons non seulement parce que nous voulons revitaliser des territoires qui ont subi de plein fouet la désindustrialisation depuis des décennies, mais aussi parce que lorsque les usines de fabrication de véhicules de M. Musk seront présentes en Europe, elles seront le client d'entreprises qui, en France, concevront des batteries électriques. Nous devons donc, pour le secteur automobile, entretenir avec les constructeurs les meilleures relations, de façon à faire advenir, dans la mutation assez brutale que représente le passage du thermique à l'électrique, la réussite industrielle de cette filière à laquelle nous sommes attachés. Les projets de « gigafactories » que nous avons réussi à attirer sur notre territoire doivent avoir des débouchés et les constructeurs automobiles en font partie.

M. Musk a repris l'an dernier un réseau social qui ne relève pas autant que la construction de fusées ou de voitures de logiques physiques : cette activité relève principalement de logiques humaines. Après un certain nombre d'expérimentations qui n'ont pas été couronnées de succès, il a fait quelques pas en matière de transparence en ouvrant son algorithme de recommandation en open source. Il semble néanmoins rencontrer les plus grandes difficultés à se conformer à nos attentes, notamment en matière de lutte contre la désinformation. L'annonce, la semaine dernière, du retrait de la signature de Twitter du code volontaire de lutte contre la désinformation n'est pas l'aveu du fait que Twitter ne se conformera pas aux obligations existantes, puisque ce code est d'application volontaire. L'on peut d'ailleurs appliquer les mesures du code de bonnes pratiques contre la désinformation sans avoir signé ce code.

Je suis, pour ma part, relativement inquiet, car je ne vois pas de signaux très encourageants quant à la capacité de Twitter à se conformer à cette partie des obligations nouvelles qui lui sont faites par le règlement sur les services numériques, malgré les déclarations répétées qu'Elon Musk a pu faire au Président de la République, au ministre de l'économie et des finances et à moi-même quant à sa ferme intention de conformer Twitter à ses obligations, en particulier celles du DSA. Elon Musk ne cesse de répéter que le DSA est une bonne régulation. Nous verrons le 25 août si Twitter se conforme à ces obligations. S'il s'y plie, la plateforme pourra continuer d'exercer. Dans le cas contraire, la Commission européenne sera fondée à appliquer une amende très lourde. Je le souhaite vivement, dans une telle hypothèse, car il en va de la crédibilité de ces règlements européens et donc de l'Europe.

Mme Catherine Morin-Desailly, présidente. - Merci, monsieur le ministre, pour ces propos rassurants. Je vous remercie vivement de nous avoir consacré ces deux heures, qui ont été utiles. Je pense que des échanges auront encore lieu entre nous d'ici l'examen du texte. Certaines propositions du Sénat seront mises en débat au sein de notre commission pour pouvoir parfaire le sujet. Nous allons travailler à un rythme soutenu d'ici début juillet.

Table ronde des régulateurs

Mardi 13 juin 2023

Mme Catherine Morin-Desailly, présidente. - J'ai le plaisir d'accueillir Roch-Olivier Maistre, président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), Laure de La Raudière, présidente de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), et Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (Cnil).

Mesdames les présidentes, monsieur le président, notre Commission spéciale a été constituée afin d'examiner le projet de loi visant à sécuriser et réguler l'espace numérique. La variété des missions que vous remplissez suffit à souligner l'ampleur de ce texte, et plus profondément l'orientation qui est la sienne et que je crois nous approuvons tous, qui est de mettre enfin en place une régulation efficace du monde numérique.

Monsieur Maistre, l'Arcom est, avec le temps et de multiples projets et propositions de loi, devenue le grand régulateur des contenus numériques, à tel point que votre désignation comme coordinateur pour les services numériques en application de l'article 49 du Règlement sur les services numériques (RSN) n'a souffert d'aucune contestation.

Le projet de loi redéfinit également votre mission en matière de contrôle de l'accès des sites à caractère pornographique, sujet très suivi par de nombreux membres de la commission spéciale, avec trois rapporteurs sur quatre du rapport de la Délégation aux droits des femmes sur l'industrie pornographique : Annick Billon, Alexandra Borchio Fontimp et Laurence Rossignol, sans oublier bien sûr Marie Mercier, à l'origine de l'article 23 de la loi du 30 juillet 2020 qui n'a jamais été réellement appliquée.

Je n'oublie pas l'article 4 qui étend votre compétence au numérique pour la mise en oeuvre des mesures restrictives au niveau européen. Je réitère notre souhait que vos moyens soient à l'avenir au niveau de vos missions.

Madame de La Raudière, l'Arcep se voit attribuer le rôle de gendarme de l'informatique en nuage, ou « cloud », et ce sera au coeur du suivi de l'application des dispositions relatives à la régulation, à l'interopérabilité, à la portabilité des services d'informatique en nuage ainsi que des dispositions relatives au service d'intermédiation des données. Vos pouvoirs d'enquête, de sanction et de saisine sont ainsi renforcés, des mesures essentielles pour mieux affirmer notre souveraineté numérique dans les prochaines décennies. Cela soulève bien sûr de redoutables questions techniques et juridiques.

Enfin, madame Denis, la Cnil est également placée au coeur des enjeux numériques, et ce n'est pas un hasard si deux membres du Sénat de votre collège sont également membres de la Commission spéciale, notre rapporteur Loïc Hervé et Sylvie Robert. Car « l'or noir » du numérique, ce sont les données personnelles, mais aussi les données de nos administrations et de nos entreprises, et ces données doivent faire l'objet d'une protection toute particulière, encore plus à l'heure de l'Intelligence artificielle.

Il nous faut donc à chaque fois, je pense notamment au contrôle de l'âge, équilibrer entre les aspirations légitimes de protection des mineurs, et la collecte de données. Vous serez ainsi chargée avec l'Arcom de l'élaboration du référentiel prévu à l'article 2, mais vous aurez également à intervenir sur le déploiement du filtre « anti-arnaques » prévu à l'article 6, la Cnil étant désignée comme autorité garante du caractère justifié et proportionné des mesures prises dans le cadre de ce dispositif, ce qui ne constitue pas un petit rôle.

Je vous propose donc l'organisation suivante : je vais demander à chacun d'entre vous d'exposer les enjeux propres à son autorité dans le projet de loi, et les éventuels points de vigilance.

M. Roch-Olivier Maistre, président de l'Arcom. - Merci madame la présidente pour votre invitation. Je suis très heureux de retrouver ce matin les membres de la Commission spéciale, et je veux souligner d'emblée combien l'Autorité est sensible à la confiance que le Parlement lui manifeste. Grâce à cette confiance, cette autorité aura été très singulièrement transformée.

Le projet de loi qui nous réunit est bien évidemment important, notamment pour la mise en oeuvre du Règlement européen sur les services numériques, qui va changer la donne en Europe, puisqu'il s'agit du premier texte au niveau européen qui s'attache à réguler les grands acteurs du numérique.

Au préalable, je souhaite souligner trois points.

Tout d'abord, la nécessité et l'importance de l'inter-régulation aujourd'hui, car les acteurs que nous avons en face de nos Autorités sont en grande partie les mêmes. Avec Marie-Laure Denis et Laure de La Raudière, mais également d'autres autorités, nous avons eu à coeur, depuis le début de nos mandats respectifs, de tisser des liens étroits de confiance et de collaboration quotidienne qui sont essentiels. L'Arcep comme la Cnil sont pour nous des interlocuteurs très importants dans la mise en oeuvre de notre action.

Le deuxième point de vigilance réside dans la cohérence des textes nationaux et des textes européens. La régulation que nous déployons possède une dimension toujours plus européenne, et l'Arcom joue un rôle central au sein du Groupe des régulateurs européens (ERGA). Nous dialoguons avec la Commission sur beaucoup de textes, comme la directive « Services de médias audiovisuels », la mise en oeuvre du RSN, la législation européenne sur la liberté des médias, sur laquelle vous allez travailler prochainement. L'articulation des textes nationaux et européens constitue donc un élément très important.

Le troisième point sur lequel nous serons très attentifs concerne la liberté de communication. Nous devons ainsi toujours veiller à l'équilibre entre les mesures de protection des publics, en l'occurrence des plus jeunes, et la protection d'une liberté essentielle, celle de communication.

À l'égard du texte qui est soumis au Parlement aujourd'hui par le Gouvernement, l'Arcom a rendu un avis favorable. Je rappelle que ce texte comporte trois types de données. Tout d'abord, une première série de dispositions ayant trait à la protection des mineurs en ligne, à l'égard en particulier des sites pornographiques. La sénatrice Marie Mercier pourra le souligner : ce texte vise à répondre aux difficultés que nous rencontrons depuis la loi de 2020 sur les violences conjugales, en raison de manoeuvres dilatoires de la part des sites de l'industrie pornographique. Depuis l'adoption de ce texte en 2020, ces sites n'ont pris aucune initiative pour s'y conformer, et ont multiplié toutes les initiatives juridiques que permet un État de droit pour faire obstacle à sa mise en oeuvre.

L'Arcom a combattu pied à pied pour déployer cette mise en oeuvre par les procédures de mise en demeure que permet le texte. Chacune d'entre elles ont été contestées devant les juridictions ad-hoc, puis par une saisine du tribunal judiciaire de Paris pour demander le blocage de ces sites. Nous attendons maintenant la décision du tribunal, prévue le 7 juillet prochain. Nous formons le voeu que notre demande de blocage soit suivie, en ayant la conviction que rien ne bougera tant que cette décision n'aura pas été rendue.

Nous accueillons donc favorablement le texte qui vous est proposé aujourd'hui, et qui doit permettre à l'Autorité de disposer elle-même d'un pouvoir de blocage, et d'une capacité de demander le déréférencement de ces sites sur les moteurs de recherche s'ils ne se conforment pas aux dispositions du code pénal en matière de protection des mineurs. Nous formons néanmoins avec la Cnil une proposition conjointe de rédaction de texte, comme nous l'avons évoqué avec le rapporteur Loïc Hervé pour une meilleure articulation entre les articles 1 et 2, qui ont des finalités un peu différentes. Nous proposons également d'instaurer avant la mise en oeuvre d'une procédure coercitive engagée sur le fondement de l'atteinte à la vie privée, une procédure de consultation formelle de la Cnil par l'Arcom. Le texte présente en effet une double finalité : la protection des mineurs, mais également une dimension touchant à la protection de la vie privée.

Ce texte ne met pas à l'abri de difficultés contentieuses. Lorsqu'il sera adopté, nous n'échapperons pas à des procédures, et à une question prioritaire de constitutionnalité (QPC). Beaucoup des sites évoqués sont localisés à l'étranger, ce qui complexifie la situation.

La deuxième dimension du texte a trait aux chaînes étrangères. Cette proposition découle de ce que nous avons vécu avec les événements se déroulant en Ukraine. Nous avons été dès le début du conflit confrontés à la question de la suspension de chaînes diffusant de la propagande russe, ce qui a donné lieu à des décisions de sanctions d'application immédiate directe adoptées par la Commission européenne. Du fait de ses compétences, l'Arcom a participé à la mise en oeuvre de ces sanctions, et a prononcé elle-même des mesures de blocage. Mais nous avons constaté des cas de contournements, auquel le cadre juridique actuel n'apportait pas de réponse satisfaisante. Le signal de la chaîne RT, pourtant bloqué, a ainsi été repris sur le site Odysee. Nous avons alors été confrontés aux lacunes pour assurer le blocage effectif de cette diffusion.

Le texte vise précisément à renforcer l'efficacité de la mise en oeuvre des mesures de sanctions décidées par l'Union européenne à l'encontre de chaînes étrangères, en application de l'article 215 du Traité. Le texte renforce les pouvoirs du régulateur, en lui donnant un pouvoir d'injonction et de retrait auprès des services qui diffuseraient ou hébergeraient des contenus de médias eux-mêmes sous sanctions, avec en cas d'inaction, la possibilité sous 72 heures de demander le blocage et le déréférencement du site contrefaisant aux fournisseurs d'accès et aux moteurs de recherche.

Dans notre esprit, l'objectif est de s'attaquer aux mesures de contournement d'une décision adoptée par l'Union européenne, et non d'aller sur un contrôle contenu par contenu, site Internet par site Internet.

Comme pour les articles précédents, nous devons avoir conscience des difficultés que nous rencontrerons pour la mise en oeuvre des sanctions financières à l'égard d'éditeurs ou d'hébergeurs établis partout dans le monde. Le recouvrement financier sera donc probablement très ardu.

La dernière disposition, très importante, concerne la désignation du coordinateur pour les services numériques (DSC), l'un des éléments de la gouvernance du nouveau règlement européen sur les services numériques. Il s'agit d'un texte très important pour nous, car il parachève la création de l'Arcom en la désignant comme autorité de coordination nationale (DSC) en France pour la mise en oeuvre de ce texte. Pour nous, la dimension fondamentale dans ce texte réside dans le C de DSC, à savoir cette mission de coordination que nous porterons en liaison étroite avec la Cnil. Je n'oublie pas la Direction générale de la concurrence, puisque des dispositions du texte visent des questions de contrefaçon, qui touchent au droit de la consommation. Dans notre fonction de DSC, nous aurons à coeur d'organiser la coordination avec les autres autorités nationales concernées par ce texte pour assurer sa bonne application.

Nous nous réjouissons également que le texte mette en lumière l'articulation entre l'Arcom et le PEReN, service national créé pour mettre à disposition de l'ensemble des administrations françaises et des autorités administratives des compétences techniques et des expertises rares. Cette collaboration sera pour l'Arcom précieuse dans la mise en oeuvre de ce Règlement européen.

Par ailleurs, la mise en oeuvre de ce texte va nécessiter une étroite collaboration avec la Commission européenne, car le règlement prévoit un niveau d'obligation différent en fonction de la taille des plateformes. Les plus importantes d'entre elles (Facebook, Twitter, TikTok, Google...) seront sous un contrôle plus direct de la Commission européenne en liaison avec les autorités nationales désignées par chaque pays, dont l'Arcom pour la France. Ce Conseil organisé autour de la Commission européenne devra donc fonctionner de manière fluide. De la même façon, nous devrons avoir une articulation étroite avec nos homologues étrangers, dont l'Irlande qui héberge nombre de plateformes. J'étais en Irlande il y a très peu de temps pour précisément organiser ce flux de relations.

Enfin, madame la présidente, je suis sensible aux voeux que vous avez exprimés pour le renforcement des moyens de l'Autorité. Nous avions obtenu dans le cadre de la loi de finances pour 2023 la possibilité de créer quelques emplois supplémentaires, et nous souhaitons que la loi de finances pour 2024 permette de compléter ce mouvement pour doter des bons profils notre direction des plateformes, créée il y a deux ans et demi, et chargée du volet de la régulation des acteurs du numérique. Il s'agit en effet d'une régulation d'un nouveau type qui fait appel à des techniques nouvelles, et il est donc important qu'elle dispose des moyens pour mener à bien ses missions.

L'Arcom exprime donc un avis favorable sur le texte, avec quelques petites observations notamment sur la protection des mineurs, sur laquelle il est sans doute possible d'optimiser la rédaction.

Mme Catherine Morin-Desailly, présidente. - Je vous remercie monsieur le président, je passe maintenant la parole à la présidente de l'Arcep.

Mme Laure de La Raudière, présidente de l'Arcep. - Merci madame la présidente.

Messieurs les rapporteurs, mesdames et messieurs les sénatrices et sénateurs, madame la présidente de la Cnil, monsieur le président de l'Arcom, je suis très heureuse d'être aujourd'hui parmi vous pour vous donner l'avis de l'Arcep sur le texte de loi. Nous sommes concernés par le titre III, qui vise à renforcer la confiance et la concurrence dans l'économie de la donnée, et renforcer l'innovation dans le domaine du numérique.

L'Arcep a été créée au moment de l'ouverture du marché des télécoms en 1997 avec comme objectif le développement de la concurrence et de l'innovation. D'autres compétences nous ont été données par la suite, comme la définition des normes permettant l'interopérabilité et la portabilité dans le domaine des réseaux des télécommunications. Nous sommes également le garant de la neutralité de l'Internet qui favorise l'innovation et la liberté d'expression. Le règlement de la neutralité d'Internet a été proposé par la Commission européenne pour garantir à l'ensemble des acteurs d'avoir accès à Internet sans discrimination, et aux utilisateurs d'accéder à l'ensemble des contenus. Nous avons également travaillé sur l'ouverture des marchés numériques, en amont du règlement européen sur les marchés numériques (RMN). L'Arcep a rendu un rapport à propos des terminaux comme maillons faibles de la neutralité d'Internet. Les smartphones étaient identifiés comme des lieux où les gens étaient prisonniers. La Commission des affaires économiques du Sénat avait à ce sujet déposé un texte en amont du RMN pour déverrouiller ce marché numérique.

L'Arcep possède donc une culture d'ouverture des écosystèmes numériques. Nous sommes une autorité pro-innovation et pro-concurrence, et un régulateur économique sur le champ des télécoms ayant élargi progressivement notre action sur le champ du numérique. Nous attendons avec beaucoup d'intérêt les nouvelles compétences qui s'inscrivent en continuité de nos réflexions, comme l'interopérabilité et la portabilité des services cloud, ou concernant l'autorité en charge de la régulation de ce nouveau type d'acteurs que sont les prestataires de services d'intermédiation de données.

L'objectif du texte est de déverrouiller le marché du cloud, aujourd'hui fortement concentré autour de quelques acteurs principalement américains, situation renforcée par des pratiques qui verrouillent les utilisateurs sur les plateformes. Le sujet est abordé dans l'article 6 pour lequel l'Arcep n'est pas compétente, et qui est délégué à la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Le texte confie à l'Arcep la définition des spécifications et des modalités permettant l'interopérabilité et la portabilité des services cloud. Les freins sont en effet à la fois commerciaux, contractuels, mais aussi techniques.

Le texte prévoit la mise en place d'interfaces d'application pour permettre le transfert, et permet pour les services cloud d'infrastructure une équivalence fonctionnelle. Ces prévisions sont cohérentes par rapport à la position du Conseil au niveau européen, dans le cadre des discussions actuellement en trilogue pour le règlement européen du Data Act.

Vous allez légiférer sur les articles concernant le cloud en amont de l'adoption définitive du règlement Data Act, et nous pensons qu'une vigilance particulière doit être apportée aux articles concernant l'interopérabilité et la portabilité du service de cloud. Il serait souhaitable de ne pas trop détailler pour laisser à la régulation la possibilité d'évoluer en fonction de ce qui sera décidé in fine sur le Data Act. L'Arcep considère que les rédactions et les définitions proposées permettent cette évolution, et sont donc bienvenues.

Nous sommes également concernés par l'application du Data Governance Act, adopté en 2022 au niveau européen, qui nécessite de désigner une autorité indépendante, notamment pour la régulation des prestataires de service d'intermédiation de données. Ces entités vont permettre l'échange de données sur un marché, en mettant en place une plateforme technique mais aussi contractuelle pour assurer des échanges de données en toute confiance entre les acteurs d'un secteur.

L'opérateur Hub One, filiale d'Aéroports de Paris (ADP), souhaite ainsi développer ce type de plateforme d'échange de données en situation de confiance, avec l'ensemble des clients d'ADP, pour améliorer le service rendu aux passagers et aux différentes entreprises travaillant sur les aéroports.

Cette partie du texte prévoit une coopération avec la Cnil, détaillée avec trois mécanismes. Le premier est un mécanisme général prévoyant que l'Arcep saisisse la Cnil avant toute décision des pratiques des prestataires de service d'intermédiation de données de nature à soulever des questions liées à la protection des données personnelles. Un mécanisme spécifique est lié à la labellisation et aux réclamations éventuelles concernant les prestataires de services d'intermédiation de données, et une autre concerne les procédures de sanction.

La rédaction actuelle du texte nous paraît correspondre à nos besoins d'échanges avec la Cnil, sachant que le Règlement européen du Data Governance Act prévoit que les dispositions concernant les prestataires de services d'intermédiation de données se font sans préjudice de celles concernant le Règlement général sur la protection des données (RGPD). Par ailleurs, le texte européen prévoit que l'ensemble des autorités concernées exerceront toujours leur rôle. Nous pourrions ainsi saisir l'Autorité de la concurrence, ou l'Agence nationale de sécurité des systèmes d'information (Anssi) pour leur demander un avis sur certaines pratiques des prestataires de services d'intermédiation de données. Nous serons ainsi amenés à poursuivre nos coopérations avec les hautes autorités indépendantes, ce qui n'est pas une pratique nouvelle, comme l'a précisé Roch-Olivier Maistre : l'Arcep et l'Autorité de la concurrence se saisissent régulièrement l'une l'autre, et nous disposons avec l'Arcom d'un pôle commun qui fonctionne bien, pour travailler sur des sujets comme les enjeux environnementaux du numérique.

Enfin, nous serons très vigilants, dans notre mise en oeuvre de l'interopérabilité et de la portabilité des services cloud, sur les enjeux et les évolutions du texte européen. Faut-il légiférer maintenant ou attendre le règlement européen ? L'intérêt de légiférer maintenant permettrait de monter en compétences, de rencontrer les acteurs, de comprendre le système. L'interopérabilité et la portabilité des services cloud représentent un enjeu complexe, et l'anticipation du règlement européen peut donner à la France une avance en matière de compétences. Nous devrons recruter pour ce sujet, et du personnel sera mobilisé en interne. Un important travail en amont, notamment auprès des acteurs, doit être mené avant de prendre des décisions de spécifications et de modalités de l'interopérabilité. La nouvelle compétence de la distribution de la presse nous a demandé un an et demi avant de prendre les premières décisions majeures. Ce sujet est sensible d'un point de vue économique, mais moins d'un point de vue technique.

Mme Catherine Morin-Desailly, présidente. - Merci madame la présidente. Il est vrai que nous avons l'impression que ce texte permet d'anticiper les sujets que vous avez évoqués, et le Data Act est toujours en cours de discussion. Vous nous avez mis en garde de ne pas trop préciser le texte, ce qui met un peu dans l'embarras le législateur français, car nous considérons que nous avons notre mot à dire. Par ailleurs, nous avons bien noté ce décalage temporel dans l'adoption des règlements européens.

Je donne maintenant la parole à Marie-Laure Denis pour la Cnil.

Mme Marie-Laure Denis, présidente de la Cnil. - Merci, madame la présidente.

Messieurs les rapporteurs, mesdames et messieurs les sénateurs, je vous remercie d'avoir sollicité la Cnil pour cette table ronde chargée d'examiner le projet de loi visant à sécuriser et à réguler l'espace numérique, et qui traduit le souci de votre Commission spéciale de veiller à la bonne articulation entre les autorités indépendantes représentées ici pour la mise en oeuvre de ces dispositions.

Dans un avis adopté le 20 avril dernier, la Cnil s'est prononcée sur les dispositions de ce texte en lien avec la protection des données à caractère personnel. Je ferai en préambule trois remarques d'ordre général.

Tout d'abord, ces nouvelles dispositions de la loi s'appliqueront sans préjudice de celles fixées par le RGPD. À cet égard, en cas de conflit entre ces dispositions et le droit de l'Union en matière de protection des données à caractère personnel, ce sont les dispositions pertinentes en matière de données personnelles qui prévalent, et il reviendra à la Cnil de veiller à leur pleine effectivité.

Ensuite, nous constatons une multiplication des réglementations régissant le numérique, tant du fait des nombreux textes européens adoptés ou en cours d'adoption que de nouvelles réglementations nationales. Ces régimes prévoient l'intervention d'un nombre croissant de régulateurs dans l'espace numérique. Si la pénétration croissante des technologies numériques dans toutes les activités humaines est évidente, l'inflation normative et la multiplicité des textes comportent deux risques : la complexité juridique et donc l'insécurité juridique dans l'articulation de ces textes, et celui d'une régulation moins cohérente ou moins efficace de l'espace numérique. C'est la raison pour laquelle des mécanismes de coordination entre les régulateurs sont prévus, et je me permets d'attirer votre attention sur ces enjeux d'articulation et de coordination qui me paraissent essentiels.

Enfin, la Cnil partage les préoccupations du Gouvernement, et son objectif de sécuriser l'espace numérique. Elle s'y emploie au quotidien, au travers de son action en matière de cybersécurité et en promouvant des actions d'éducation au numérique. Néanmoins, certaines des mesures proposées par le projet de loi soulèvent des questions importantes en matière de protection des libertés fondamentales des internautes, dont le respect de la protection de la vie privée. Nous appelons donc le Parlement à poursuivre cette réflexion sur le juste équilibre nécessaire entre sécurité et liberté.

Je souhaite maintenant aborder quelques dispositions en particulier.

Tout d'abord, s'agissant des dispositions de vérification de l'âge sur Internet, la Cnil réaffirme son soutien à l'objectif poursuivi de protection de la jeunesse. Les systèmes de contrôle de l'âge présentent des enjeux importants en matière de protection des données personnelles, et la Cnil a émis plusieurs recommandations à ce sujet. Le texte prévoit que la Cnil sera consultée par l'Arcom sur le projet de référentiel qui fixera les exigences techniques permettant d'empêcher les mineurs d'avoir accès à des contenus pornographiques. En pratique, nous travaillons déjà main dans la main sur ce sujet avec l'Arcom pour qu'on ne puisse pas opposer la protection des mineurs et la protection des données personnelles.

Dans son avis, le collège de la Cnil a appelé à préciser l'articulation entre les différentes mesures susceptibles d'être prises, évoquées par Roch-Olivier Maistre. Par ailleurs, dès lors que nous constatons au quotidien le besoin d'un dialogue continu sur ces sujets très techniques entre l'Arcom et la Cnil, il serait pertinent d'introduire un mécanisme permettant formellement à l'Arcom de saisir la Cnil pour avis dans le cadre d'une procédure de mise en demeure ou de sanction d'un opérateur de sites pornographiques, en cas d'enjeux de protection de vie privée.

Ensuite, l'article 5 du projet de loi prévoit de créer une peine de bannissement numérique infligée aux personnes condamnées pour diverses formes de harcèlement en ligne, qui leur interdirait d'accéder à leurs comptes sur la plateforme en cause, et d'en créer de nouveaux. Je vous fais part de mes interrogations sur les solutions concrètes qui pourraient être mises en oeuvre, afin notamment d'empêcher la création de nouveaux comptes par la personne condamnée. En tout état de cause, les mesures pour bloquer les comptes existants et empêcher la création de nouveaux comptes, qui ne sont pas précisées dans le projet de loi, devront être proportionnées à l'objectif poursuivi. Ces dispositions ne devraient pas conduire les réseaux sociaux à collecter des données supplémentaires, ou à mettre en oeuvre des traitements intrusifs pour l'ensemble de leurs utilisateurs, alors que ces mesures ne concerneront qu'un nombre limité de ces derniers.

En outre, je m'interroge sur la pertinence d'un blocage qui reposerait sur l'adresse IP, dans la mesure où il pourrait être facilement contourné, par exemple avec un VPN, et que cela porterait atteinte aux libertés de toutes les personnes vivant dans le foyer concerné.

En ce qui concerne maintenant le filtre national de cybersécurité à destination du grand public, porté par l'article 6, la Cnil approuve le souhait du Gouvernement de renforcer la protection de l'internaute contre les risques cyber via l'affichage d'un message dans leur navigateur lorsqu'il accède à un site comportant des risques. Là aussi, il est crucial que l'objectif légitime de cybersécurité ne conduise pas en pratique à une restriction abusive des libertés de communication et d'expression. À cet égard, je note avec satisfaction que des garanties ont été apportées et qu'un contrôle indépendant de la mise en oeuvre du filtrage sera confié à un membre de la Cnil.

Nous soulignons néanmoins que le nombre potentiel de sites cybermalveillants serait de l'ordre de 300 000 par an. Le contrôle de ces sites constituera donc un défi considérable qui implique des moyens adéquats. Concrètement, la Cnil est susceptible de recevoir des notifications concernant peut-être 1 000 adresses par jour.

S'agissant des modalités techniques de déploiement de ce filtre, la Cnil, comme elle l'a indiqué dans son avis, est favorable à ce que le filtrage soit réalisé au sein du navigateur Internet, donc sous la responsabilité de l'internaute, préservant ainsi sa liberté de communication, et que l'activation du dispositif au niveau des fournisseurs d'accès à Internet (FAI) et des systèmes de résolution des noms de domaine (DNS) soit réservée aux cas les plus graves.

Par ailleurs, s'agissant de la régulation des services d'intermédiation de données (articles 11 et 12 notamment), instaurée par le règlement européen sur la gouvernance des données (DGA), le projet de loi désigne l'Arcep pour superviser ces nouveaux acteurs. La Cnil souligne que, si certains de ces acteurs traitent de données industrielles et très peu de données personnelles, une partie d'entre eux ont pour activité principale de commercialiser un accès à des bases de données personnelles. Pour ces acteurs, le DGA et le RGPD s'appliqueront parallèlement, et le DGA prévoit qu'en cas de contrariété le RGPD prévaut.

En outre, les règles du DGA sont en partie des règles décalquées ou précisées du RGPD. Il existe donc un risque de complexité et d'insécurité juridique que l'Arcep et la Cnil devront parer en travaillant ensemble. La Cnil doit pouvoir notamment jouer pleinement son rôle dans la qualification des acteurs et des données qui traitent ces acteurs, afin qu'eux-mêmes et l'Arcep puissent déterminer les règles s'appliquant.

La Cnil a formulé certaines propositions dans son avis. Le collège de la Cnil propose que la loi soit complétée pour prévoir une transmission systématique à la Cnil des notifications que ces prestataires feront à l'Arcep pour déclarer leur activité. Cela permettrait à la Cnil de rendre un avis pour indiquer à l'acteur et à l'Arcep si le RGPD s'applique ou non en parallèle du DGA, et dans quelle mesure. Cela améliorerait la sécurité juridique et nourrirait le dialogue entre les régulateurs.

Dans le même esprit, une consultation systématique et préalable de chacune des deux autorités Arcep et Cnil avant toute adoption d'un texte de droit souple par l'un ou l'autre des deux régulateurs me paraît également nécessaire. Il serait par ailleurs utile d'apporter une modification rédactionnelle à l'alinéa 2 de l'article 13, qui évoque sur des sujets précis la consultation de la Cnil par l'Arcep mais en parlant d'un « cas échéant », dont j'ai un peu du mal à comprendre ce à quoi il se rapporte. Je propose donc sa suppression.

Enfin, je conclurai sur les compétences confiées à la Cnil dans le cadre du DGA et du RSN. Cela concerne l'altruisme des données, la publicité en ligne et la protection des mineurs. J'approuve les choix du Gouvernement dans la mesure où l'altruisme des données reste à construire, et présentera des enjeux en matière de protection des personnes. Concernant la publicité en ligne et la protection des mineurs, le RSN précise des règles déjà présentes dans le RGPD.

Au regard de la diversité des acteurs qui devront appliquer le RSN, je ne peux pour conclure qu'insister à nouveau sur la nécessité d'une coopération étroite entre les autorités compétentes, l'Arcom, la DGCCRF et la Cnil, qui existe déjà de fait, pour assurer une régulation cohérente et garantir une sécurité juridique des acteurs concernés. Je vous remercie.

Mme Catherine Morin-Desailly, présidente. - Merci madame la présidente. Je vais passer maintenant la parole à Loïc Hervé, pour une première série de questions relatives à notre texte.

M. Loïc Hervé, rapporteur. - Tout d'abord une question d'ordre général. Le Sénat a adopté hier après-midi une proposition de loi relative à la reconnaissance biométrique, qui prévoit un panachage des collèges permettant par exemple au président d'une autorité d'être membre de droit du collège d'une autre autorité, comme ce qui existe avec la Commission d'accès aux documents administratifs (Cada) et la Cnil. Est-ce un sujet qui doit selon vous être développé ? Est-ce le gage d'une meilleure coopération entre les différentes autorités administratives indépendantes ?

Vous avez évoqué de manière très complète le texte de loi qui présente des conséquences sur la vie de vos autorités administratives indépendantes. Ce texte comporte-t-il selon vous des lacunes, des domaines non couverts qui mériteraient de l'être et qui pourraient alimenter le travail parlementaire de cette commission spéciale ?

Monsieur le président de l'Arcom, nous avons évoqué hier dans une audition la question du référentiel. Le législateur va vous confier la mission de rédaction, ce qui peut apparaître comme une question technique, alors qu'elle ne l'est pas à bien des égards. J'aimerais que vous puissiez ainsi détailler les questions de planning et de technologies préconisées, afin que nous appréhendions au mieux les enjeux et les difficultés potentielles. Ce référentiel sera important, car il fera jurisprudence lorsqu'il s'agira d'évoquer la régulation d'autres secteurs de l'Internet, ce que craignent un certain nombre d'acteurs.

Concernant votre pouvoir d'injonction administrative créé par l'article 2, comment le concevez-vous, particulièrement sur l'accès des sites pornographiques aux mineurs ? Nous avons constaté les difficultés de mise en oeuvre de textes de loi déjà votés. Par ailleurs, comment pouvez-vous lier ce nouveau travail à l'exploitation du travail accompli avec la plateforme Pharos ?

Madame la présidente de la Cnil, vous avez abordé à deux reprises la question des moyens : disposez-vous d'une évaluation de vos besoins au regard de l'ampleur des missions qui vous seraient confiées ?

Mme Catherine Morin-Desailly, présidente. - La question de l'accès aux sites pédopornographiques est essentielle, mais ne doit pas faire oublier celle du harcèlement de nos jeunes, avec des conséquences dramatiques, comme nous l'avons constaté récemment. Comment ce nouveau texte pourrait permettre de résoudre cette problématique ?

Mme Laure de La Raudière. - Concernant le panachage des collèges d'autorité, je rappelle que la coopération est bonne et que nous échangeons régulièrement. Le fait que le président d'une autorité comme l'Arcep soit membre du collège de la Cnil par droit, et vice-versa, ne me paraît pas la solution idéale, en raison d'un risque de biais dans la mesure où la décision d'une autorité emporterait l'avis de l'autre, au moins en communication à l'extérieur. Par exemple, une décision prise par l'Arcep avec un membre de la Cnil en son sein pourrait être perçue comme validée par la Cnil. Je préfère donc largement les avis croisés où chaque autorité s'exprime selon ses objectifs spécifiques de régulation. Les trois autorités possèdent en effet des objectifs de régulation différents : les contenus pour l'Arcom, la défense des libertés individuelles pour la Cnil, la défense de la concurrence pour l'Arcep.

Par ailleurs, les coopérations entre autorités existent. Nous disposons de collèges communs à l'Arcom et à l'Arcep, mis en place sans le recours à des textes de loi. Ils se réunissent une à deux fois par an. Nous bénéficions également d'un pôle de travail commun entre l'Arcom et l'Arcep. Cette coopération doit exister au niveau des collèges, mais aussi par des groupes de travail commun ou par des pôles commun au niveau des équipes, ce qui est essentiel.

M. Roch-Olivier Maistre. - Concernant le premier point, je fais volontiers mienne la réponse de Laure de La Raudière. Il existe des mécanismes de consultation prévus par les textes et que nous pratiquons chaque fois qu'une problématique intéresse une autre autorité. Nous avons en l'occurrence suggéré d'instaurer une procédure formelle s'agissant de la protection des mineurs dans le texte qui vous est soumis. Par ailleurs, la mécanique des conventions constitue un dispositif souple mais tout à fait efficace, mis en pratique avec l'Arcep lors de ma prise de fonctions. Il existe également des procédures d'audition périodiques. Marie-Laure Denis m'a ainsi convié à une intervention devant le collège de la Cnil il y a quelques semaines, et elle a également répondu à l'invitation du collège de l'Arcom. Nous avons aussi reçu le président de l'Autorité de la concurrence, et je suis auditionné cette semaine par cette autorité. Ce type de mécanisme me paraît donc préférable.

Les membres de nos collèges sont déjà nombreux, donc je pense souhaitable de privilégier les mécanismes évoqués plutôt qu'une présence supplémentaire institutionnelle.

Concernant les lacunes, je n'en identifie pas à ce stade.

Par ailleurs, le référentiel constituera en effet un sujet important. J'ai évoqué dans mon propos introductif l'attente d'une décision de justice le 7 juillet, et je serai donc prudent dans mon expression. Nous travaillons sur ce sujet avec la Cnil et le PEReN pour préparer ce document qui devrait être prêt à l'automne. Nous serons sans doute confrontés sur ce volet à une consultation de niveau européen.

Concernant les procédures d'injonction, nous distinguons à la lecture du projet de loi deux types de dispositions entre l'article 1 et l'article 2. Le premier vise plus spécifiquement des dispositifs de vérification d'âge qui ne respecteraient pas suffisamment la vie privée au regard du référentiel élaboré par l'Arcom après avis de la Cnil et la collaboration du PEReN. Dans ce cas, le texte évoque la possibilité de mise en demeure et de sanctions financières. L'article 2 vise l'absence de mise en place d'un dispositif efficace de vérification de l'âge qui pourrait conduire l'autorité à demander le blocage du site, mais cet article ne fait pas référence au référentiel, raison pour laquelle il nous semblerait utile, en accord avec la Cnil, d'harmoniser ces deux articles en un seul, de prévoir une mesure de consultation formelle de la Cnil par l'Arcom dans l'hypothèse du constat d'un dispositif mis en oeuvre par un site qui porterait atteinte de façon excessive à la vie privée en regard du référentiel. Nous disposerions alors d'un seul schéma de procédure pour éviter ces zones d'ambiguïté.

Concernant la question du harcèlement, il s'agit d'un sujet central. Je vois aujourd'hui le ministre de l'Éducation nationale pour en parler. Le règlement sur les services numériques a pour ambition de conduire les sites couverts par ce texte à lutter contre tous les contenus de nature illicite, et vise plus spécifiquement tout ce qui a trait à la haine en ligne et aux mécanismes de harcèlement. Il mentionne par ailleurs l'obligation de procéder à l'évaluation des risques de nature systémique que chacune de leur plateforme peut comporter, d'imposer à ces sites des mécanismes annuels d'audit externe pour vérifier les dispositifs mis en place, soit d'Intelligence artificielle, soit de modération humaine. Une autre obligation contraint ces sites à mettre leurs données à disposition de la sphère académique pour qu'elle puisse mener ses travaux de recherche et contrôler la manière dont leurs algorithmes procèdent. Par ailleurs, les autorités de régulation disposeraient d'un important pouvoir de sanction, pouvant aller jusqu'à 6 % du chiffre d'affaires mondial. Il s'agit donc de réponses très importantes.

Pour les très grandes plateformes, ce règlement sera effectif à partir de la fin du mois d'août de cette année. Twitter ou TikTok répondent-ils aux dispositions du RSN ? Pour l'Union européenne, pour la Commission, pour la gouvernance de ce texte, les réponses vont arriver très vite. L'enjeu de crédibilité est essentiel.

Une autre dimension tout aussi importante réside dans le volet éducation aux médias, et à la citoyenneté numérique : comment proposer très tôt l'apprentissage d'une citoyenneté numérique ? Ouvrir un compte sur TikTok, Facebook ou Twitter ne doit pas être synonyme d'une transformation en délinquant potentiel, en harceleur de ses camarades de classe ou en diffuseur de fausses informations. Le travail éducatif en amont est donc très important.

Mme Marie-Laure Denis. - Concernant l'éventuel élargissement du collège de la Cnil et des hautes autorités, l'idée exprimée dans le rapport de Philippe Latombe et de Philippe Gosselin à l'Assemblée nationale sur l'utilisation des images de sécurité dans le domaine public pour lutter contre l'insécurité, a été reprise hier dans la proposition de loi sur la reconnaissance faciale. La recommandation 36 de ce rapport liait l'élargissement du collège de la Cnil à la proposition qui suggérait de consacrer la Cnil en tant que chef de file de la régulation des systèmes d'Intelligence artificielle, donc pour une compétence très particulière, très structurante.

Par ailleurs, nous pratiquons déjà beaucoup l'inter-régulation, de manière structurelle à la Cnil avec le président de la Cada, membre de droit de notre collège, tout comme la défenseure des droits. Notre collège comporte 18 membres, ce qui en fait probablement le plus important des autorités de régulation.

Concernant les lacunes, je n'en ai pas décelé. Parmi la mise en oeuvre de dispositions du RSN, certains pouvoirs de sanctions et d'enquête de la Cnil sont précisés ou modifiés, et il faudrait par cohérence que ces règles de procédure répressive soient harmonisées dans tous les textes concernant la Cnil. Je rejoins les propos du président de l'Arcom sur l'utilité de fusionner les articles 1 et 2 de la loi par souci de cohérence.

Concernant les moyens de la Cnil, des précisions pourront être apportées lorsqu'un décret d'application sera pris sur le filtre cyber-arnaque et le rôle de l'autorité administrative qui sera en première ligne, le rôle du membre du collège de la Cnil, et donc des services de la Cnil. L'enjeu de l'efficacité est très fort. Nous disposions de 270 agents à la fin de l'année dernière. Nous sommes vus comme le gendarme de la protection des données, nous traitons de 12 à 14 000 plaintes par an, nous prononçons des sanctions et réalisons des contrôles, notre but étant la mise en conformité plus que la sanction. Nous accompagnons beaucoup d'entreprises innovantes dans le domaine du numérique, comme le montre l'opération « bac à sable » consacrée cette année à l'Intelligence artificielle et les administrations. Nous avons également créé un accompagnement renforcé de six mois auprès d'entreprises à très fort potentiel de développement économique et numérique. Il aurait ainsi été intéressant pour la Cnil d'accompagner Doctolib au moment de sa création, plutôt qu'au moment où l'entreprise est très installée. Cette année, 47 entreprises à fort potentiel de développement économique ont souhaité être accompagnées par la Cnil en matière de protection des données.

Notre rôle ne se limite donc pas à celui de gendarme de la protection des données. Nous sommes par ailleurs la seule autorité de protection des données en Europe à disposer d'un laboratoire d'innovation numérique traitant notamment des assistants vocaux, de l'Intelligence artificielle. Nous organisons également un Privacy Research Day sur les enjeux entre recherche, régulation, entreprises en matière de protection des données.

Concernant le filtre anti-arnaques, la Cnil devra disposer de moyens supplémentaires, indépendamment de ceux déjà budgétés, si nous voulons garantir l'efficacité de ce dispositif.

Mme Catherine Morin-Desailly, présidente. - Je me permets une remarque, madame la présidente : il est dommage d'entendre le terme de Privacy Research Day quand la loi sur la défense du français fête ses 40 ans.

Mme Marie-Laure Denis. - Ma langue a fourché, et il est vrai que certains citoyens nous reprochent l'utilisation de tels termes. Par ailleurs, j'ai beaucoup de sympathie pour Jacques Toubon, initiateur de cette loi, et je reformulerai donc autrement l'intitulé de la manifestation.

Mme Catherine Morin-Desailly, présidente. - Je donne maintenant la parole à notre deuxième rapporteur, Patrick Chaize, pour l'autre volet.

M. Patrick Chaize, rapporteur. - Je vais évoquer l'article 6 de ce texte, et vous questionner sur la manière dont les autorités que vous représentez contribueront au déploiement du filtre anti-arnaques prévu à cet article. La mise en place d'un dispositif ordonné par voie administrative plutôt que par voie judiciaire vous semble-t-elle plus efficace ? La Cnil est désignée comme autorité garante du caractère adapté et proportionné des mesures prises dans le cadre de ce dispositif : qui sera la personnalité qualifiée ou quel sera le profil de la personne qui assurera ce rôle ?

Concernant la régulation du marché de l'informatique en nuage, l'encadrement des crédits et la suppression des frais de transfert sortant de données, le projet de loi attribue à l'Arcep un nouveau rôle de gendarme de l'informatique en nuage. Êtes-vous satisfaite, madame la présidente, de ce nouveau rôle ?

Concernant les services d'intermédiation de données, d'autres États membres ont-ils effectué ou ont-ils manifesté l'intention d'effectuer un autre choix que la désignation de leur autorité de régulation des télécommunications comme seule compétente pour l'application du Data Act ? Concernant l'article 11, vous avez, madame la présidente de la Cnil, des propositions à nous faire et je leur suis ouvert. Une compétence de l'Arcep et de la Cnil exercée en commun ou partagée a-t-elle été envisagée ? Quels avantages et inconvénients cette solution aurait-elle présentés ?

Concernant l'article 25 sur les procédures de saisine et de visite de l'Arcom, en quoi est-il nécessaire de préciser dans la loi que les autorités compétentes pour la mise en oeuvre du règlement sur les services numériques coopèrent étroitement, se prêtent mutuellement assistance et se communiquent librement des informations ? Quel sera l'objet des conventions de coopération que vous allez signer, et pourriez-vous nous en dire davantage sur ces conventions ?

La procédure de saisine et de visite des locaux fournisseurs des services entre 6 heures et 21 heures nous interpelle par sa rédaction. Si la procédure ne peut être autorisée que par le juge des libertés et de la détention, il est prévu que toutes les conditions de réalisation de cette procédure soient fixées par voie réglementaire, ce qui nous étonne. Pourriez-vous nous détailler la procédure prévue qui s'apparente à une perquisition ?

Mme Marie-Laure Denis. - Concernant l'article 6 et la création d'un filtre national de cybersécurité qui permet d'alerter les internautes par le biais d'un message d'alerte dans leur navigateur lorsqu'ils souhaitent accéder à un site malveillant, tout le sujet consiste à avoir des garanties sur l'efficacité de ce filtre, et en matière de liberté, de communication et d'expression. Pour cela, le texte prévoit, en reprenant largement l'avis du Conseil d'État, un certain nombre de procédures et de délais.

Je comprends du texte qu'il reviendrait à un membre indépendant du collège de la Cnil de s'assurer du caractère justifié des mesures, des conditions d'établissement, de mise à jour et de communication de l'utilisation de la liste des adresses électroniques concernées. Mais nous ne pourrons désigner cette personnalité qualifiée que lorsque le décret d'application prévu dans le texte sera pris.

Nous considérons que le blocage peut être envisagé, mais seulement pour les cas les plus graves, et la question des modalités et des moyens doit être précisée.

S'agissant des services d'intermédiaire de données, il nous semble important que la Cnil soit saisie pour avis systématiquement et au préalable de toute déclaration d'un intermédiaire de données auprès de l'Arcep, pour que ce soit la Cnil qui précise si ces données comportent des données personnelles, et quelles sont les règles qui s'appliquent à ces acteurs. Par sécurité juridique et par lisibilité de ces textes complexes, il nous semblerait utile que si l'Arcep ou la Cnil édictent des règles de droit souple sur le sujet des intermédiaires de données, il y ait une consultation préalable là aussi systématique de l'autre autorité concernée.

Par ailleurs, l'article 13 comporte l'expression « le cas échéant » que je propose de supprimer du fait de son ambiguïté. Il s'agit du paragraphe à propos de la consultation de la Cnil par l'Arcep, qui précise que « dans les conditions fixées par décret, cette autorité recueille le cas échéant les observations éventuelles de la commission par rapport à des demandes qui peuvent concerner un règlement sur la gouvernance européenne des données ».

M. Roch-Olivier Maistre. - Sur le principe de la coopération, l'équilibre proposé par le texte nous semble adapté en fixant les grands principes dans la loi, mais en renvoyant les modalités de ces coopérations entre les uns et les autres à des outils plus souples, du type convention. La nature des informations que nous allons échanger peut être sensible, et il est important de disposer d'une référence législative. Chaque autorité possède des champs de compétences propres. Concernant la mise en oeuvre du RSN, nous aurons chacun des attributions respectives à faire valoir, et cela doit être couvert par la convention.

Le pouvoir de visite est inspiré de celui dont peut disposer l'Autorité de de la concurrence. Nous avons face à nous des acteurs puissants, avec lesquels nous devons dialoguer dans une position de force.

Mme Laure de La Raudière. - Merci pour votre question sur la manière dont l'Arcep accueille ces nouvelles compétences, notamment en matière d'informatique en nuage. Notre accueil est très favorable, car ce marché doit être déverrouillé. Il existe des freins contractuels mais aussi techniques liés à la migration des clients vers d'autres fournisseurs, le marché étant concentré à 70 % autour de trois ou quatre fournisseurs, tous américains. Pour faire émerger des entreprises européennes puissantes dans ce secteur, nous devons déverrouiller ce marché. L'enjeu est économique, car le marché est en croissance, mais il touche aussi à la souveraineté de l'Europe sur l'hébergement des différents services informatiques.

L'Arcep est d'autant plus favorable qu'elle possède un rôle de régulateur technico-économique du numérique, que son expertise technique et sa culture d'ouverture des écosystèmes numériques la motivent beaucoup à prendre en compte cette nouvelle compétence, et ce nouveau marché à déverrouiller.

Par ailleurs, l'Arcep aura également besoin de moyens supplémentaires pour assurer ces nouvelles compétences sur l'informatique en nuage ou sur le Data Governance Act. Les personnels de l'Arcep, comme ceux de l'Arcom et de la Cnil, sont très, très occupés. Certains d'entre vous, ou d'autres acteurs, nous reprochent notre manque de réactivité, mais le problème réside souvent dans une question de moyens. Nous espérons donc que cette demande sera prise en compte lors de la loi de finances de 2024.

Concernant la question de l'exercice en commun de la compétence sur les précepteurs de services d'intermédiation de données, il serait complexe, à la fois pour les acteurs et pour les autorités, d'exercer ensemble une compétence au sein de deux autorités qui n'ont pas été créées pour les mêmes objectifs, les mêmes enjeux, avec des cultures de régulation différentes. Modifier l'architecture actuelle du texte sur le DGA ne constituerait donc pas une bonne idée à mon sens.

Le DGA prévoit une notification systématique par l'Arcep de l'ensemble des prestataires de services d'intermédiation de données déclarés auprès de l'Arcep. La Commission européenne a prévu de rendre publiques ces déclarations, raison pour laquelle le texte ne prévoit pas que l'Arcep notifie à la Cnil.

Mme Marie-Laure Denis. - Je précise que l'enjeu n'est pas que cela soit public ou non, mais réside dans la possibilité que les données soient à la fois personnelles et non personnelles. Notifier à la Cnil permet d'informer ces acteurs, qui font face à la fois au DGA et au RGPD, et qui sont potentiellement soumis à deux législations. Je pense que la notification à la Commission européenne n'a pas le même objectif que la notification à la Cnil. Ces acteurs ne sont pas si nombreux, puisque l'analyse d'impact de la Commission européenne sur les services d'intermédiation de données identifiait une cinquantaine d'acteurs en « B to B », et un nombre proche en « B to C ». À très court terme, seule une demi-douzaine d'acteurs est concernée. Je ne vois pas où serait l'impossibilité et l'inconvénient de notifier à la Cnil, à qui il appartient de déterminer s'il existe des données personnelles ou non.

Mme Laure de La Raudière. - Par rapport à l'expression « le cas échéant » précisée dans le texte et par rapport à l'obligation de saisine uniquement en cas d'impact sur les données personnelles, la logique est identique : des prestataires de services d'intermédiation de données vont offrir des services avec uniquement des données industrielles. Il s'agit d'un nouveau champ d'activité censé se développer avec ce texte, qui touche beaucoup plus les données industrielles et les données économiques des acteurs et le partage au sein d'un secteur de données économiques et industrielles, et pas nécessairement des données personnelles. Le texte, comme le DGA, prévoit une articulation de ce type.

Mme Marie-Laure Denis. - Je suis d'accord que les acteurs présentant des données industrielles relèvent totalement du DGA et de la compétence de l'Arcep. Je précise simplement que des données industrielles peuvent comprendre des données personnelles, de clients, de salariés, etc. Il est donc important que les acteurs comprennent qu'il existe potentiellement deux séries de textes sur des données différentes, sachant que lorsque les données sont inextricablement liées, elles basculent du côté du RGPD.

Mme Laure de La Raudière. - C'est la raison pour laquelle il est dommage que ce texte anticipe le Data Act, car ce dernier venait équilibrer le Data Governance Act. Dans tous les cas, le RGPD prévaudra toujours. Vous avez raison de dire que les données industrielles doivent être brutes pour ne pas porter préjudice aux entreprises.

Mme Marie-Laure Denis. - Comme vous l'avez précisé, cela intervient sans préjudice du RGPD.

Mme Catherine Morin-Desailly, présidente. - Merci. Nous avons six demandes de prise de parole, dont trois concernent la lutte contre la pédopornographie.

Mme Annick Billon. - Merci madame la présidente, monsieur le président et mesdames les présidentes, pour les nombreuses réponses déjà fournies.

J'évoquerai l'industrie des sites pornographiques, ayant été auteure avec mes collègues du rapport Porno, l'enfer du décor.

Nous constatons que de nouveaux pouvoirs de sanction et de blocage sont donnés à l'Arcom. Pensez-vous, dans l'état actuel de ces nouveaux pouvoirs, réussir à agir ? Nous avons en effet démontré dans notre rapport que les sites pornographiques sont souvent dirigés depuis des paradis fiscaux.

Je soulèverai ensuite une autre question importante liée au retrait des contenus pédopornographiques : quid de la définition des contenus illicites ? Quid de la définition d'un contenu pédopornographique ? Il a été question de pilosité, de la grosseur des seins. Pensez-vous que la définition doit être complétée pour une meilleure efficacité ?

Ma dernière question porte sur le dispositif Cnil-PEReN, actuellement en test avec le groupe Dorcel : disposez-vous de retours ?

Mme Marie Mercier. - Ma remarque concerne la loi du 30 juillet 2020, qui n'est pas appliquée. Pensez-vous qu'un nouveau texte changera quelque chose ? En effet, le tribunal a placé l'Arcom en position de faiblesse avec une médiation surréaliste. La Cour de cassation a rendu un avis formel, et il n'y a pas de discussion juridique sur ces textes. Nos enfants doivent se protéger seuls, et nous sommes face à des mastodontes. Le nouveau texte va immédiatement engendrer une QPC, et nous allons à nouveau perdre du temps.

Par ailleurs, il n'est pas liberticide de contrôler l'âge pour jouer de l'argent. Pourquoi cela deviendrait liberticide pour le visionnage de sites pornographiques ?

Mme Laurence Rossignol. - Ma question sur le même thème s'adresse à la présidente de la Cnil. Vous avez précisé qu'il fallait toujours veiller à la fois à la protection des mineurs et à la protection des données personnelles. Or, j'ai le sentiment que lorsqu'il s'agit des données personnelles des consommateurs de sites pornographiques, les mêmes règles ne sont pas appliquées que pour les utilisateurs d'autres sites. J'ai cru comprendre qu'il fallait que les données personnelles ne circulent pas, notre objectif étant la protection.

Marie Mercier a rappelé que pour la fréquentation par les mineurs de sites de jeux d'argent en ligne, la règle est claire avec les cartes de crédit et la preuve de l'âge. Nous ne nous posons donc pas dans ce cas la question d'une particulière protection des données. Pourquoi se poser la question pour les personnes fréquentant les sites pornographiques ? Je ne comprends pas cette distinction.

M. Roch-Olivier Maistre. - Il faut souligner l'ampleur du phénomène. Nous avons publié une étude très complète sur l'accès à ces sites de la part des mineurs, conduite notamment avec Médiamétrie, avec des mesures très concrètes. L'âge de consultation de ces sites est de plus en plus bas, et cette consultation se fait très largement par l'intermédiaire de téléphones qui ne disposent pas de contrôle parental. Nous bénéficions par ailleurs d'une documentation très riche sur les effets de cette consultation, sur les comportements et la sexualité des jeunes gens.

Je crois que l'opinion publique a largement évolué sur ces sujets-là, et les effets de tolérance sont bien moindres. La justice pénale elle-même s'est mise en mouvement, avec des actions judiciaires en cours contre l'industrie pornographique. Les lignes sont donc en train de bouger.

Mais vos remarques sont justes. Je suis frappé qu'avec un texte de cette nature qui date de trois ans, aucune initiative n'a été menée pour essayer de se conformer à la réglementation. Par ailleurs, la réglementation ne date pas de 2020, puisque l'interdiction d'exposer des mineurs à des contenus pédopornographiques est inscrite dans le Code pénal depuis de très nombreuses années.

Nous avons beaucoup travaillé pour la mise en oeuvre de ce texte. Chaque notification engendre des procédures très lourdes. Chaque acte pris a été contesté, avec une procédure de médiation surprenante, puisqu'il n'était question que de respect de la loi. Nous sommes maintenant suspendus à la décision du juge judiciaire.

Le texte soumis aujourd'hui va-t-il tout résoudre ? Nous suivons un schéma plus classique de régulation par le biais d'une autorité administrative, qui pourra prononcer une mesure de blocage et de déréférencement. Cette action sera menée sous le contrôle du juge, et le texte fera très tôt l'objet d'une QPC. Le référentiel pourra aussi être contesté, et devra faire l'objet de mesures de notification à Bruxelles.

Nous avons face à nous une industrie organisée. La Grande-Bretagne a été mise en échec sur des dispositifs équivalents il y a quatre ou cinq ans. L'Arcom aura comme seule feuille de route la loi, mais la guérilla contentieuse enrichira sans aucun doute quelques cabinets d'avocats.

Mme Catherine Morin-Desailly, présidente. - Nous avons travaillé avec Ludovic Haye sur le projet de règlement visant à combattre et prévenir les abus sexuels sur les enfants. Ce texte, encore en cours de discussion, amènera-t-il quelque chose de supplémentaire, sera-t-il complétement articulé au RSN et aux mesures que la France s'autorise de prendre ?

M. Roch-Olivier Maistre. - Votre question est pertinente. J'évoquerai aussi le sujet du règlement sur les services numériques. La Commission européenne n'a pas été insensible à notre démarche, car certains de ces sites entreront dans la mise en oeuvre de ce règlement, qui peut constituer un biais d'action. Mais je rappelle qu'il existe des centaines de sites pornographiques et qu'ils représentent une consommation de la bande passante tout à fait considérable. Il est donc important de trouver la bonne articulation juridique, et nous examinons le point que vous évoquez.

Mme Marie-Laure Denis. - Concernant l'expérimentation menée aujourd'hui, je n'ai pas encore de retour, mais les services de la Cnil sont en contact avec des entreprises qui cherchent à mettre en oeuvre le dispositif technique préconisé, en travaillant avec le PEReN sur cette solution de double anonymat, qui doit permettre qu'un tiers de confiance certifie votre majorité sans savoir quel site vous allez consulter, et que le site consulté n'ait pas accès à votre identité. Sinon, les techniques multiples de hacking aboutiraient à la diffusion immédiate du fichier des personnes qui consultent ces sites pornographiques.

La Cnil n'avait aucune compétence particulière pour appliquer la disposition législative prise. La Cnil est dans son rôle en cherchant à protéger les données des personnes, et elle a d'elle-même décidé de travailler sur des solutions et d'expérimenter pour concilier ces enjeux de protection de vie privée et de protection de l'enfance. Nous sommes tous conscients des ravages de la consultation de la pornographie sur les mineurs.

Par ailleurs, le collège de la Cnil a autorisé l'utilisation des cartes bancaires, même si cette solution est imparfaite car un adolescent de 17 ans peut disposer d'une telle carte. La Cnil a également autorisé des systèmes d'estimation de l'âge, qui seront sans doute imprécis entre 17 et 19 ans, mais permettront d'identifier un enfant de 13 ans.

La Cnil a donc déployé toute l'énergie nécessaire en peu de temps en assumant ses compétences et son rôle pour faciliter le travail de l'Arcom et répondre à vos préoccupations légitimes.

Mme Alexandra Borchio Fontimp. - Je trouve regrettable que tout le monde autour de cette table partage les constats et les conséquences de l'exposition des mineurs aux contenus pornographiques, mais que personne ne puisse affirmer qu'une solution existe.

Ma question s'adresse à monsieur le président de l'Arcom et à madame la présidente de la Cnil sur l'articulation entre les référentiels prévus par la récente proposition de loi qui instaure une majorité numérique sur les réseaux sociaux, et le projet de loi sur le contrôle de l'âge sur les sites pornographiques. Comment allez-vous organiser votre coopération ?

Mme Marie-Laure Denis. - Le référentiel relève de la compétence de l'Arcom, qui va l'élaborer, et qui consultera la Cnil avant de l'adopter définitivement, notamment concernant les caractéristiques techniques des dispositifs comme le double anonymat, car la Cnil possède les compétences sur ces sujets.

M. Roch-Olivier Maistre. - La coordination sera en effet très étroite, et je partage les propos de Marie-Laure Denis.

Les lignes bougent dans le monde : des États américains ont déjà adopté des législations proches de la nôtre. Plusieurs États européens comme l'Allemagne prennent des initiatives identiques à l'égard des sites pornographiques, et se heurtent aux mêmes difficultés que nous en termes de procédures. L'état de droit donne à un justiciable le droit de faire valoir et de contester des décisions prises par une autorité administrative. Nous attendons le 7 juillet, et je fais confiance à notre justice. L'opinion est aujourd'hui très réceptive à la nécessité de protéger les mineurs, comme le montrent les nombreux articles publiés récemment, et l'écho médiatique rencontré par notre étude sur les statistiques.

Ce chantier est de longue haleine, et nous devons tous maintenir nos efforts.

Mme Catherine Morin-Desailly, présidente. - C'est la raison pour laquelle l'Europe jugeant le phénomène suffisamment grave, s'en empare au plus haut niveau.

Mme Florence Blatrix Contat. - Avant de vous interroger sur la question de la publicité ciblée, je souhaitais exprimer avec d'autres collègues nos craintes pas encore levées, malgré vos réponses, à propos de la coordination. Cette coordination constitue une condition essentielle de l'efficacité de ce dispositif législatif.

Avec ma collègue Catherine Morin-Desailly, nous avons constaté dans nos rapports sur le RSN et le RMN que le modèle économique des plateformes se révèle un enjeu essentiel. La publicité vous paraît-elle suffisamment traitée dans ce texte qui a vocation à mieux protéger les consommateurs ? Par ailleurs, la part des opérateurs européens sur le marché du cloud a pratiquement été divisée par deux en cinq ans. Pensez-vous que les mesures figurant dans ce texte, comme l'interdiction des frais de transferts pour l'interopérabilité, seront suffisantes pour permettre aux opérateurs européens de se réinscrire dans ce marché et de se développer ?

M. Roch-Olivier Maistre. - Concernant votre première observation, je souhaite être tout à fait catégorique sur l'état d'esprit des présidentes et présidents des autorités indépendantes. La coopération fait partie de notre culture personnelle, et notre quotidien est la loi. Il n'existe pas de patriotisme ou de susceptibilités d'autorité l'une vis-à-vis de l'autre. Nous avons pleinement conscience de l'attente du législateur, et nous construisons ensemble de la manière la plus efficace possible l'action nécessaire pour mettre en oeuvre ce texte. Nos autorités ne montrent pas la moindre hésitation, la moindre réticence, la moindre différence à ce sujet.

Concernant la publicité, je pense qu'avec les textes de niveau européen et d'autres comme celui récemment adopté sur les influenceurs, la protection du consommateur est mieux assurée, mais il faudra s'assurer de l'application de ces textes.

Mme Laure de La Raudière. - Sur la question de l'informatique en nuage, les mesures du texte sont absolument nécessaires, à la fois pour la partie purement contractuelle avec l'abandon des frais de transfert et la limitation et l'encadrement des crédits des services d'informatique en nuage, mais aussi les mesures techniques de l'interopérabilité et de la portabilité.

Les grands utilisateurs font de plus en plus appel à plusieurs fournisseurs cloud pour un enjeu de résilience, mais aussi pour protéger certaines données sensibles dans des espaces de cloud souverains et hermétiques aux lois extraterritoriales de transfert des données.

Le marché est encore en très forte croissance, et les mesures sont certainement nécessaires, mais seront-elles suffisantes ? De nombreuses entreprises, notamment les PME, ne sont pas encore pleinement équipées, ce qui laisse la place pour de nouveaux acteurs répondant à des enjeux de souveraineté, de proximité, ou à la volonté de certains clients de privilégier l'Europe.

Les acteurs du cloud sont soumis pour certains d'entre eux au RMN, qui offre des dispositions visant à favoriser plus de concurrence sur l'ensemble du marché numérique.

Mme Catherine Morin-Desailly, présidente. - Ne croyez-vous, pas madame la présidente de l'Arcep, qu'au-delà des mesures, une forte volonté est nécessaire de la part des autorités de ce pays pour confier de manière stratégique à nos entreprises le marché des données d'un certain nombre d'entreprises et d'administrations, pour gagner en souveraineté et pour soutenir le développement et l'innovation dans notre pays ? Les Américains, les Russes et les Chinois agissent ainsi en faveur de leurs entreprises, la plupart du marché du cloud étant confié aujourd'hui aux GAFAM. Dans ce cadre, l'Arcep ne doit-elle pas jouer un rôle de stimulation auprès des décideurs ? Par ailleurs, lorsque la plateforme des données de santé a été confiée en 2020 à Microsoft sans appel d'offres, pourquoi l'Arcep, chargée de la régulation de ce marché, n'a-t-elle pas alarmé sur cette absence d'appel d'offres ? La Cnil s'est prononcée sur ce sujet, car il s'agissait de données ultra-sensibles.

Enfin, ne croyez-vous pas qu'il serait urgent d'inscrire au coeur de ce texte la définition des données sensibles et stratégiques pour la Nation, pour bénéficier d'une vision globale et d'un plan d'action stratégique ?

Mme Laure de La Raudière. - Vous évoquez un sujet de grande importance, madame la présidente. L'Arcep possède une culture pro-concurrence et pro-innovation. Nous allons chercher par tous les moyens à déverrouiller le marché pour permettre plus de migrations, plus de fluidité, mais l'exercice de nos compétences se fait dans le cadre de la loi. Si la loi ne prévoit pas l'obligation pour les services administratifs de se tourner vers un service d'informatique en nuage souverain, nous ne pourrons pas l'imposer aux administrations. En revanche, nous exercerons nos compétences pour mettre en place des spécificités équilibrées, qui permettent à de nouveaux acteurs d'émerger. Nous consultons pour cela tous les acteurs du marché, nous montons en compétences par des échanges bilatéraux avec les acteurs, les organismes de normalisation, et nous présenterons en consultation publique nos propositions, ce qui permettra à chacun des acteurs concernés de s'exprimer. L'Arcep procède toujours ainsi avant de prendre une décision.

Mme Catherine Morin-Desailly, présidente. - Il ne s'agit pas ici d'appliquer ou non une loi qui n'existerait pas sur la souveraineté, mais de s'émouvoir de l'absence d'appel d'offres et d'une procédure non respectée.

Mme Laure de La Raudière. - Je n'en connais pas la raison car je n'étais pas présente en 2020.

Mme Marie-Laure Denis. - Sur ce sujet, le collège de la Cnil a obtenu du Gouvernement des garanties s'agissant du non-transfert du Système national des données de santé (SNDS) sur la plateforme des données de santé, précisément parce qu'elle est hébergée par Microsoft, tant que cet hébergement de données n'est pas immunisé contre des accès d'autorités étrangères.

Par ailleurs, la Cnil a beaucoup travaillé avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) sur la certification SecNumCloud qui permet de sécuriser l'hébergement des données les plus sensibles, dont la liste vient d'être précisée par une circulaire du 31 mai de la Première ministre. Les entreprises conformes à ce référentiel SecNumCloud le seront aussi aux exigences en matière de transfert de données, de non-transfert des données, ou de localisation des données des Français de façon sécurisée.

Mme Catherine Morin-Desailly, présidente. - Vous n'avez pas répondu à ma question sur l'inscription dans le texte de la notion de données sensibles ou stratégiques pour la Nation.

Mme Marie-Laure Denis. - Des données sensibles sont présentes dans le RGPD. Les données biométriques, de santé, des mineurs, sont qualifiées de données sensibles méritant une protection particulière. Dans la circulaire du 31 mai, la Première ministre détaille avec la rubrique R9 les catégories de données devant être hébergées par des systèmes d'informatique en nuage parfaitement sécurisés. Les services de la Cnil auront à coeur de clarifier les règles applicables, a fortiori dans l'hypothèse d'une décision d'adéquation prochaine prise par la Commission européenne sur la question des transferts de données entre l'Union européenne et les États-Unis.

Mme Catherine Morin-Desailly, présidente. - Le Gouvernement a en effet répondu aux sollicitations constantes du Parlement sur cette question très stratégique des données sensibles.

Mme Laure de La Raudière. - Il faut distinguer les données sensibles et les données stratégiques. Les premières couvrent la santé et la sécurité, quand les secondes peuvent avoir un lien avec les données économiques.

Mme Catherine Morin-Desailly, présidente. - Je parlais des données stratégiques pour notre sécurité nationale.

Je vous remercie pour votre participation éclairante.

Audition de Lucas Verney,
directeur adjoint du Pôle d'expertise de la régulation numérique (PEReN)

Mardi 13 juin 2023

Mme Catherine Morin-Desailly, présidente. - Nous accueillons aujourd'hui M. Lucas Verney, directeur adjoint du Pôle d'expertise de la régulation numérique, le PEReN.

Le PEReN est un service à compétence nationale, créé en 2020, placé sous l'autorité conjointe des ministres chargés de l'économie, de la culture et du numérique. Il répond à un enjeu crucial, que nous avons tous identifié depuis bien longtemps : le déséquilibre majeur dans l'expertise technique entre les États et les grands opérateurs du numérique, qui disposent de budgets de plusieurs milliards d'euros et de compétences parmi les meilleures du monde.

Dans ce contexte, trop souvent, les entreprises nous renvoient à notre manque de compétences techniques et à notre incapacité à simplement comprendre les logiques algorithmiques, le traitement massif des données, etc.

Le PEReN est déjà intervenu comme expert, notamment aux côtés de la Cnil pour la détermination d'une solution technique de contrôle de l'âge (le « double anonymat »). Je tiens d'ailleurs à citer votre rapport de mai 2022 sur le sujet.

Le PEReN doit donc apporter une expertise et une crédibilité à la France. L'article 16 permet de renforcer vos capacités de collecte de données publiques et d'analyse à des fins de recherche publique, tandis que l'article 18 vise à faciliter votre coopération avec l'Arcom : vous allez pouvoir nous en dire un mot.

Au-delà, nous serons heureux de bénéficier de votre regard d'expert sur l'évolution des technologies, et les moyens pour nous de les encadrer pour les cantonner au service de leurs utilisateurs, en limitant le plus possible les effets toxiques qui, malheureusement, obscurcissent Internet.

Je vais vous laisser une dizaine de minutes pour présenter le PEReN (que quelques-uns d'entre nous ont visité il y a quelques semaines) et surtout la place qui lui est faite dans le projet de loi. Je passerai ensuite la parole aux rapporteurs, puis à l'ensemble des membres de la commission spéciale.

M. Lucas Verney, directeur adjoint du Pôle d'expertise de la régulation numérique (PEReN). - Comme vous l'avez indiqué, le PEReN est un service à compétence nationale, sous la triple tutelle du ministère de la culture, du ministère de l'économie et des finances et du ministère chargé du numérique. Son objectif est de mutualiser une expertise technique et de capitaliser cette expertise au sein de l'État, à destination des services de l'État et des autorités indépendantes, pour toutes les missions qui ont trait à la régulation des plateformes numériques. Ce service compte aujourd'hui 25 personnes, exclusivement des ingénieurs, docteurs et experts en sciences des données. Cet effectif constitue le plafond d'emploi fixé pour notre service.

Le PEReN peut intervenir dans deux principaux types de missions. D'une part, il peut apporter des éclairages, notes, études à destination des services de l'État, des administrations, des autorités et du grand public. Les travaux du PEReN sur les systèmes de vérification de l'âge et la protection des mineurs viennent d'être évoqués. Nous sommes intervenus par exemple en appui des négociations sur le règlement européen Child sexual abuse material (CSAM). Ces éléments ont conduit le PEReN à être auditionné par le Sénat il y a un an sur ce sujet et un certain nombre de publications sont en ligne sur notre site web, notamment des éléments sur la protection des mineurs et la vérification de l'âge.

Plus récemment, nous sommes intervenus sur des questions d'actualité, en particulier autour de l'émergence de l'Intelligence artificielle (IA) dite générative (dont ChatGPT est un exemple). Nous serons prochainement auditionnés à l'Assemblée nationale sur ces questions. Nous animons aussi un certain nombre de groupes de travail entre les différentes administrations sur des questions techniques afin de partager entre administrations une compréhension commune des enjeux techniques de telle ou telle technologie. Il existe par exemple un groupe de travail créé sur l'initiative Privacy Sandbox de Google, qui vise à supprimer les cookies tiers dans le navigateur et plus récemment la création d'un groupe de travail sur les dark patterns.

Le second type de missions a trait au développement d'outils et d'analyses pour le compte des différentes administrations. Nous pouvons le faire directement, en mobilisant les pouvoirs de nos partenaires administratifs pour les services de l'État, à travers le décret de création du PEReN qui lui confie ces missions. Pour les autorités indépendantes, nous le faisons en vertu de l'alinéa 1 de l'article 36 de la loi du 25 octobre 2021, qui permet à huit autorités indépendantes énumérées dans un décret pris en Conseil d'État de faire appel au PEReN pour la conduite de ces projets. Ces sept autorités sont :

- l'Autorité de la concurrence (ADC) ;

- l'Autorité des marchés financiers (AMF) ;

- l'Autorité nationale des jeux (ANJ) ;

- l'Autorité de régulation des communications électroniques (Arcep) ;

- l'Autorité de régulation des transports (ART) ;

- la Commission nationale de l'informatique et des libertés (Cnil) ;

- le Défenseur des droits.

Ces outils peuvent être développés dans le cadre de conventions passées avec des partenaires administratifs. Ils peuvent aussi être développés en propre par le PEReN, à travers deux modalités prévues par l'article 36 de la loi du 25 octobre 2021. L'alinéa 6 de cet article prévoit ainsi, dans sa formulation actuelle, la possibilité, pour le PEReN, de conduire des travaux de recherche publique, ce qui permet au PEReN de se maintenir à niveau et de contribuer à l'état de l'art scientifique sur des questions liées à l'intelligence artificielle ou à la régulation des plateformes. À ce titre, nous travaillons notamment sur des questions d'articulation et des aspects techniques d'analyse multimodale, pour des contenus qui allient du texte et de l'image - alors que jusqu'à présent, les modèles sont plutôt définis pour du texte ou pour des images. Tous ces travaux font l'objet de publications lors de conférences, avec une revue par les pairs. Nous avons notamment participé à des conférences de groupes de travail du CNRS. Ces outils sont placés en open source dès lors que ceci ne nuit pas aux finalités pour lesquelles ils ont été conçus.

Enfin, l'alinéa 5 de l'article 36 confère au PEReN un pouvoir d'expérimentation. Le PEReN peut, à ce titre, bénéficier de facilités pour collecter des données publiquement disponibles sur les plateformes et développer des outils sur la base de ces données. Ce pouvoir a été conçu de manière à pouvoir développer l'outil tout en préservant une collecte des données équitable. Toutes les données doivent ainsi être supprimées au plus tard neuf mois après leur collecte. Seul l'outil construit peut être conservé. Il peut ensuite être reversé à une administration ou à une autorité qui le mettrait en oeuvre dans le cadre de ses missions.

Ces modalités (alinéas 5 et 6 de l'article 36) font l'objet d'un rapport au Parlement et à la Cnil. La première édition de ce rapport a été transmise en mai 2023.

Ces éléments ne sont pas nécessairement publics. Nous avons réalisé en particulier un certain nombre de travaux sur la plateforme TikTok, ce qui a conduit à l'audition du PEReN par la commission d'enquête du Sénat sur TikTok. Nous avons également conduit des travaux sur Amazon, afin de comprendre comment s'articulaient les différentes places de marché au niveau européen et saisir les spécificités d'Amazon France par rapport à Amazon Allemagne ou Amazon Espagne, par exemple, en termes de nationalité des vendeurs et de prédominance de ceux-ci dans ce qui s'appelle l'apply box, c'est-à-dire le carré d'achat en un clic.

Ce cadre actuel souffre de certaines limites. S'agissant des modalités d'expérimentation, certaines de ces limites ont été détaillées dans le rapport au Parlement. Les plateformes coopèrent plus ou moins. Certaines coopèrent activement et nous fournissent des données en levant les quotas ou restrictions, dans la collecte, à la hauteur de ce que nous demandons. D'autres argumentent, voire invoquent des difficultés techniques, à des degrés divers, pour freiner, voire empêcher notre accès aux données. Ces modalités permettent, par exemple, d'entraîner un réseau de neurones sur la base des données fournies. Au bout de neuf mois, nous supprimons toutes les données et nous ne conservons que le modèle d'IA. Cela ne permet donc pas de tirer des enseignements sur les pratiques observées à partir des données collectées.

Enfin, quant au cadre de l'alinéa 6 (compétence de recherche publique), nous nous heurtons à une dimension discrétionnaire de l'accès aux interfaces de programmation, parfois restreintes aux chercheurs, suite à une interprétation parfois anglo-saxonne de la définition du système éducatif. Certaines plateformes distinguent ainsi ce qui relève des établissements universitaires qui délivrent des diplômes et ce qui relève des instituts de recherche. Le PEReN relève de cette seconde catégorie. Or, pour l'accès à certaines applications de programmation académiques, les plateformes exigent que la demande émane d'une institution qui délivre des diplômes.

Un dernier axe est émergent et concerne la collecte de données sur mobile. Tout ce que j'ai évoqué jusqu'à présent se rapportait à des interfaces de programmation ou à la collecte de données sur des sites web. Cependant, de plus en plus de plateformes sont accessibles uniquement sur des applications mobiles. C'est le cas par exemple de Snapchat. D'autres sont accessibles au travers d'interfaces web ou au travers d'applications mobiles mais il s'agit généralement de deux produits distincts, conçus comme tels en silo au sein de la plateforme. Pour obtenir une réelle compréhension de la plateforme, il faut approcher celle-ci à travers l'interface que les utilisateurs utilisent. Or l'analyse de ces applications mobiles se heurte à deux problématiques. D'une part, une tierce partie entre en ligne de compte dans le fonctionnement de ces applications, à savoir le téléphone et son système d'exploitation, qui donne accès à l'application. Il en découle une spécificité notamment pour les appareils utilisant le système d'exploitation iOS, car Apple a défini des conditions contractuelles très restrictives qui empêchent le PEReN de conduire un certain nombre d'analyses, sauf à ne pas respecter ces clauses contractuelles. C'est un élément bloquant pour des projets portant sur les systèmes iOS, sachant que l'alinéa 5 de l'article 36 prévoit de notifier l'opérateur de la plateforme. Or, en l'espèce, ce n'est pas lui qui impose les conditions générales d'utilisation (CGU) mais une entité tierce, le fournisseur du système d'exploitation.

Par ailleurs, dès lors que nous examinons les applications mobiles, cela suppose d'instrumenter un téléphone, de simuler des comportements et d'étudier le fonctionnement de l'application, un peu comme on étudierait des bactéries dans une boîte de Petri, en contrôlant l'environnement dans lequel s'exécute l'application. Ces éléments peuvent nécessiter un cadrage juridique plus fort afin d'affirmer la possibilité, pour le PEReN, de conduire ces analyses.

Ce sont des travaux que nous avons pu esquisser devant la commission d'enquête sénatoriale sur TikTok. Il s'agit d'examiner comment fonctionne l'application, quelles données sont collectées, à quel moment, selon quelles modalités, de quelle manière elles sont éventuellement transmises sur le réseau, etc. L'analyse de ces aspects pourrait nécessiter un renforcement des compétences confiées au PEReN.

Le présent projet de loi offre un élargissement des missions du PEReN, qui sort ainsi de son rôle d'expérimentation. Ce texte l'inscrit dans une nouvelle dynamique tout en le confortant. Il instaure également une modalité de coopération avec l'Arcom, en qualité de future coordinateur des services numériques. C'est une disposition qui est de nature à donner à l'Arcom la garantie de pouvoir faire appel au PEReN dans des conditions cohérentes avec ses nouvelles missions et ses nouvelles compétences.

Néanmoins, il faut prendre garde à la charge qui pèse sur ce jeune service. Nous sommes 25 aujourd'hui. Tel était le plafond d'emploi qui avait été défini par le décret de création du PEReN. Celui-ci travaille sur la base d'une feuille de route annuelle : chaque automne, nous nous concertons avec toutes les autorités ayant des compétences de régulation des plateformes numériques et nous construisons avec elles un catalogue de projets qui constitue la feuille de route qui sera déroulée durant l'année. Cette feuille de route représente un nombre de projets qui a été multiplié par quatre depuis la création du service jusqu'à ce jour. Cette montée en puissance s'est faite, jusqu'à présent, en cohérence et de façon synchronisée avec l'augmentation des effectifs du service (trois personnes en 2020, 25 personnes aujourd'hui). Nous devons cependant, de plus en plus, définir des priorités et des arbitrages, voire refuser certains projets par manque de ressources.

Cette situation est actuellement gérable dans la mesure où il y a très peu d'impératifs temporels : ces projets doivent être réalisés au cours de l'année tout en permettant un lissage de la charge sur l'ensemble de l'année. Si de nouvelles missions donnaient naissance à des projets assortis de délais contraints, le PEReN serait alors soumis à des exigences de réactivité et cela pourrait avoir des impacts quant au volume de projets pouvant être traités dans le cadre de notre feuille de route annuelle.

Ce projet de loi permet aussi de réaffirmer et d'étendre les modalités d'accès aux données du PEReN, en particulier en mobilisant l'article 34 du DSA (Digital Services Act, ou règlement des services numériques) et en réaffirmant son caractère d'institut de recherche publique, qui est parfois nié par les plateformes numériques. Pour autant, le projet de loi ne résout pas toutes les difficultés, en particulier celles qui sont liées aux applications mobiles.

En conclusion, le PEReN travaille depuis trois ans à des missions de plus en plus larges, toujours liées à la régulation du numérique. Nous avons développé depuis notre création une approche modulaire : nous nous efforçons de construire chaque projet en tant que brique élémentaire pouvant être ensuite interconnectée avec d'autres briques pour constituer des projets plus importants. S'agissant par exemple d'une analyse algorithmique d'une plateforme de recommandation de vidéos, une brique traitera de la collecte de données, une autre de l'analyse statistique et une autre effectuera peut-être une rétroaction entre les deux. Nous avons conçu et affiné ces trois briques depuis trois ans de sorte que chacune ait le maximum d'efficacité. Le coût d'incrément, pour un nouveau projet, consiste essentiellement à recombiner ces briques et à les étendre un peu. La feuille de route du PEReN s'apparente donc parfois à un jeu de Lego, ce qui permet d'absorber un grand volume de projets et de fournir un grand volume de résultats, tout en mutualisant le plus possible les outils développés.

Ce projet de loi nous apporte une sécurisation de certaines pratiques et offre la perspective de nombreuses nouvelles collaborations. Parallèlement à ces initiatives nationales, nous avons des échanges au niveau européen avec la Commission européenne, qui s'est inspirée du modèle du PEReN pour construire le Centre européen pour la transparence algorithmique de Séville (ECAT). Le PEReN est en train de signer une convention tripartite avec la Commission européenne et le centre commun de recherche ECAT afin de pouvoir travailler directement sur les questions d'application du RSN et du RMN.

Enfin, l'article 18 de la loi du 25 octobre 2021 portant sur l'articulation avec le coordinateur des services numériques et les modalités d'accès aux données, le PEReN est aussi affecté, à la marge, par la disparition de l'article L. 111-7 du Code de la consommation, qui portait la définition d'une plateforme numérique. L'article 36, de mémoire, reprend cette formulation afin que continue d'apparaître une définition des plateformes numériques sur la base de laquelle le PEReN peut intervenir.

Mme Catherine Morin-Desailly, présidente. - Si je comprends bien, vous aurez un statut vous permettant d'effectuer des recherches sur les plateformes, dans le cadre permis par le DSA.

M. Lucas Verney. - Nous aurons le statut de chercheurs, ce qui permet d'accéder à des données publiquement disponibles. Il existe une forme d'articulation avec le coordinateur des services numériques permettant de travailler avec lui sur des données plus spécifiques, éventuellement non publiques. Il existe aussi la convention en cours de signature avec la Commission européenne, qui permettra de travailler sur des plateformes d'envergure européenne.

Mme Catherine Morin-Desailly, présidente. - C'est un aspect très important. Nous nous étions posé cette question lors de l'examen du RSN.

M. Patrick Chaize, rapporteur. - Quel sera l'impact des dispositions du projet de loi sur votre service, en particulier du point de vue des moyens financiers et humains à votre disposition ?

Au titre de l'article 16, votre accès aux données est-il actuellement suffisant pour mener à bien vos travaux ? À quelles autres données auriez-vous besoin d'accéder ? Le cadre juridique actuel est-il suffisant pour vous garantir l'accès à ces données ?

S'agissant de l'article 17, quel est le retour d'expérience du PEReN sur l'expérimentation « API meublé » en 2022 ? Le dispositif prévu à l'article 17 est-il dans les faits une généralisation de cette expérimentation ?

Les dispositions de l'article 18 renforcent-elles la coopération avec l'Arcom, déjà inscrite à l'article 36 de la loi sur la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique ? En quoi est-il nécessaire, selon vous, d'inscrire cette coopération avec l'Arcom dans la loi ?

M. Lucas Verney. - En ce qui concerne l'article 17, le PEReN a travaillé dès sa création avec la direction générale des entreprises afin de réaliser les développements techniques nécessaires pour l'expérimentation « API meublé », c'est-à-dire pour réaliser le socle logiciel qui l'a rendue possible et héberger cette solution de logiciels sur des serveurs de PEReN, ainsi que pour réaliser l'interface avec les équipes techniques auprès des plateformes et permettre une certaine fluidité dans les échanges.

Cinq plateformes et cinq communes se sont inscrites pour participer à cette expérimentation. Son bilan est très positif : elle a donné lieu à une simplification des échanges et globalement à une montée en qualité des données transmises. Les dispositions de l'article 17 reprennent essentiellement les enseignements de cette expérimentation, en n'allant peut-être pas aussi loin dans la démarche volontaire de montée en qualité des données. Au titre de l'expérimentation, il existait notamment la volonté de consolider des données et de fournir aux communes qui le souhaitaient des données déjà consolidées entre les différentes plateformes, avec des heuristiques visant par exemple à supprimer des ambiguïtés afin de distinguer des logements similaires. Les modalités définies par l'article 17 ne portent que sur la transmission des données.

Comme je l'ai indiqué, le PEReN compte 25 personnes, ce qui correspond au plafond d'emploi qui a été défini sur la base de ses missions, définies par le décret de création du PEReN. Le service connaît un rythme de croissance soutenu. Réussir à recruter 25 personnes, avec des profils d'ingénieurs et de docteurs en sciences des données, pour construire un service capable, au sein de l'État, de dialoguer avec nos homologues au sein des plateformes, n'était pas chose acquise d'avance mais cet objectif a été atteint. Les profils qui composent notre équipe sont accessibles en ligne. Ce sont majoritairement des personnes qui auraient pu faire le choix de rejoindre les GAFAM mais qui ont préféré rejoindre le PEReN. C'est un très beau succès qu'il faut inscrire dans la durée, ce qui peut faire naître des questions sur le plan des ressources humaines, avec le souci de conserver et capitaliser ces ressources au sein de l'État.

Sur le plan budgétaire, le PEReN fonctionne de façon assez légère et économe en ressources. L'objectif du PEReN est de conduire l'intégralité des projets de A à Z en propre, de sorte que la compétence technique et numérique soit capitalisée au sein de l'État. Le PEReN opère en particulier ses propres infrastructures SI, c'est-à-dire ses propres serveurs. Lorsqu'il faut entraîner des modèles, nous les entraînons sur nos propres machines de calcul. Lorsqu'il existe des besoins spécifiques, nous bénéficions d'un accès, notamment, au supercalculateur Jean Zay, afin de pouvoir manipuler des modèles tels que ChatGPT, qui sont d'envergure.

Le service a été créé à partir de fonds d'investissement, de fonds de transformation ministériels et de fonds du plan de relance à hauteur de 500 000 euros. Le PEReN fonctionne aujourd'hui, en régime continu (hors de l'élargissement prévu de ses missions ) avec une ligne budgétaire de 100 000 euros, hors T2, c'est-à-dire uniquement pour couvrir les frais de mission et les coûts d'infrastructures (en incluant l'ensemble du matériel nécessaire à la conduite de nos projets).

Ce projet de loi confie de nouvelles missions au PEReN. Nous voyons affluer des demandes de plus en plus nombreuses de la part des autorités pouvant déjà solliciter le PEReN. Le nombre de projets inscrits à notre feuille de route annuelle connaît une multiplication par quatre, ce qui impose de plus en plus d'arbitrages. Jusqu'à présent, la priorisation n'a jamais dû être revue ni posé de difficultés, dans la mesure où en jouant sur les éléments de calendrier, nous parvenons assez bien à répondre à la demande. Certaines administrations nous commandent des projets qui ne se concrétisent pas dans l'année, ce qui permet finalement de satisfaire l'ensemble des demandes. Si l'on ajoute des contraintes en termes d'échéances et de livraison des projets, du fait de procédures ou de contentieux, par exemple, cela impliquerait une réactivité du service qui pourrait limiter le nombre de projets que nous pourrions traiter.

J'ai aussi une remarque générale sur la formulation de l'alinéa 5 (pouvoirs d'expérimentation du PEReN), qui prévoit actuellement une notification des plateformes. Lorsque nous exerçons ce pouvoir, qui nous permet essentiellement de collecter des données sur les interfaces publiques sans restriction, moyennant la notification de la plateforme, celle-ci dispose d'un délai de deux mois, pour formuler des observations. Passé ce délai, nous pouvons mettre en oeuvre la collecte. Il existe aujourd'hui une asymétrie entre cette modalité et la modalité de recherche publique, pour laquelle aucune notification n'est à effectuer : nous sommes alignés sur le cadre d'un institut de recherche publique. Avec la formulation actuelle du projet de loi, une factorisation a été faite et nous devrions également notifier les plateformes pour des activités de recherche publique, ce qui peut induire une charge administrative supplémentaire pour le service, au détriment de projets techniques.

L'Arcom figure déjà sur le décret pris en Conseil d'État, ce qui lui permet de solliciter le PEReN. Un certain nombre de projets sont déjà conduits pour le compte de l'Arcom au titre de ses compétences passées (en particulier les compétences issues de l'ancien Conseil supérieur de l'audiovisuel et de l'ancienne Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet), notamment sur des questions de modération d'offres illégales en ligne et de désinformation. Aujourd'hui, l'Arcom est un partenaire du PEReN comme un autre. Elle nous propose des projets inscrits à notre feuille de route, laquelle fait l'objet, in fine, d'arbitrages par les trois ministres de tutelle. Cette proposition, dans le projet de loi, vise à réaffirmer la possibilité, pour l'Arcom, en qualité de DSC, de saisir directement le PEReN pour bénéficier de son expertise technique. Elle permettrait, en cela, d'anticiper et de garantir une bonne disponibilité des équipes pour les besoins spécifiques aux DSC.

M. Loïc Hervé, rapporteur. - Avez-vous les moyens d'analyser le fonctionnement des algorithmes que les plateformes utilisent pour la modération de leurs contenus ? On nous a parlé de logiciels qui viennent des États-Unis. Avez-vous les moyens d'analyser la manière dont les plateformes régulent les contenus, notamment du point de vue du risque de « sur-censure », lorsqu'elles font appel à l'intelligence artificielle ? Tous ceux qui sont familiers des réseaux sociaux ont eu l'expérience de voir censurés des contenus relativement anodins en raison d'un mot ou d'une image considérés comme contrevenant aux conditions générales d'utilisation de la plateforme. Allez-vous conserver une compétence nationale en la matière et de quelle manière allez-vous articuler vos travaux avec le Centre européen pour la transparence algorithmique de Séville ?

Pouvez-vous faire le point sur les travaux du PEReN sur les dispositifs de contrôle de l'âge ? De votre point de vue, et sans prendre en compte les questions liées à la vie privée, quels sont les dispositifs qui vous semblent les plus fiables techniquement ? Y a-t-il des spécificités à prévoir selon que la consultation a lieu sur Internet ou via une application ?

L'article 5 crée une nouvelle peine complémentaire « de bannissement » et fixe pour les plateformes une obligation de moyens pour le blocage des autres comptes de la personne condamnée. Quels sont les moyens techniques qui pourraient être déployés pour répondre à cette obligation de moyens et existe-t-il des moyens de s'assurer que la personne bannie ne pourra pas utiliser un autre compte que celui qui lui est officiellement rattaché ?

M. Lucas Verney. - L'audit algorithmique constitue l'une des raisons d'être du PEReN. Ce sont des méthodes que le PEReN a développées depuis sa création. Il continue de les consolider et elles font aujourd'hui l'objet d'une thèse en co-tutelle avec un laboratoire de l'INRIA à Rennes.

Le PEReN n'a pas vocation à être un régulateur. Il n'a pas accès à des données internes. Il peut travailler avec des régulateurs ayant accès à des données privilégiées, notamment au titre de l'alinéa 1. Le PEReN travaille donc sur la base de données publiques, ce qui oriente la façon dont nous concevons un audit algorithmique aujourd'hui. Nous procédons par une analyse statistique des informations accessibles publiquement sur un site, une plateforme ou un réseau social et en essayant, sur la base de ces informations, de déterminer les grands comportements de ces algorithmes. Sans entrer dans le détail, une application directe de ces principes concerne la directive Platform to Business (PtoB) européenne, qui impose aux plateformes de décrire les grands paramètres qui influent sur les recommandations. Si l'on parcourt par exemple une liste d'hôtels, celle-ci sera peut-être triée, par défaut, par pertinence. Quelle est cette notion de pertinence ? La plateforme doit indiquer que la pertinence se définit, si tel est le cas, par le degré d'adéquation entre la recherche et l'hôtel proposé. Il peut s'agir du prix, du niveau de la commission, etc. En simulant un certain nombre de recherches et par une analyse statistique des listes proposées, on peut reconstruire des pondérations ou des approximations de ces pondérations pour les différentes variables entrant en ligne de compte et ainsi confronter les principaux paramètres déclarés par la plateforme, quant aux paramètres utilisés, avec ce qui est constaté sur le site web.

Sur cette base, nous n'avons à ce stade qu'une heuristique de détection. Peut-être n'avons-nous pas les mêmes résultats que ce que la plateforme annonce. Il peut s'agir d'une erreur statistique, d'un véritable biais ou d'une triche. Le travail du PEReN peut permettre d'indiquer que, sur la base de données publiques, on constate que l'algorithme se comporte bizarrement pour telle ou telle recherche. Le régulateur peut alors se saisir de ce dossier et solliciter des données qui représentent des accès proportionnés, puisque justifiés par un comportement inexplicable.

Le même principe peut se décliner pour des questions de modération ou de recommandation. Le PEReN a conduit en particulier un certain nombre de travaux pour analyser des « parcours utilisateur » et la manière dont une application de contenus vidéo pourrait entraîner un utilisateur d'un ensemble de contenus à un autre. Nous pourrions chercher à comprendre la façon dont cette « bulle de filtre » se comporte et la manière dont l'utilisateur évolue dans cette bulle de filtre. Ces travaux ont été présentés lors de l'inauguration du Centre européen pour la transparence algorithmique. Je vous invite à consulter, sur notre site Internet, une vidéo explicative qui illustre, par des captures d'écran, la manière dont cet audit peut être conduit.

Le Centre européen pour la transparence algorithmique (ECAT) est construit en s'inspirant fortement du modèle du PEReN. Nous échangeons régulièrement avec eux pour accompagner leur installation et leur montée en compétences du point de vue des outils, des méthodes de collecte des données ou encore dans l'approche vis-à-vis des plateformes numériques. Il s'agit aussi d'articuler nos travaux efficacement afin de collaborer dans le futur à travers la convention passée avec l'ECAT.

Un certain nombre de travaux sont en cours sur le contrôle de majorité. Des discussions ont lieu avec des acteurs privés qui proposent des premières solutions. Le PEReN est associé à ces discussions, tant pour l'analyse technique que, dans la mesure du possible, pour le test de la robustesse de ces systèmes au regard de différentes altérations. Pour un système basé sur un flux vidéo, nous pouvons par exemple essayer de l'attaquer en lui présentant une photo plutôt qu'une vraie personne, de façon à voir s'il résiste à ce type d'approche. On peut ainsi tester les limites effectives de ces différentes solutions. À ce jour, il existe plusieurs options disponibles. Elles impliquent des arbitrages, qui ne relèvent pas du PEReN, entre des considérations de vie privée, de fiabilité et d'efficacité. La solution la plus efficace est probablement la vérification en personne chez un buraliste ou dans un bureau de poste, sur présentation d'une carte d'identité. C'est aussi la solution la plus intrusive, qui soulève probablement des questions d'acceptabilité.

Un certain nombre de sociétés développent des outils de vérification de l'identité d'une personne à distance, sur la base d'une vérification de la carte d'identité ou sur la base d'une captation d'images vidéo. Le PEReN travaille sur ces solutions en testant là aussi différentes altérations ou attaques possibles (filtre, deep fake, détournement, etc.). La portion pour laquelle le PEReN peut intervenir ne constitue en tout cas que la portion technique du fonctionnement de ces solutions et concernant la robustesse de celles-ci. Elles s'insèrent dans un écosystème plus large d'utilisateurs, qui ont eux-mêmes des stratégies de détournement ou de contournement ne pouvant pas toujours être anticipées ou appréciées avec les outils dont dispose le PEReN.

Les conséquences ne sont pas tout à fait les mêmes selon que la consultation d'un site Internet a lieu sur une application mobile ou sur un ordinateur. Dans le cas d'une consultation à partir d'un ordinateur, le navigateur met en relation l'internaute et le site mais peu de briques techniques ont la capacité de connaître l'âge de l'utilisateur et de couper éventuellement la connexion en fonction de cette information.

Les applications mobiles dédiées sont principalement diffusées par deux magasins, le Google Play Store et l'Apple App Store. Ces deux magasins d'applications sont très fortement intégrés au système, couplés au contrôle parental. Ils ont connaissance en particulier du système PEGI qui permet d'appliquer des restrictions d'âge aux applications diffusées. Ils ont connaissance du fait que l'utilisateur est majeur ou non, suivant la configuration de l'appareil. Restreindre l'installation d'une application mobile est donc plus facile que de restreindre l'accès à un site Internet. Le PEReN est aussi associé à un certain nombre d'échanges autour de solutions techniques qui pourraient faciliter au moins la déclaration volontaire du caractère restreint aux mineurs, le cas échéant, de telle ou telle ressource en ligne.

Enfin, le sujet du bannissement peut se rapprocher, à certains égards, de la question de la vérification d'âge. Il faut, pour mettre en place un bannissement, disposer d'une liste d'identifiants ou de comptes à bloquer et confronter les identifiants de cette liste à ceux fournis par un utilisateur lors de son inscription sur un site. L'une des solutions les plus simples consiste à établir une liste noire d'adresses mail, car cette adresse est aujourd'hui l'identifiant utilisé de manière quasi universelle pour créer un compte. Nous pourrions, lors de l'inscription sur un réseau social, comparer l'adresse mail fournie à celles figurant sur une liste noire. Ce dispositif permet le bannissement mais ne serait pas nécessairement le plus efficace puisqu'il est très facile de recréer une adresse mail et ainsi contourner ce mécanisme. Au lieu de rechercher une preuve de majorité, nous pourrions fonder le dispositif sur une preuve de non-bannissement, sur la base d'un test à jouer, par exemple avec sa carte d'identité. C'est techniquement possible et cela ne présente pas le même degré d'intrusion dans la vie privée. Le PEReN a pour rôle d'établir le panorama des solutions techniques envisageables en indiquant leurs limites mais la question du choix de l'une ou l'autre de ces solutions dépasse ce seul cadre technique.

Mme Catherine Morin-Desailly, présidente. - Avez-vous les moyens d'expertiser et d'analyser le fonctionnement de tout type d'application ou d'un algorithme ? Cela renvoie à une proposition que nous avions faite au sein de la Commission des affaires européennes, selon laquelle on ne pourrait mettre sur le marché une application ou une plateforme que si elle a été analysée, expertisée et que si une autorité compétente a vérifié l'absence d'effets pervers ou délétères dans son utilisation. Sous réserve que vous disposiez des moyens requis, auriez-vous, dans l'absolu, la possibilité de réaliser cette analyse ?

M. Lucas Verney. - La question est différente selon que l'on cherche à démontrer l'existence ou l'absence d'un comportement problématique. Il est possible, à l'échelle du PEReN, d'identifier des comportements problématiques sur des plateformes et, dès lors que nous avons une première heuristique, de creuser celle-ci pour la transformer en une constatation effective. À l'inverse, réaliser l'audit d'une application et démontrer qu'en aucun cas son algorithme ne se comporte de manière problématique nécessite une exhaustivité qui a des implications tout autres en termes de charge et d'analyses à conduire.

Aujourd'hui, le PEReN peut disposer de trois sources de données publiques. Les premières sont les éléments volontairement mis en ligne par les plateformes. On peut penser par exemple aux rapports de transparence. Ce sont des jeux de données (ou parfois des documents) très peu structurés, présentant une granularité informationnelle et temporelle très large, et qui fournissent peu d'enseignements en pratique, en dehors de grandes lignes. Ces éléments sont très minoritairement utilisés par le PEReN.

La deuxième source est constituée par des interfaces de programmation dites publiquement disponibles. Dès lors qu'elles sont mises à la disposition d'un tiers, le PEReN peut s'y connecter, au titre de son pouvoir d'expérimentation ou de ses compétences d'institut de recherche. Ces interfaces offrent des données très fines, parfaitement structurées et des quotas d'accès assez élevés et assez faciles à suivre. En contrepartie, nous sommes complètement observés par la plateforme, qui sait que nous accédons à cette interface et dans quelles conditions nous y accédons.

La troisième modalité relève du « scraping », c'est-à-dire le moissonnage de données, en se connectant directement sur les mêmes interfaces que celles utilisées par les utilisateurs, soit sur le site web soit dans l'application mobile. Cette collecte garantit d'obtenir des données aussi proches que possible du comportement de la plateforme en production mais elle est très limitée en volume car elle est très coûteuse : cela nécessite une approche plateforme par plateforme, en développant du code spécifiquement pour chaque plateforme. S'y ajoutent des restrictions imposées par les plateformes afin d'éviter ce trafic automatisé qui, en dehors du cadre du PEReN, est généralement malveillant.

Ces deux dernières modalités s'articulent l'une et l'autre et se font écho. L'une des approches du PEReN consiste à bâtir, sur la base de données publiquement disponibles, des méthodes qui permettent de collecter de nombreuses données à travers des API et d'échantillonner par du scraping les données ainsi recueillies afin de vérifier que la plateforme se comporte de manière loyale dans ces API, en cohérence avec ce que l'on observe sur le site en production. Il s'agit, en d'autres termes, de contrer « l'effet Volkswagen », c'est-à-dire le cas de figure dans lequel la plateforme, se sachant auditée, adapte ses réponses. Nous construisons des méthodes qui offrent certaines garanties de ce point de vue. Cette méthode peut être mise en oeuvre dès lors qu'un algorithme est publiquement visible, exposé à l'utilisateur. Cela vaut par exemple pour des algorithmes de fixation du prix sur des plateformes de VTC et de livraison de repas, pour des algorithmes de recommandation de contenus ou de partage de vidéos ou encore pour des algorithmes de classement sur des plateformes de type Marketplace où opèrent de nombreux vendeurs différents. C'est plus compliqué pour des algorithmes de modération qui, par définition, sont internes à la plateforme : on peut alors avoir des traces de la modération appliquée en suivant les contenus que l'on voit de manière transitoire sur la plateforme, puis qui disparaissent. Cela veut dire qu'ils ont été probablement modérés (ou retirés par l'utilisateur). Nous avons certains projets bâtis sur ce volet. Un nouveau mode d'accès à des données, du fait des nouvelles compétences qu'aura le PEReN au titre du RSN, consistera à accéder à des données internes, par le biais du coordinateur des services numériques ou par le biais des accès réservés aux chercheurs, afin d'analyser spécifiquement ces algorithmes internes à la plateforme.

Mme Alexandra Borchio Fontimp. - Selon vous, le recours à l'intelligence artificielle pourrait-il permettre une détection meilleure et plus rapide des contenus illicites sur Internet ? Si oui, quels seraient à vos yeux les garde-fous essentiels à mettre en place pour assurer un bon traitement des données personnelles ? Autrement dit, comment l'IA peut-elle contribuer à développer des solutions techniques qui rendraient efficientes les réglementations futures ?

M. Lucas Verney. - Nous utilisons l'IA en propre, au sein du PEReN, avec des objectifs assez proches. Nous entraînons et affinons certains modèles d'IA à l'état de l'art pour conduire des analyses, en particulier sur des effets de modération, dans le but de construire des modèles qui nous donnent des heuristiques permettant de savoir si tel ou tel contenu est susceptible d'être modéré ou non. Ces travaux sont un peu différents du cadre dans lequel ils seraient mis en oeuvre par une plateforme, puisque notre objectif est de déployer une stratégie à grosse maille à des fins de minimisation. Nous ne souhaitons conserver que les contenus qui présentent un intérêt pour l'étude que nous allons mener. Cela reste une heuristique. Pour une plateforme, l'objectif est inverse : il faut avoir le filtre le plus parfait possible, au risque d'amener des censures ou des modérations indues.

Le sujet de l'application éventuelle de l'IA à des modèles de modération est assez vaste et dépend du type de contenu envisagé. Ce n'est pas la même chose d'avoir du texte ou des images, ni de modérer selon tel ou tel prisme. Nous voyons par exemple certains réseaux sociaux qui interdisent des contenus de nudité et « surmodèrent », de ce fait, des contenus relevant d'oeuvres culturelles. Cela montre qu'il faut prendre en compte le contexte et peut-être l'IA n'est-elle pas encore suffisamment mature pour faire preuve de cette compréhension du contexte. S'agissant de textes, des questions de réappropriation des termes peuvent se faire jour, en particulier par des communautés pouvant se sentir discriminées. Il s'agit donc de trouver un bon équilibre entre ce qui peut relever d'une modération assez simple (pouvant, de ce fait, mobiliser l'IA) et ce qui doit bénéficier d'une revue humaine ou au moins d'une possibilité « d'appel » afin de permettre, le cas échéant, la restauration rapide des contenus qui auraient été modérés par erreur.

Mme Annick Billon. - Vous avez fait référence, monsieur Verney, à la question de la priorisation en indiquant que jusqu'à présent, vous parveniez à différer certaines des missions qui vous sont confiées. Avec l'élargissement de ces missions, la priorisation peut devenir un problème. L'accès à des mineurs constitue une véritable problématique. Vous avez fait des propositions en ce sens. Elles n'ont pas été utilisées jusqu'à présent, ce qui démontre que la loi, qui devrait être une priorité, ne l'est pas. Nous devons désormais fixer des priorités, alors que les thèmes qu'embrasse ce projet de loi numérique sont nombreux (pédopornographie, industrie de la pornographie, arnaques, jeux, haine en ligne, terrorisme). Attendez-vous une feuille de route pour prioriser les sujets ?

Ce projet de loi va aussi consacrer une nouvelle gouvernance, une nouvelle organisation et un nouveau fonctionnement des instances, ce qui va induire des relations qui n'existaient pas auparavant, par exemple entre
le PEReN et l'Arcom, comme vous l'avez indiqué. Cette nouvelle gouvernance et ces nouvelles manières de travailler seront-elles, selon vous, synonymes d'efficacité et de rapidité - la célérité étant tout aussi nécessaire que les ressources, notamment pour traiter les faits de pédocriminalité ou les infractions liées à la pornographie ?

M. Lucas Verney. - Aujourd'hui, nous parvenons à couvrir un large éventail de besoins. La priorisation se décide sur la base de la mutualisation maximale : le PEReN a vocation à construire en son sein des outils pouvant bénéficier à tous. Dès lors que plusieurs projets se font écho entre des administrations distinctes, ce projet sera traité en priorité, puisqu'il bénéficiera à un plus grand nombre d'administrations. Si nous avons par exemple le projet d'analyse d'un algorithme de recommandation de produit et un projet d'analyse d'un algorithme de recommandation de vidéos, cela reste un algorithme de recommandation. Les méthodes développées seront les mêmes et ces deux projets seront vus par le PEReN comme un seul développement. Conduire ce projet bénéficiera aux deux projets finaux. Actuellement, en l'absence de contraintes et d'impératifs temporels, nous sommes en mesure de lisser la charge sur l'année et de conduire un volume conséquent de projets. Nous en avons 80 inscrits à notre feuille de route cette année.

Cette feuille de route repose sur quatre grandes thématiques en 2023, traduisant les centres d'intérêt et l'expression de besoins qui nous a été adressée.

Le premier de ces piliers est la protection des individus en ligne, ce qui fait écho aux thématiques que nous venons d'évoquer. Notre intervention peut se traduire par l'apport d'éléments techniques en appui aux négociations du règlement européen CSAM sur la pédopornographie. Elle peut porter sur l'évaluation et l'appui aux questions du contrôle de l'âge pour l'accès aux sites pornographiques, ou encore sur la mise en oeuvre d'autres droits, en particulier le droit à la portabilité.

Le deuxième axe a trait à la lutte contre les pratiques illégales en ligne. Il s'agit de projets qui nous sont commandés par les régulateurs.

Le troisième axe porte sur la publicité en ligne. Nous évoquions tout à l'heure l'initiative de Google Privacy Sandbox. Le groupe de travail animé par le PEReN s'inscrit dans cet axe.

Le quatrième axe, émergent cette année, porte sur l'impact environnemental du numérique, au vu en particulier de l'actualité de l'hiver dernier et des enjeux de charge des réseaux (électrique et Internet). Cet impact constitue aussi un enjeu du point de vue de l'adéquation de la qualité fournie par les services de VOD (vidéo à la demande) en fonction de la connexion Internet de l'utilisateur ou de l'appareil sur lequel il consulte ces contenus.

Nous menons tous ces projets de front. Chaque membre de l'équipe est porteur d'un certain nombre de projets. Nous constituons de petites équipes de deux à quatre personnes, qui sont en relation directe avec nos partenaires pour répondre à leurs besoins et leur transmettre les contenus que nous développons, jusqu'à leur mise en oeuvre.

Nos relations avec l'Arcom existent et se fondent sur l'article 36 de la loi du 25 octobre 2021. Il existe déjà un certain nombre de projets avec l'Arcom. Ces dispositions législatives ont instauré la possibilité, pour l'Arcom, en qualité de coordinateur des services numériques, de nous solliciter. Nous devons prendre en compte ces demandes, les anticiper et réserver une certaine allocation de nos ressources, dans notre feuille de route, pour répondre à ces commandes sur les questions liées à l'application du RSN.

Mme Toine Bourrat. - Je voudrais évoquer le fléau du cyberharcèlement, qui est amplifié par l'anonymat et le pseudonymat, qui permet de démultiplier le nombre de faux comptes utilisés par une même personne. Existe-t-il ou peut-on imaginer des outils qui permettent de faire le lien entre tous ces comptes sous pseudonyme et la personne qui les aurait créés ?

M. Lucas Verney. - Ce sont bien sûr des sujets d'intérêt pour le PEReN, sur lesquels il est amené à intervenir, qu'il s'agisse de la modération ou de l'évaluation de l'amplitude de ces phénomènes. Je rappelle que l'objectif du PEReN est de construire des outils pour permettre aux administrations compétentes d'appréhender le fonctionnement de ces plateformes, sous le prisme des obligations qui incombent à celles-ci. Il ne s'agit pas d'identifier spécifiquement ces comptes ni d'engager des poursuites.

Mme Catherine Morin-Desailly, présidente. - Existe-t-il l'équivalent d'un PEReN dans chaque État membre européen ?

M. Lucas Verney. - À ma connaissance, il n'y en a qu'un, en France. Il y a quelque temps, nous avons été contactés par des équipes anglaises qui envisageaient de proposer un modèle similaire au Royaume-Uni. Elles avaient réalisé un grand nombre d'interviews et le PEReN était le seul objet de ce type que leurs recherches avaient identifié.

Je constate que le fait d'avoir mutualisé dans un service ces compétences numériques est assez unique en Europe. Cela a inspiré la Commission pour la mise en oeuvre de son ECAT à Séville. Ailleurs, la stratégie consiste plutôt à saupoudrer quelques compétences dans les différentes autorités. Généralement, les autorités régaliennes ou de renseignement sont les mieux dotées, en particulier lorsqu'il est question de contenus terroristes ou pédopornographiques. Nous faisons prévaloir une approche algorithmique et numérique de ces sujets, là où nos homologues sont plutôt issus, la plupart du temps, de la police ou de l'institution judiciaire. Ils ont une approche très « métier », complémentaire, qui n'est pas toujours aussi pointue sur les questions techniques telles que l'efficacité qu'un algorithme de modération automatique peut présenter pour tel type de contenu, ou les ressorts possibles permettant d'amplifier artificiellement ces contenus.

Mme Catherine Morin-Desailly, présidente. - Il est essentiel, au vu des « boîtes noires » que constituent les plateformes, d'avoir une telle expertise. C'est une chance et il est bon que la France joue un rôle moteur dans ce domaine. Nous vous remercions beaucoup de votre participation à cette audition.

Table ronde des sociétés d'informatique en nuage (clouders) européennes

Jeudi 15 juin 2023

Mme Catherine Morin-Desailly, présidente. - Notre table ronde de ce jour est consacrée à un sujet essentiel dont nous avons déjà beaucoup parlé, celui de « l'informatique en nuage », ou « cloud ». Nous accueillons aujourd'hui Séverine Denys, directrice des relations institutionnelles de Docaposte, et Alain Issarni, directeur général de Numspot ; Damien Lucas, directeur général de Scaleway, et Lucas Buthion, responsable des affaires publiques du groupe Iliad-Free ; Thibault de Tersant, directeur général adjoint d'Outscale, secrétaire général de Dassault Systèmes, et Grégory Abate de la société Outscale, filiale du groupe Dassault Systèmes ; Solange Viegas Dos Reis, directrice juridique et membre du Comité exécutif d'OVHcloud, Blandine Eggrickx, responsable des affaires publiques, et Jean-Paul Smets, vice-président d'Euclidia, une alliance qui réunit des acteurs prêts à fournir sous licence des technologies cloud à
des gouvernements qui veulent dépendre le moins possible d'acteurs étrangers.

Les sociétés représentées ici incarnent l'avenir du stockage et du traitement des données au niveau européen. Notre continent doit en effet se prémunir le plus possible de la dépendance aux technologies étrangères et de la soumission à l'extra-territorialité, notamment américaine. Cet impératif de souveraineté, grandement défendu par la commission des affaires économiques dans son rapport de l'an dernier, est incarné par le titre III du projet de loi, qui va des articles 7 à 14. Il est en effet consacré au « renforcement de la confiance et de la concurrence dans l'économie de la donnée ». Je veux rappeler quelques données à ce propos : selon l'étude d'impact du projet de loi, au niveau mondial, le cloud représenterait 384 milliards d'euros en 2022, et 65 milliards en Europe. Il pourrait être multiplié par 10 d'ici 2030.

À ce propos, nous sommes confrontés à un double problème : d'une part, les entreprises françaises sont en retard dans l'utilisation de l'informatique en nuage, ce qui nuit à leur compétitivité ; d'autre part, là encore, le marché est très concentré et dominé par Amazon Web Services, Microsoft Azure et Google cloud, avec une part de marché cumulée de 71 %.

Au-delà de considérations économiques déjà essentielles, le stockage et le traitement des données posent ainsi la question de notre capacité à assurer notre souveraineté. C'est à cela que cherchent à répondre les dispositions du projet de loi, en régulant des pratiques commerciales déloyales qui altèrent la liberté de choix des entreprises ou limitent la portabilité et l'interopérabilité des services, notamment la faculté à changer de fournisseur.

Mme Séverine Denys, directrice des relations institutionnelles de Docaposte. - Vous examinez un texte que nous attendions non seulement sur le sujet du cloud mais également sur ses dispositions visant à protéger les enfants, les citoyens, les consommateurs, les entreprises et les collectivités dans les espaces numériques. En tant que filiale du groupe La Poste et partie prenante d'un grand pôle financier public, Docaposte soutient cette initiative qui complète les textes européens sur le numérique, clarifie la situation et propose un cadre cohérent. Au niveau national, ce texte s'inscrit dans une démarche de l'État visant à soutenir l'autonomie industrielle de la France et Docaposte a une position clairement assumée de leadership de la confiance ainsi que de la souveraineté numérique dans les activités comme la banque, la finance, l'assurance, le secteur public et la santé, ce qui nécessite autonomie et régulation. Le texte répond à ces attentes en proposant des dispositions visant à garantir un cadre concurrentiel loyal et un soutien aux acteurs français ou européens dont la part de marché dans le cloud n'est pas à la hauteur de nos ambitions.

Une feuille de route a été structurée, pour chacun des secteurs que j'ai mentionnés, sur le développement des services de Docaposte en matière de données et d'intelligence artificielle. La souveraineté des données concernant les consommateurs, les citoyens ou les entreprises mérite une attention particulière. En effet, lorsqu'elles sont réunies, ces données - de faible intérêt si on les considère isolement - peuvent prendre une grande importance. C'est dans cet esprit que nous avons travaillé avec d'autres secteurs et que nous avons annoncé la création de Numspot qui est l'entité spécifiquement dédiée à l'informatique en nuage et que je laisse son directeur général vous présenter.

M. Alain Issarni, directeur général de Numspot. - Numspot est une entreprise toute récente créée en février dernier, avec un actionnariat comprenant la Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Telecom. Ces acteurs se sont associés pour remédier à l'insuffisance quantitative et qualitative de l'offre dans le domaine de l'informatique en nuage. En particulier, il leur est apparu nécessaire de renforcer la sécurité technique et juridique des données surtout vis-à-vis des lois extraterritoriales. Sans entrer dans les détails techniques, les offres existantes sont un peu trop basiques et ne correspondent pas tout à fait aux standards attendus par les entreprises qui souhaitent utiliser le cloud.

L'objectif de Numspot est d'adosser à l'offre existante d'Outscale - c'est-à-dire la marque cloud de Dassault Systèmes - des couches supplémentaires de prestations dites managées qui permettront aux utilisateurs et aux clients de bénéficier de services cloud plus avancés. Notre but est de répondre aux exigences de confiance, de sécurité et de souveraineté en proposant de nouvelles offres conformes au référentiel SecNumCloud pour enrichir l'existant.

M. Damien Lucas, directeur général de Scaleway. - Scaleway, filiale du groupe Iliad, existe depuis plus de 20 ans et je souligne qu'elle dispose de l'ensemble de la maîtrise d'ouvrage sans être soumise à un lien de dépendance unique, ce qui est une singularité en Europe. Tout d'abord, aucune dépendance ne s'exerce sur Scaleway dans l'ensemble de sa chaîne de valeur de l'informatique en nuage : elle est en effet rattachée à un groupe de télécommunications propriétaire de ses réseaux et qui a privilégié des partenariats industriels ou technologiques avec des équipementiers européens. De plus, Scaleway est à la fois propriétaire de ses quatre datacenters en région parisienne et du hardware qu'elle utilise. Notre entreprise maitrise également la couche logicielle qui est entièrement développée en interne. Je souligne l'importance de cette architecture d'ensemble puisque pour fournir les services du cloud, il faut disposer de l'immobilier, des ressources en serveurs ainsi que de la maîtrise de la couche logicielle qui occupe une part de plus en plus importante dans ce secteur.

Scaleway développe donc un écosystème de cloud que nous qualifions techniquement de « public », basé sur les standards du marché et sur des éléments open source. Nous plaçons ainsi la liberté de choix et la réversibilité au coeur de nos valeurs. Aujourd'hui, Scaleway compte environ 600 collaborateurs : nous avons recruté massivement ces dernières années et doublé de taille en trois ans grâce à des investissements considérables, rendus possibles grâce au soutien du groupe Iliad, et principalement consacrés au développement d'une couche logicielle performante.

Sans revenir sur les chiffres représentatifs du marché du cloud que vous avez très clairement présentés, je fais observer que le segment du cloud public est celui qui connaît la plus forte croissance : cet écosystème n'a jamais été aussi dynamique et mature sur le plan technologique. Cependant, comme vous le soulignez, nous perdons du terrain en Europe face aux trois principaux acteurs qui renforcent de plus en plus leur position. Cette amplification des dynamiques oligopolistiques sur le marché de l'informatique en nuage s'explique en grande partie par l'existence d'un certain nombre de barrières à l'entrée qui entravent les acteurs alternatifs. J'attire tout particulièrement l'attention sur les pratiques commerciales qui verrouillent fortement les clients et limitent leur résilience numérique en les rendant dépendants de leur fournisseur de cloud.

Le législateur national et européen a donc un rôle clé à jouer pour rétablir des conditions de concurrence équilibrée, étant donné le pouvoir de marché dont jouissent ces acteurs dominants. J'insiste sur l'importance d'agir à l'échelle européenne pour réguler ce marché : cela est nécessaire pour atteindre une masse critique et garantir une harmonisation entre les États membres afin de limiter toute possibilité de dumping. Le fait que la France prenne le leadership en légiférant la première de manière ambitieuse est un signal intéressant adressé à l'extérieur de nos frontières. Nous saluons donc les objectifs fixés par le projet de loi, que ce soit en matière d'encadrement ou d'octroi des services informatiques en nuage, d'interdiction des frais de transfert et de simplification de l'interopérabilité. Nous soutenons véritablement l'ambition mise en avant par le Gouvernement et espérons que ce volontarisme se diffusera à l'échelle européenne, voire au-delà.

Les occasions de légiférer sur le cloud sont rares ; c'est pourquoi nous accordons une grande importance à l'élaboration de ce texte. Nous souhaitons nous assurer, à vos côtés, que les dispositions sont pensées et rédigées de manière à atteindre les objectifs recherchés, tout en étant proportionnées aux capacités des PME ou des ETI, et sans pour autant limiter la capacité d'innovation de notre écosystème ni ralentir son expansion vers de nouveaux marchés. En effet, au-delà des enjeux de régulation, notre positionnement sur les marchés du cloud en Europe à l'horizon 2030 dépendra de notre agilité ainsi que de notre capacité à investir pour proposer des services de pointe et anticiper de nouveaux besoins.

M. Lucas Buthion, responsable des affaires publiques du groupe Iliad-Free. -Mon collègue ayant exprimé nos principales idées, je me concentrerai sur les réponses à vos questions dans la suite du débat.

M. Thibault de Tersant, directeur général adjoint de Dassault Systèmes. -Dassault Systèmes est le deuxième éditeur de logiciels en Europe et occupe la place de leader mondial dans son domaine, qui consiste à aider à concevoir et à fabriquer des produits ou substances dans à peu près tous les domaines de l'économie. Par exemple, les objets affichés dans la salle où nous nous réunissons ont été conçus, à un moment ou à un autre de leur processus de fabrication, avec des logiciels de Dassault Systèmes. L'automobile, l'aéronautique, les équipements industriels, la high-tech font partie des domaines très importants pour Dassault Systèmes, mais j'ajoute que les sciences de la vie sont devenues le deuxième secteur le plus important pour nous. Cela signifie que, depuis très longtemps, notre entreprise a l'habitude de gérer un haut niveau de confidentialité pour les données - de conception et de propriété intellectuelle - très sensibles de ses clients. Une des meilleures manières d'assurer cette confidentialité est de développer de l'informatique en nuage : cela permet de faire tourner les logiciels dans des environnements extrêmement sécurisés et de s'assurer que toutes les mises à jour sont effectuées par l'informatique en nuage tout en préservant l'intégrité des données. Voici déjà dix ans que Dassault Systèmes a investi pour développer sa filiale Outscale et permettre ainsi à ses clients d'utiliser tous leurs logiciels Dassault Systèmes dans les infrastructures en nuage d'Outscale. Cela nous a également permis de leur offrir de la souveraineté : nous garantissons à nos clients dont les données sont extrêmement sensibles que celles-ci resteront sur le territoire français quand elles sont hébergées chez Outscale. Je souligne également qu'Outscale a été la première société ayant obtenu la norme SecNumCloud de la part de l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui apporte donc une garantie de grande sécurité.

Mme Catherine Morin-Desailly, présidente. - Pouvez-vous préciser en quelques mots, pour ceux qui nous écoutent et l'ensemble de nos collègues, ce qu'est la labellisation SecNumCloud ?

M. Thibault de Tersant. - Le label SecNumCloud, est le plus élevé en matière de sécurité informatique. Pour l'obtenir, le processus est extrêmement exigeant : on vérifie qu'aucun accès aux données de cette informatique en nuage n'est possible dans l'état actuel de l'art. L'audit effectué par l'ANSSI s'étend sur une durée d'environ 18 mois : ces conditions strictes permettent de valider un haut niveau de cybersécurité.

J'ajoute que notre sensibilité à la souveraineté des données et à la cybersécurité nous a conduits à participer à la création de NumSpot qui vise à permettre aux administrations, collectivités territoriales, hôpitaux et pharmacies, de préserver la sécurité et la souveraineté des données sensibles de santé, d'identité, ou de fiscalité en les logeant dans le cloud de NumSpot où elles seront préservées.

J'en termine avec quelques informations quantitatives : Dassault Systèmes rassemble 24 000 collaborateurs dans le monde, ses principaux centres de recherche et de développement sont localisés en France et nous réalisons un chiffre d'affaires d'environ six milliards d'euros.

Mme Solange Viegas Dos Reis, directrice juridique et membre du Comité exécutif d'OVHcloud. - Nous estimons que les dispositions de ce projet de loi sont absolument nécessaires pour rétablir une équité concurrentielle sur le marché du cloud. Je rappelle qu'OVHcloud a été créé il y a vingt ans dans le Nord de la France et que cet acteur d'origine française est devenu depuis quelques années le leader européen du cloud, au sens où nous sommes le premier fournisseur de cloud basé en Europe. Nous sommes également un acteur international avec 34 datacenters répartis sur quatre continents. Notre chiffre d'affaires s'est élevé à près de 800 millions d'euros l'année dernière et nous comptons près de 3 000 collaborateurs sur ces quatre continents. Nous sommes donc un acteur d'une certaine envergure avec un modèle intégré assez unique sur le marché. En effet, nous construisons nos propres serveurs dans nos usines d'assemblage en France et au Canada, nous exploitons nos propres datacenters et nous fournissons des services de cloud de différents types : du cloud public, avec des hébergements mutualisés, et du cloud privé, avec un hébergement plus dédié. Nous sommes également présents sur deux des trois couches du cloud que sont d'abord l'infrastructure (IaaS pour Infrastructure en tant que Service), ensuite la plateforme (PaaS - Plateforme en tant que Service) et enfin le logiciel
(SaS -Software ou Logiciel en tant que Service). Présente sur les deux premières couches, OVHcloud n'est pas un éditeur de logiciels et nous ne mélangeons donc pas les intérêts entre fournisseurs de services de cloud et fournisseurs de services de logiciel.

Le marché du cloud est aujourd'hui stratégique et a un immense potentiel de croissance. En effet, toutes les entreprises, des PME aux grands groupes, ont besoin de systèmes d'information qui migrent de plus en plus vers le cloud. Cependant, ce marché souffre de problèmes de concurrence et nous rejoignons les propos du représentant de Scaleway : les acteurs dominants verrouillent le marché avec des pratiques mortifères pour la concurrence, en particulier pour les acteurs plus petits, y compris les acteurs européens comme nous. Cela a des impacts toxiques, non seulement pour les utilisateurs qui - enfermés dans des contrats longs dont ils perdent le contrôle - sont privés de liberté de choix, mais aussi pour notre industrie et la protection de notre souveraineté nationale et européenne. Ces pratiques de verrouillage, d'abus de positions de marché et d'absence de transparence peuvent perdurer tant qu'il nous manquera un cadre réglementaire adapté et il faut remédier à la carence actuelle dans ce domaine, comme en témoignent les chiffres éloquents qui ont été rappelés en préambule.

Face à cette situation, plusieurs initiatives ont émergé au niveau européen avec le règlement DMA (pour Digital Markets Act) ou celui sur les données intitulé Data Act. De plus, des autorités régulatrices du monde entier en charge de la concurrence, en France, aux Pays-Bas, en Angleterre, au Japon, en Corée et aux États-Unis, ont déclenché des études sur le cloud liées aux positions dominantes qui s'y manifestent. C'est pourquoi OVHcloud soutient pleinement ce projet de loi dont nous estimons qu'il sera positif pour l'écosystème européen et répondra à l'urgence de la situation. Enfin, ce texte vise à anticiper certaines dispositions du Data Act et prolonge ce dernier. OVHcloud souligne tout particulièrement l'intérêt des dispositions favorisant la fin des frais de transfert de données, la fin du verrouillage des clients et les efforts en matière d'interopérabilité.

Notre ambition étant d'aborder toutes les difficultés actuelles, nous estimons qu'un certain nombre de compléments pourraient être apportés à ce texte. Il s'agirait, en particulier, de mettre un terme à certaines pratiques de ventes liées ou d'auto-préférence, ainsi que de protéger les données en imposant la transparence aux différents acteurs du cloud, ces derniers devant être en mesure de préciser où sont les données, quelle est leur utilisation et qui peut y accéder.

M. Jean-Paul Smets, vice-président d'Euclidia. - Euclidia que je co-préside est une alliance européenne d'industriels du cloud et j'ai par ailleurs deux entreprises à titre personnel.

Je souhaite au préalable vous permettre de mieux cerner la notion d'industriel du cloud. Dans le secteur des télécommunications, on distingue, d'une part, les équipementiers - qui comme Ericsson fabriquent des stations de base - et, d'autre part, les opérateurs, comme Orange, qui exploitent des réseaux de télécommunication avec des équipements de diverses marques. Par une distinction similaire, je précise qu'Euclidia regroupe les équipementiers du cloud, mais pas les opérateurs du cloud qui utilisent les technologies que nous fabriquons. Je signale cependant que certains opérateurs du cloud fabriquent également leurs propres technologies, tout comme Free a fabriqué sa Freebox à une certaine époque. On retrouve des cas similaires en Turquie ou au Vietnam : quelques opérateurs de télécoms dans le monde sont également leur propre équipementier. En revanche, Euclidia rassemble des équipementiers du cloud mais pas d'opérateurs du cloud : nous n'avons donc pas d'observations particulières à formuler sur un assez grand nombre de dispositions du projet de loi qui ne concernent que les opérateurs et non les équipementiers.

L'alliance Euclidia compte 30 membres dans sept pays européens, avec cinq associations partenaires. Euclidia a recensé 120 fournisseurs européens de technologie cloud, qui proposent 308 technologies et ont réalisé 1 200 succès à l'export. Je souligne que 15 % des exportations réalisées par nos fournisseurs européens référencés ont été réalisés vers les GAFAM et pratiquement aucune chez les opérateurs européens de cloud. Ces informations figurent dans une étude que détient depuis six mois la direction générale des entreprises (DGE) et qu'elle publiera peut-être un jour. La moitié des technologies utilisées par un opérateur comme Amazon Web Services provient d'Europe. Contrairement à certaines affirmations totalement infondées, les technologies les plus avancées dans le cloud, le Edge computing (informatique de périphérie) ou la 5G virtualisée, sont souvent européennes. Par exemple, au salon du Bourget, vous verrez du Edge cloud volant pour des systèmes de combat des avions du futur 100 % européens.

Il y a un an et demi, les membres d'Euclidia ont fait dix offres aux gouvernements européens. L'idée consistait à proposer à chaque Gouvernement de disposer de son propre cloud en quelques mois, pour la somme symbolique d'un million d'euros. L'offre comprend toutes les technologies et l'assistance pour la mise en oeuvre initiale. Si les 27 membres de l'Union européenne avaient acheté ces dix offres, il leur en aurait coûté 270 millions d'euros soit 40 fois moins que les budgets alloués aujourd'hui par l'Union européenne ou les États membres pour essayer de redévelopper ce qui existe déjà. Euclidia s'efforce ainsi de démontrer que tout existe déjà sur le plan technologique mais qu'il faut plutôt se tourner vers certaines entreprises de petite taille que vers les grands groupes traditionnels pour bénéficier de notre avance technologique, par exemple sur le Edge industriel ou la 5G virtualisée.

Nous regrettons que le projet de loi n'aborde les technologies numériques que sous l'angle de la sécurité du consommateur et qu'il ne propose rien de concret pour privilégier l'adoption des nombreuses technologies européennes et dynamiser notre écosystème industriel du cloud.

De plus, il comporte même plusieurs aspects qui favorisent les technologies américaines du cloud au détriment des technologies européennes. Cela suscite l'inquiétude de certains de nos membres.

Mme Catherine Morin-Desailly, présidente. - Peut-être pourriez-vous formuler dès à présent vos suggestions pour accompagner le développement de votre secteur ?

M. Jean-Paul Smets. - Par exemple, une mesure très simple est de considérer que le logiciel relève du droit d'auteur. En effet, un développeur - pour peu qu'on connaisse la réalité de ce métier - est un artiste au même titre qu'un musicien ou un cinéaste : il écrit du logiciel comme on écrit un roman. Il n'y a donc aucun obstacle pour appliquer l'exception culturelle au logiciel. Nul besoin de passer par la loi ni une directive : du jour au lendemain, un État peut, par exemple, exiger un ratio minimum de contenu logiciel créé en Europe sans en demander l'autorisation à l'Union européenne. On pourrait également s'inspirer du Small Business Act, envisager un Buy European Act ou créer des « crédits blancs » - comme dans le domaine des émissions de CO2 - avec des échanges de titres représentant un quota de contenu logiciel européen dans telle ou telle activité. Inévitablement, certain s'opposeront à cette idée en indiquant qu'il s'agit de protectionnisme mais je fais observer que c'est, au final, ce qui se pratique aujourd'hui en matière de CO2 et il n'est pas choquant de protéger de la même façon notre culture. Une dizaine de méthodes et de propositions envisageables ont d'ores et déjà été formulées par écrit et il revient à nos élus de choisir la voie qui leur semble la plus raisonnable, éclairée par les propositions des acteurs qui font le cloud.

M. Patrick Chaize, rapporteur. - Merci pour vos propos introductifs riches en informations dont il ressort que le secteur français ou européen du cloud est en difficulté et nous allons essayer d'y apporter remède.

Estimez-vous que le retard pris par les entreprises françaises par rapport aux entités américaines est rattrapable et, si oui, comment peut-il l'être grâce à ce projet de loi : sur quel vecteur ou point particulier pensez-vous utile de focaliser notre attention ?

L'article 7 du projet de loi porte sur l'offre de crédits cloud, c'est-à-dire une sorte d'accompagnement offert de façon attractive à certaines entreprises pour les engager dans un service cloud. De telles offres de crédits cloud sont aujourd'hui proposées par vos entreprises respectives. Inversement, avez-vous recours à des crédits cloud proposés par des opérateurs étrangers, en particulier par les GAFAM ? Êtes-vous favorable à un encadrement de ces crédits ? Quelle durée maximale de validité de ces offres promotionnelles recommandez-vous ? Le Gouvernement nous a indiqué qu'il envisageait un plafond de trois à six mois : ce délai vous paraît-il judicieux et opérationnel ?

S'agissant des frais de transfert sortants qui sont facturés par vos entreprises respectives : quels sont, inversement, les frais qui vous ont déjà été facturés à l'occasion d'un éventuel changement de logiciel, de plateforme ou d'infrastructure de cloud ? Êtes-vous favorable à une suppression de ces frais de transfert sortants comme l'envisage le projet de loi ?

Certains d'entre vous ont évoqué la question de la séparation éditeur-plateforme. Avez-vous une position consensuelle sur ce sujet et,
le cas échéant, comment identifier de façon précise ce partage entre fournisseurs de services de cloud et fournisseurs de services de logiciel ?

Pouvez-vous également nous éclairer sur la signification concrète, pour les clients du cloud, de trois mécanismes : l'interopérabilité prévue par l'article 8, la portabilité des actifs numériques et enfin la mise à disposition d'une interface de programmation d'applications ?

Enfin, que pensez-vous du rôle de l'Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) dans la régulation du marché du cloud ? Estimez-vous que l'Arcep dispose des moyens humains et techniques suffisants pour lui permettre d'assumer le rôle de gendarme du cloud ?

M. Thibault de Tersant. - Les crédits cloud se définissent à ma connaissance comme la mise à disposition gratuite de services d'informatique en nuage par des acteurs américains dits hyperscalers. Le premier réflexe, qui se manifeste d'ailleurs dans le présent projet de loi, est de les encadrer très strictement. En effet, les crédits cloud permettent d'attirer une clientèle de startups qui n'ont pas les moyens de payer l'informatique en nuage et qui, par la suite, ne vont pas changer de fournisseur de cloud. Je pense néanmoins qu'il faut tenir compte de la nécessité d'offrir une période gratuite de test à des clients, en particulier quand on souhaite les convaincre de changer d'informatique en nuage en migrant d'un acteur américain ou chinois à un acteur français. Nous ne voyons pas d'objections particulière à un encadrement de cette pratique mais il faut conserver la possibilité d'un essai gratuit et long sans quoi on va avoir un effet opposé à celui qu'on souhaite en supprimant le moyen de faire migrer des clients dans du cloud français.

M. Patrick Chaize, rapporteur. - Pouvez-vous préciser la durée qui vous paraît appropriée à cet essai gratuit ?

M. Thibault de Tersant. - Une année est généralement nécessaire pour faire le tour d'un projet de migration assez important.

S'agissant de frais de transfert sortants, je précise d'abord qu'Outscale n'en facture pas au client qui souhaite reprendre ses données. En revanche, des prestations permettant de migrer les données vers un autre environnement sont parfois nécessaires et ont un coût pour le fournisseur de cloud. Il faut donc bien distinguer les frais arbitraires de ceux qui correspondent à un véritable service rendu, avec des personnes et de la puissance informatique. La formulation juridique de « frais directs et indirects » prête à confusion car les frais indirects peuvent s'appliquer au recours à un prestataire extérieur pour faciliter la migration des données : si tel est bien le cas, alors on tarira toutes les possibilités de transfert vers les opérateurs de cloud français. Il faut donc préserver la possibilité de rémunérer un service rendu. En revanche, ce qui s'apparente à une « taxe » ou un « péage » de sortie est néfaste et nous sommes très favorables à sa suppression le plus vite possible.

Ensuite, vous avez évoqué la portabilité des actifs numériques. Je souligne que la notion d'actifs numériques est définie de façon confuse dans le projet de loi. Il s'agit en outre d'une notion dangereuse car elle recoupe un ensemble plus vaste que les simples données du client : les métadonnées, par exemple, font partie des actifs numériques. Faute de définition précise des éléments portables, on s'expose à un fort risque de non-conformité à la propriété intellectuelle. C'est un des domaines où les institutions européennes ont décidé d'intervenir en employant le terme de « données exportables » : je pense que le présent projet de loi devrait utiliser cette formulation car les données exportables visent précisément les données du client. L'objectif essentiel de la partie du texte consacrée à l'informatique en nuage est de permettre aux clients de récupérer leurs données qui sont incluses dans leur patrimoine. Ce n'est pas toujours facile aujourd'hui et c'est précisément ce qu'il faut permettre.

Il faut cependant prendre garde aux pressions qui sont exercées par divers acteurs pour aller beaucoup plus loin vers une interopérabilité et une portabilité d'actifs numériques plus vastes que les données du client et qui exposent la propriété intellectuelle. L'autre danger, dans une démarche un peu plus raffinée, serait de rendre au final le texte inopérant parce que son périmètre serait trop large. En effet, l'interopérabilité au niveau des logiciels est extraordinairement complexe et il en va de même quand le projet de loi parle d'API (Application Programming Interface ou interface de programmation d'application) ouverte. Nous sommes aujourd'hui dans l'économie de la donnée et pas dans l'économie des API. Je pense donc qu'il faut recentrer le projet de loi sur les données ainsi que les possibilités offertes aux clients de les transférer. S'aventurer dans le domaine des API créerait des obligations qui ne sont pas raisonnables pour les éditeurs de logiciels. J'appelle à une extrême prudence car un certain nombre de pays sont très favorables à cette récupération de propriété intellectuelle sous forme d'API. De la même manière, il faut se méfier du concept d'équivalence fonctionnelle qui ne signifie pas grand-chose et peut s'étendre à des logiciels dans le cloud. En résumé, j'appelle à renoncer au concept d'actifs numériques pour en revenir à celui de données exportables qui, je l'espère, sera inscrit dans le Data Act européen.

M. Patrick Chaize, rapporteur. - J'imagine que vous avez des propositions à nous faire sur le sujet.

M. Thibault de Tersant. - Nous pouvons effectivement vous fournir des propositions d'amendements très précises.

S'agissant de l'Arcep, j'indique que l'idée fondamentale est que si on veut permettre la portabilité des données, il faut que celles-ci répondent à certains standards pour les rendre réutilisables d'un service à l'autre. Au risque de paraître brutal, j'indique que ces standards ne sont pas français. L'élaboration de standards est longue et onéreuse : je pense donc qu'il est préférable de miser sur l'élaboration de standards européens en impliquant dans ce processus les industriels qui sont les consommateurs des données et en évitant une démarche trop intellectuelle. Les organismes ayant élaboré les standards pour l'échange de données de produit (STEP) auxquels j'ai participé réunissent les industriels concernés, par exemple dans le secteur automobile ou aéronautique, avec des éditeurs de logiciels du type d'Assystem. Nous avons une haute opinion de l'Arcep mais la mission d'élaborer les standards nécessaires à la portabilité des données est tout à fait au-dessus de ses moyens.

M. Jean-Paul Smets. - Pour des raisons très différentes de celles qui viennent d'être exposées, nous arrivons chez Euclidia à des conclusions similaires sur les questions fonctionnelles, d'actifs numériques et de normalisation.

Notre principale différence d'approche avec les propos précédents porte, par exemple, sur le fait que nous souhaitons que les API soient publiques car nous estimons qu'il n'y a pas de propriété intellectuelle sur ces interfaces logicielles.

Nos conclusions sont cependant les mêmes. Ainsi, le fait de confier à l'Arcep une mission qui s'apparente à une standardisation du cloud me paraîtrait personnellement, assez catastrophique car l'Arcep est spécialisée dans les télécommunications : son personnel a marqué, à une certaine époque, sa préférence pour le minitel plutôt que le web, et l'Arcep reste marquée par une forme de pensée parfois un peu rigide. Je connais à l'Arcep des gens qui comprennent parfaitement le secteur des télécommunications mais quasiment aucun qui ait un haut niveau de compréhension des logiciels.

Par ailleurs, l'idée de normalisation des systèmes dans le monde du logiciel me laisse interrogatif. En effet, je ne connais que trois normes - la norme japonaise TRON, W3C (World Wide Web Consortium) et POSIX (Portable Operating System Interface) - qui permettent de définir les mêmes règles pour tous les développeurs de logiciels du monde. Je vous mets au défi de m'en citer d'autres.

Mme Catherine Morin-Desailly, présidente. - Nous entrons ici dans un débat extrêmement technique et je me permets de recentrer le débat sur son aspect législatif et sur les questions soulevées par notre rapporteur. Il nous importe avant tout que le texte de loi permette l'émergence d'un cloud souverain français et européen qui, aujourd'hui, est un peu en retrait en raison de l'hégémonie des GAFAM qui ont tendance à vampiriser ce marché en plein développement. Nous souhaitons savoir si le texte de loi vous satisfait en rééquilibrant le marché et en facilitant la migration des données vers les solutions respectueuses des valeurs européennes que vous offrez. Devrions-nous, par exemple, inscrire dans le texte la notion de données stratégiques et sensibles ? Nous souhaitons également participer à la mise au point des politiques industrielles d'accompagnement de votre secteur en nous concentrant sur des questions stratégiques.

M. Jean-Paul Smets. - Je faisais référence aux propos de M. Thibault de Tersant qui, à juste titre, a indiqué que la notion de données exportables pourrait faire l'objet d'une normalisation ; j'ai également fait observer que le contenu du projet de loi fait référence à quelque chose qui n'existe pas.

M. Lucas Buthion, responsable des affaires publiques du groupe Iliad. - Tout d'abord, nous soulignons l'importance de ce projet de loi qui marque une certaine inflexion. En s'efforçant de réguler certaines pratiques qualifiées par une intervenante de « mortifères », ce texte pourra participer à une forme de rééquilibrage des conditions de concurrence qui vont permettre à Scaleway comme au reste de l'écosystème français européen de montrer leur valeur de façon plus juste et équitable.

S'agissant des différentes questions soulevées par le rapporteur, je commencerai par m'associer aux interrogations, voire aux craintes suscitées par la définition des actifs numériques. Pour aller plus dans le détail des propositions concrètes, nous pouvons vous inviter, en faisant référence à la notion de donnée exportable, à examiner la dernière définition - plus cadrée, plus précise et plus concrète - qui figure dans le trilogue européen sur le Data Act.

Par ailleurs, à notre connaissance, la notion de portabilité en matière de cloud n'est pas définie dans le Data Act.

Mme Catherine Morin-Desailly, présidente. - Je précise que le Data Act n'est pas encore adopté et nous sommes donc dans une phase d'anticipation des dispositions qui pourraient figurer dans sa version définitive.

M. Lucas Buthion. - Tout à fait, mais, à l'échelle européenne,
il faudra bien choisir la définition à laquelle on se réfère dans la phase ultérieure de normalisation. Il nous paraît donc pertinent d'essayer d'anticiper au niveau français cette évolution et de permettre à l'Arcep d'agir de façon proactive en prévision de la mise en oeuvre future du Data Act.

Par ailleurs, il me semble qu'un consensus se dégage sur les frais de transfert. Notre groupe n'en facture pas non plus, hormis de façon très marginale, tandis qu'un certain nombre d'acteurs dominants peuvent avoir des marges sur ces frais de transfert de l'ordre de 800 % - selon nos estimations qu'il convient sans doute d'approfondir - par rapport à leur coût réel. L'encadrement ou l'interdiction de ces frais de transfert est donc, pour nous, une excellente chose pour lever un vrai verrouillage des clients. Ceci dit, nous estimons à notre tour nécessaire de mieux définir ces frais de transfert pour bien les distinguer des frais et éviter les contournements.

Je précise que le projet de Data Act prévoit une période de transition au niveau européen pour ces frais de transfert tandis que le présent projet de loi envisage une interdiction immédiate : cela ne nous ne poserait aucun problème, si ces frais ne sont pas justifiés par des impératifs techniques et permettrait de renforcer sans délai la liberté de choix des utilisateurs.

Enfin, s'agissant des offres de crédit cloud, je précise en toute transparence que ces pratiques ne sont pas l'apanage exclusif des hyperscalers américains. Scaleway, par exemple, propose des offres de crédit cloud à des écosystèmes de développeurs et de start-up mais pas du tout dans les mêmes proportions ou montants et à la même échelle que les acteurs dominants, ce qui crée une dissymétrie. Je fais observer qu'en raison d'une certaine accoutumance à des prix négatifs, nous sommes contraints de proposer de telles offres.

La réflexion sur l'encadrement de ces pratiques est probablement justifiée mais je signale que la limitation des crédits cloud ne figure pas, comme vous le savez, dans le projet de Data Act européen. On risque donc d'aboutir à un encadrement spécifique à notre territoire assez facile à contourner par les filiales non françaises des acteurs dominants qui pourraient continuer à distribuer ces crédits à des entités françaises. La situation ainsi créée serait un peu paradoxale, voire inverse à l'effet recherché : l'encadrement de l'octroi de crédit cloud s'imposerait uniquement aux acteurs français situés sur le territoire national qui n'auraient pas les moyens de contourner cet encadrement. Il faut donc, à mon sens, être attentif aux effets de bord d'un tel dispositif pour ne pas détourner les clients potentiels de nos offres.

M. Patrick Chaize, rapporteur. - J'entends parfaitement vos objections et, comme vous l'avez bien compris, nous comptons sur vous pour nous aider à bien définir les frais de transfert ainsi qu'à trouver le bon équilibre dans la rédaction du texte.

S'agissant des crédits cloud, il s'agit d'éviter l'effet pervers qui aboutirait à priver certaines startups d'un accompagnement utile à leur développement par des entités françaises. Là aussi, il faut trouver le bon équilibre, mais pour l'instant, je ne pense pas qu'il faille s'interdire d'être plus vertueux que le Data Act en s'efforçant d'éviter que certaines entreprises américaines préemptent le marché sans pénaliser les acteurs nationaux.

Mme Solange Viegas Dos Reis. - Tout d'abord, sur le crédit cloud, je partage la plupart des propos tenus par les intervenants. La difficulté est que le système des crédits cloud a une dimension vertueuse pour accompagner l'écosystème des startups ou des PME françaises et européennes qui ont besoin de migrer vers le cloud et hésitent à passer le cap. D'un autre côté, on constate que les crédits cloud sont détournés de leur finalité d'outils d'accompagnement pour tester le cloud : cela devient un produit d'appel pour attirer ces startups, même très précoces dans leur développement, et les verrouiller en tant que clients. Une interdiction totale des crédits cloud serait donc excessive.

Pour être à notre tour transparent, OVHcloud, met également en oeuvre une politique de crédit cloud, mais de façon modérée. Il est impossible, pour les petits acteurs, de répliquer les propositions de crédit cloud d'un montant très élevé faites par les entreprises extrêmement puissantes. C'est ce décalage qui pose aujourd'hui un énorme problème et non pas le crédit cloud en soi.

L'approche que nous défendons est celle d'un encadrement précis des crédits cloud avec une limitation de leur montant et de leur durée à un niveau accessible à des acteurs. Par-dessus tout, ce mécanisme doit rester un véritable test, en permettant à une startup ou une entreprise quelconque bénéficiant d'un crédit cloud de sortir à tout moment de sa période d'essai sans pénalisation financière. Il s'agit de s'aligner sur les offres d'essai gratuit de grands quotidiens de presse qui n'engagent pas le souscripteur.

Nous estimons qu'une durée de gratuité comprise entre six mois et un an assortie d'un plafond annuel de 50 000 euros pourrait être envisageable dans un certain nombre de cas. Il est cependant difficile de fixer des paramètres précis adaptés à l'ensemble des acteurs.

Quoi qu'il en soit, la logique du crédit cloud est saine : il a été détourné en rendant le client captif et il faut aujourd'hui lui rendre sa fonction première de test.

M. Patrick Chaize, rapporteur. - Si je vous entends bien, vous êtes favorable à un cumul de limitations à la fois dans le temps et en montant, le Gouvernement ayant, pour sa part, envisagé de ne fixer qu'une durée maximale.

Mme Solange Viegas Dos Reis. - Je pense qu'à défaut de limitation du montant des crédits cloud, les distorsions de concurrence entre les acteurs vont perdurer mais je reconnais qu'il n'est pas facile de fixer une somme précise et il ne m'appartient pas de le faire.

Ensuite, sur les frais de transfert, je précise tout d'abord qu'OVHcloud n'applique pas de frais de sortie de contrat. Dans le sillage des précédents intervenants, j'estime nécessaire de bien distinguer les frais de transfert et les frais de migration. Je précise que la circulation des données entre différents serveurs pendant le contrat - en particulier quand le client dispose en même temps de plusieurs opérateurs de cloud - ne doit pas non plus donner lieu à facturation de frais de transfert. En revanche, lorsque tout ou partie du contrat s'arrête, c'est-à-dire lorsque le client décide de retirer une partie de ses services hébergés chez un prestataire de cloud - pour les transférer vers ses propres serveurs, chez un autre opérateur, ou même pour arrêter complétement - il s'expose alors à des frais de migration. Ces frais peuvent jouer un rôle de barrières à la sortie pour les clients : il est essentiel de rester extrêmement vigilants à leur égard et de vérifier qu'ils se limitent à répercuter le coût spécifiquement engagé pour la migration. Il peut légitimement s'agir de prestations de services - qui méritent salaire - pour accompagner le client dans sa migration mais d'éventuels « frais de bande passante » ou autres n'ont aucun sens, sans quoi on peut parler de « péage » pour reprendre la formule pertinente du rapporteur. Toute la difficulté, au plan juridique, est de bien définir les composantes des frais de transfert et de migration. OVHcloud facture des prestations humaines d'accompagnement à la migration mais nous n'appliquons pas de frais sur le reste et ne comprenons pas ce qui pourrait être facturé.

Sur les questions plus techniques d'interopérabilité et d'actifs numériques, nous estimons que le projet de loi va dans le bon sens. OVHcloud est confronté à cette difficulté : l'interopérabilité est une barrière à la migration entre fournisseurs de cloud, tout comme l'absence de portabilité des données. En revanche, une définition approximative de ces notions pourrait entraîner des effets pervers que M. de Tersant a évoqués. L'interopérabilité, se définit concrètement par la faculté pour des systèmes, applications, ou composants différents de pouvoir se connecter, partager, fonctionner ensemble et communiquer entre eux. Cette interopérabilité n'est pas naturelle et il faut parfois la forcer. Nous pensons que le texte doit fortement la stimuler car si on ne fixe pas ex ante des conditions nécessaires à une bonne interopérabilité, les acteurs dominants vont encore accroître leur pouvoir de marché. En effet, les trois acteurs qui représentent 71 % du marché en France et 72 % en Europe vont imposer leur propre format. On constate dès à présent que quand certains hyperscalers américains modifient leurs formats ou leurs services, tout le reste de l'industrie s'empresse de se mettre à niveau. L'entreprise dominante risque ainsi d'imposer son modèle à l'ensemble du marché et c'est précisément ce phénomène qui doit être anticipé par le projet de loi : celui-ci doit donc favoriser l'interopérabilité et la portabilité.

J'ai bien noté que les définitions retenues pourraient entraîner des effets de bord et il faut faire en sorte de les éviter. Je précise ici que la notion d'actifs numériques inclut les données exportables mais il faut également que les données soit transmises dans un format structuré, couramment utilisé et lisible - de la même façon qu'un déménageur doit vous livrer vos affaires sans se contenter de les déposer en vrac dans le salon. Le principe de portabilité doit donc inclure la possibilité pour le client de réutiliser ses données de façon rapidement opérationnelle.

M. Alain Issarni. - En réponse à la première interrogation du rapporteur sur le retard pris par les entreprises françaises ou européennes du cloud, j'indique que NumSpot n'existerait pas si nous pensions que ce décalage n'est pas rattrapable et le projet de loi va effectivement dans le bon sens pour nous faciliter la tâche.

Je souhaite mentionner des éléments de nature à renforcer les acteurs du cloud dont nous parlons. Vous avez évoqué, madame la présidente, la récente mise à jour de la « doctrine cloud au centre » destinée à accélérer la transformation numérique de l'État. Celle-ci va également dans le bon sens en précisant le contour exact des données à sensibilité particulière qui sont de nature à justifier le référentiel SecNumCloud. Cette doctrine s'adresse au secteur public et nous souhaitons que celui-ci puisse contribuer à faire émerger des petits acteurs du cloud à travers la commande publique.

Le troisième levier de nature à rééquilibrer l'offre de marché réside dans la sensibilisation de l'utilisateur final. Nous souhaitons que des efforts soient amplifiés dans ce domaine. Peut-être faudrait-il s'inspirer, dans le cloud, du cyberscore, qui est un système de notation des sites web, à l'image du Nutri-score : le cyberscore s'est installé dans le paysage numérique, quoique de façon assez timide puisqu'il ne concerne, pour 2024, que les très gros acteurs. En revanche, lorsqu'on se connecte aujourd'hui à un site localisé dans le cloud, il est extrêmement difficile de savoir où sont vos données, qui en est l'hébergeur et si elles sont ou pas soumises à un quelconque risque. Pour autant, je pense que l'éducation des utilisateurs est importante et peut influencer les fournisseurs de services sur l'utilisation des données. Il me paraît donc souhaitable d'encourager la création d'un équivalent du cyberscore ou du Nutri-score appliqué à la sécurité des données pour favoriser l'émergence d'acteurs plus vertueux en termes de sécurité et de confidentialité des données.

Mme Catherine Morin-Desailly, présidente. - Vous avez mentionné la labellisation SecNumCloud mise en place par le Gouvernement. Je signale que certains acteurs, et en particulier les petites entreprises, ont fait valoir que le processus de labellisation est, comme vous l'avez vous-même rappelé, très long - environ dix-huit mois - et coûte cher, avec des sommes voisines de 50 000 euros. Pouvez-vous confirmer ces données ?

M. Jean-Paul Smets. - Je précise à ce sujet qu'Euclidia rassemble deux catégories de membres. Certains, très minoritaires, ont subi une sorte de chantage en recevant des subventions d'État conditionnées à la labellisation SecNumCloud. Ils ont pu communiquer sur cette qualification et ne sont pas enclins à la critiquer. En revanche, pour la majorité de nos membres, SecNumCloud a pour effet de favoriser les technologies américaines du cloud. Aujourd'hui, les quatre offres d'hébergement labellisées SecNumCloud, fonctionnent - sans parler du système de vente qui les entoure - avec un coeur technologique américain, ce qui ne garantit pas leur immunité contre une prise de contrôle à distance par un État tiers, par exemple concernant les équipements Cisco ou, comme on peut le lire, dans les logiciels propriétaires d'origine américaine. SecNumCloud favorise en réalité l'absence d'offres basées sur des technologies européennes. Il favorise également les offres propriétaires par rapport aux logiciels libres, ce qui pourrait enfreindre la loi de 2016 sur la République numérique d'Axelle Lemaire, car quand on utilise un logiciel libre, la qualification SecNumCloud impose de procéder à de nombreuses vérifications. On peut même, sur la base de la dernière mise à jour de la circulaire SecNumCloud qui exige d'utiliser des équipements immunisés contre un accès à distance par un État tiers, considérer que la quasi-totalité des offres ne sont pas conformes car elles utilisent le plus souvent des processeurs Intel ou AMD, contenant un dispositif d'accès à distance contrôlable par les États-Unis. Tout ceci illustre, selon la majorité de nos membres, l'aspect absurde de cette signalétique qui défavorise l'industrie européenne.

M. Thibault de Tersant. - Très franchement, nous avons besoin d'une norme exigeante pour garantir la sécurité des données et le contrôle de leur souveraineté. C'est le rôle de SecNumCloud et il y a aujourd'hui beaucoup de pression pour minorer le niveau d'exigence de cette norme.

Mme Catherine Morin-Desailly, présidente. - Qui exerce ces pressions ? Pouvez-vous citer des noms ?

M. Thibault de Tersant. - Un certain nombre de joint ventures créées ou en voie de création avec des hyperscalers américains, comme par exemple Bleu auquel participe Microsoft et Cap Gemini, sont assez intéressés par un abaissement de la norme SecNumCloud. Notre entreprise a obtenu cette norme à juste titre extrêmement exigeante, de façon à garantir la sécurité des données et j'ajoute que les délais de vérification requis sont en train d'être réduits.

Par ailleurs, j'estime qu'on peut encadrer la durée des crédits cloud mais leur fixer un montant maximum nuira à notre capacité de migrer vers des environnements français des grands clients qui travaillent actuellement avec des fournisseurs américains ou chinois. Il en va de notre capacité à livrer bataille aux grands opérateurs.

Le dernier point que je souhaite signaler porte sur l'insécurité contractuelle : je signale qu'une disposition du Data Act prévoit que tout client peut interrompre son contrat cloud avec un délai de préavis de 60 jours, ce qui, en apparence apparaît comme un gage de liberté. J'estime cependant qu'il serait inopportun d'introduire une disposition similaire dans le projet de loi en discussion car si on veut développer le cloud en France et obtenir des grands comptes, cela nécessite un engagement pluriannuel. Une sécurité contractuelle d'une durée approximative de trois ans est en effet le seul moyen de financer des investissements très importants. L'engagement pluriannuel d'un client s'accompagne d'ailleurs souvent d'un rabais important. Au final, cette disposition du Data Act est très pernicieuse et favorise en réalité nos grands concurrents américains.

M. Jean-Paul Smets. - J'ajoute qu'un certain nombre de projets de textes européens vont dans une direction similaire. Par exemple, le Cyber Resilience Act (CRA) fait planer un risque d'amende de 15 millions d'euros sur les créateurs de logiciel libre en cas d'erreurs commises par un utilisateur de ces logiciels qui ne leur a rien payé pour l'utiliser : cela donne envie d'arrêter de faire des logiciels libres. On trouve le même genre de disposition dans la directive Product Liability qui institue une responsabilité supplémentaire à la charge des développeurs de logiciels libres, notamment pour le cloud, et qui le partagent. Pour sa part, la directive sur l'intelligence artificielle impose de s'inscrire dans une base de données pour vérifier qu'ils respectent la démocratie et qu'ils ont mis en place un système de traçabilité de leur code dont la conformité à toutes les lois européennes doit être vérifiée ligne par ligne avant tout partage avec les autres développeurs de logiciels libres.

On constate donc une accumulation de textes qui renforcent la charge mise sur les personnes qui développent les technologies open source. Cela va encore plus loin puisque, dans le système des noms de domaine, en cas de plainte, le défendeur devra acquitter les frais de procédure même s'il est mis hors de cause, ce qui est dérogatoire du cours normal de la Justice. Ce genre de texte donne aux producteurs de technologie une envie furieuse d'aller s'établir ailleurs.

Mme Solange Viegas Dos Reis. - En ce qui concerne SecNumCloud, OVHcloud a obtenu cette certification et je tiens à préciser qu'il s'agit effectivement d'un long processus mais que le Gouvernement a mis en place un accompagnement adapté. À son tour, OVHcloud s'est engagée auprès des éditeurs de logiciels sur cet accompagnement pour les aider à comprendre l'écosystème de la certification. Au final, SecNumCloud procure un avantage concurrentiel aujourd'hui déterminant et incorpore des critères d'immunité aux lois extraterritoriales pour prévenir un certain nombre de risques. Quoi que fassent les hyperscalers américains, les acteurs européens dotés d'une certification de ce niveau auront un avantage concurrentiel qu'il est important de préserver.

Mme Catherine Morin-Desailly, présidente. - Vous êtes plusieurs à participer au projet de plateforme de données de santé qui pourrait être une alternative à Microsoft, d'après ce que nous aurions pu comprendre. Pourriez-vous nous en dire plus à ce sujet ?

Nous ne connaissons pas l'état d'avancement du projet d'offre alternative à Bleu et sommes très préoccupés à ce sujet sur lequel nous avons interpellé à plusieurs reprises les différents ministres en charge de la Santé et du Numérique, ainsi que la Première ministre. Celle-ci nous a promis qu'un appel d'offres serait lancé, ce qui n'avait pas été le cas en 2020. Par la suite, Bernard Charlès, président de Dassault Systèmes, a interpellé le Président de la République en indiquant que sa société n'avait pu candidater à un appel d'offres en bonne et due forme. Où en est ce projet ? Vous paraît-il stratégiquement pertinent et suffisamment accompagné par les administrations compétentes ?

M. Jean-Paul Smets. - Pedro Lucas, qui dirige une des grandes entités françaises de l'hébergement de santé et une de mes entreprises, et moi-même avons, il y a un ou deux ans, fait une offre au Health Data Hub portant sur un système complet hébergé avec toute la conformité HDS (Hébergeur de Données de Santé). Le Health Data Hub a donc, depuis le début, connaissance d'offres conformes et européennes et Achille Lerpinière, qui y travaillait, connaît depuis le premier jour les produits européens disponibles pour construire un système 100 % européen.

Toutefois, la récente circulaire de la Première ministre sur le cloud de confiance indique qu'une dérogation peut être accordée sans qu'elle ne puisse aller au-delà de douze mois après la date à laquelle une offre de cloud acceptable sera disponible en France. Ce terme d'« acceptable », particulièrement vague, permet en fait de continuer d'avoir le Health Data Hub chez Microsoft ad vitam aeternam malgré l'existence d'une pléthore d'offres 100 % européennes.

Mme Catherine Morin-Desailly, présidente. - Vous contredisez l'idée selon laquelle nous n'aurions pas de solutions alternatives : elle avait été émise par la secrétaire d'État en charge du numérique, et on constate une forme d'autodénigrement permanent à l'égard de nos propres compétences numériques dans les sphères académique, politique et administrative. En tant que représentants de ce secteur, pouvez-vous au contraire affirmer qu'on peut progressivement récupérer une forme d'autonomie stratégique et de souveraineté en établissant des choix préférentiels, à commencer par nos données de santé. Peut-on construire progressivement cet écosystème ?

M. Thibault de Tersant. - Nous en sommes convaincus et c'est la raison pour laquelle nous avons réalisé le projet Numspot, qui a vocation à traiter les données de santé des Français : nous avons bien l'intention de faire valoir nos arguments dont je confirme la pertinence.

M. Alain Issarni. - Je confirme ces propos : Numspot a l'ambition de bâtir un cloud souverain et de confiance, avec des services évolués qui nous rapprochent de ce qui se pratique par ailleurs. Nous serons donc ravis de pouvoir participer à une compétition sur un appel d'offres pour le Health Data Hub.

Mme Catherine Morin-Desailly, présidente. - Nous sommes preneurs des propositions que vous n'auriez pas pu nous faire oralement compte tenu de nos contraintes de temps. C'est important, parce qu'au-delà du cadre juridique, nous restons attentifs à la stratégie industrielle qui va accompagner très concrètement et financièrement ces projets de cloud souverain.

Table ronde des opérateurs du numérique

Jeudi 15 juin 2023

Mme Catherine Morin-Desailly, présidente. - Sans plus attendre j'ouvre cette table ronde qui s'inscrit dans le cadre des travaux de notre commission spéciale, une commission transversale au Sénat qui rassemble l'ensemble de nos commissions. Elle a été mise en place afin d'étudier le projet de loi « Sécuriser et réguler l'espace numérique ». Le texte a déjà fait l'objet de travaux au sein de la commission des affaires européennes dans la mesure où il s'agit d'un texte d'application de règlements européens, dont le règlement sur les marchés numériques (RMN), le règlement sur les services numériques (RSN), le règlement sur la gouvernance des données (DGA) et le règlement sur les données (DA). Ce dernier, encore en cours de discussion, est pourtant quelque peu anticipé dans le projet de loi.

Je souhaite accueillir Arnaud David, directeur des affaires publiques européennes d'Amazon Web Services, Yohann Bénard, directeur des affaires publiques d'Amazon, Benoît Tabaka, secrétaire général de Google France, Frédéric Géraud, directeur des affaires publiques de Google Cloud France, Anton'Maria Battesti, directeur des affaires publiques de Meta France, et Béatrice Oeuvrard, responsable des affaires publiques de Meta France.

Les entreprises que vous représentez sont très importantes. Qualifiées le plus souvent de big tech, elles reposent sur le modèle économique de « capitalisme de surveillance » tel que défini par Shoshana Zuboff, une professeure de Harvard. Ce modèle n'est pas sans poser problème aux Européens. D'un régime de non-redevabilité et de non-responsabilité établi par la directive sur le commerce électronique (LCEN), nous allons passer à un autre type de régime qui vise à réguler les grandes plateformes, tant sur le volet des marchés numériques, qui concerne l'ensemble des acteurs économiques, que sur celui des services numériques, qui concerne plutôt les usagers.

La question des données est au centre de la problématique qui nous réunit et les textes apportent des solutions pour mieux protéger la vie privée, également au vu des intérêts stratégiques que cela représente pour l'Europe. Mais les textes visent aussi à rééquilibrer un système qui est très fortement anti-concurrentiel et verrouillé d'un point de vue juridique, financier et technique, et ce à votre bénéfice. Les textes, et notamment le RSN, sont également conçus pour répondre aux effets toxiques et finalement pervers du modèle économique des plateformes. Des faiblesses permettent des mésusages tels que la désinformation, la manipulation de l'information, la surexposition des contenus pédopornographiques, et les phénomènes de harcèlement et de haine en ligne. Sans régulation, tout cela est devenu une jungle. Il faut pouvoir travailler à retrouver de la confiance et de meilleurs usages dans le cadre d'un modèle qui est redoutablement addictif et, il faut aussi l'admettre, efficace.

Ce sont des constats que vous connaissez. Le Sénat est très attaché à ces questions et nos nombreux travaux l'ont montré. Nous souhaitons comprendre comment et dans quels délais vous appliquerez le RSN et le RMN, et dans quelle mesure vous pouvez, à travers les propositions qui sont faites, contribuer à une meilleure régulation de l'espace numérique.

Mme Béatrice Oeuvrard, responsable des affaires publiques de Meta France. - Je précise que, Meta n'étant pas un service cloud, nous nous cantonnerons à la discussion sur les plateformes.

En premier lieu, nous nous interrogeons sur la pré-transposition en droit français de certains éléments qui sont encore en cours de discussion au niveau européen. Certains articles n'ont pas été notifiés à la Commission, notamment l'article 16 relatif au Pôle d'expertise de la régulation du numérique (PEReN), alors qu'il fait référence aux articles 34 et 40 du RSN.

Nous souhaitons également réagir sur la partie relative au cyberharcèlement. Nous développons depuis de nombreuses années des outils pour diminuer les effets du harcèlement qui peut exister sur les plateformes. Pour les personnes condamnées, le projet de loi prévoit la possibilité pour le juge de prononcer la suspension pour six mois (et douze mois en cas de récidive) du compte d'accès au service en ligne, ce qui nous paraît intéressant. Le fournisseur de service est également tenu de mettre en oeuvre des mesures permettant de procéder au blocage des autres comptes d'accès à son service éventuellement détenus par la personne condamnée et d'empêcher la création de nouveaux comptes. Or, comment identifier ces comptes ? Nous seront-ils notifiés et si oui, sous quelle forme ? Il s'agit de données sensibles dans la mesure où il y a inscription sur le casier judiciaire. Nous suggérons d'utiliser la Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos) et ses agents assermentés pour mettre en place un système intermédiaire de contraventions. Plus de 25 000 réquisitions sont émises tous les ans. Ce système intermédiaire permettrait d'éviter que tout passe par la voie judiciaire, où les délais de traitement sont plus longs, et ainsi de répondre aux attentes des utilisateurs.

M. Anton'Maria Battesti, directeur des affaires publiques de Meta France. - Je souhaite d'abord pointer un risque de fractionnement de la législation. Dans le projet de loi, les questions d'âge sont traitées dans la partie sur l'accès aux sites pornographiques. Or, en parallèle une proposition de loi portée par le député Laurent Marcangeli concernant la majorité numérique a été déposée. Il serait peut-être utile d'essayer de réconcilier ces questions par le projet de loi. Au niveau européen, les questions d'âge sont traitées dans le DSA, mais la commission s'est également saisie de ces sujets via son code de conduite Child Safety.

La France pourrait être moteur sur ces sujets, mais l'adoption d'une loi nationale sans solution technique évidente interroge aujourd'hui les parties prenantes. Il conviendrait de se mettre tous autour de la table : opérateurs de télécom, fournisseurs de services d'exploitation, magasins d'applications, mais aussi bien sûr les plateformes, pour essayer de traiter ces points. Il me semble que le gouvernement y travaille et qu'il y a eu des propositions. Nous espérons que ce sujet très important pourra avancer dans le cadre de ce projet de loi.

M. Benoît Tabaka, secrétaire général de Google France. - Le projet de loi et l'adoption des deux textes européens viennent parachever le travail de refonte engagé depuis 20 ans et l'ordonnancement juridique en sera modifié. Nous avons suivi l'adoption des textes sur la lutte contre la désinformation et la lutte contre la haine. Pour la première fois, nous avions avec l'Arcom un interlocuteur et un régulateur avec qui échanger, ce qui nous a paru intéressant. Nous espérons que ce travail avec l'Arcom pourra se poursuivre après l'entrée en vigueur du RSN.

Sur le projet de loi en tant que tel et l'application du RSN et du RMN, notre analyse est toujours en cours. Le seul élément identifié à ce jour concerne les dates d'entrée en vigueur. Le nouveau cadre juridique français entrerait en vigueur après le nouveau cadre européen. Pour les grandes plateformes, il y aurait un moment où les deux cadres juridiques européens et français se superposeraient.

Sur le volet cloud, je laisse Frédéric Géraud vous apporter des éléments.

Comme évoqué lors des deux dernières auditions, nous travaillons spécifiquement sur la question de la lutte contre les arnaques et cherchons à encore améliorer ce dispositif qui nous semble intéressant. Le texte comporte de nombreuses briques : filtre anti-arnaques, protection de l'enfance. Les premiers dispositifs concernant la vérification d'âge et le contrôle par l'Arcom pourraient sans doute être améliorés en termes d'efficacité.

Concernant le filtre anti-arnaques, il serait utile de créer un canal de communication unique plutôt que d'avoir de multiples autorités qui viennent signaler tel ou tel site comme étant potentiellement une arnaque. Le système de sanctions pourrait être aligné sur le système de sanctions du RSN, avec la reprise du concept de « défaillance systémique ». Aujourd'hui les opérateurs ne participent pas à la mise en oeuvre du filtre anti-arnaques, alors qu'il s'agit du premier canal de survenance de l'arnaque. Les opérateurs pourraient eux aussi, avec les systèmes d'affichage de page, participer au blocage et a minima à l'information préalable du consommateur.

Sur la lutte contre le cyberharcèlement, plusieurs dispositifs existent aujourd'hui et le dispositif prévu par la loi va dans le bon sens. Cinquante-quatre personnes sont condamnées chaque année en France, souvent plusieurs années après les faits. Les mesures de blocage de compte interviennent donc plusieurs années après l'infraction, et la personne condamnée peut continuer ses agissements pendant cette période. Nous suggérons de prendre exemple sur le système d'amendes mis en place pour lutter contre le harcèlement de rue. Aujourd'hui, il est possible de mettre une amende pour harcèlement de rue dans les heures qui suivent les faits, mais nous n'en sommes pas capables en cas de cyberharcèlement.

Mme Catherine Morin-Desailly, présidente. - Je précise que certaines entreprises représentées ce jour comptent parmi leurs activités, l'informatique en nuage, soit le stockage et le traitement de la donnée. Vous n'êtes pas que des réseaux sociaux.

M. Frédéric Géraud, directeur des affaires publiques de Google Cloud France. - Je pense utile et important de préciser que Google Cloud est l'un des derniers entrants sur le marché de l'informatique en nuage. Google Cloud est souvent cité dans la presse comme cinquième acteur du marché de l'informatique en nuage en France, avec moins de 10 % de parts de marché, loin derrière Amazon et Microsoft et moins loin d'OVHcloud et d'Orange. Compte tenu de cette position de challenger, nous sommes favorables à toute action qui fluidifie un marché qui est toujours en expansion, notamment en France où l'adoption des technologies en nuage se fait plus lentement que dans le reste de l'Union européenne. Nous sommes donc toujours surpris d'être associés aux deux leaders du marché. Chez Google Cloud, nous croyons en un nuage qui tient sa promesse initiale. Ouverture et sécurité, élasticité et simplicité et surtout une grande liberté de choix pour le client, notamment pour tester de nouvelles fonctionnalités et des innovations.

Google cloud souhaite se différencier des autres acteurs, notamment grâce à ses services basés sur des technologies open source. Ces technologies sont la pierre angulaire de l'interopérabilité, de la portabilité, d'une meilleure utilisation des ressources énergétiques et de l'indépendance de ses fournisseurs. Google cloud est d'ailleurs l'un des premiers fournisseurs à s'être mis volontairement en conformité avec le code européen Switching cloud Providers and Porting Data (SWIPO) pour promouvoir la portabilité et la liberté de changer de fournisseur, ce qui n'est pas le cas de tous les acteurs du marché. Google Cloud est reconnu comme un acteur majeur du monde de l'open source. Nous remettons régulièrement des technologies à fort impact entre les mains de la communauté open source mondiale, notamment des logiciels comme Kubernetes ou TensorFlow qui sont aujourd'hui utilisés par d'autres, y compris nos concurrents directs. Chez Google Cloud, nous avons toujours eu comme mantra que nous ne sommes ni les meilleurs ni les plus parfaits, mais que nous sommes sérieux, fiables, pragmatiques et surtout que nous avons toujours quelque chose à apprendre de nos partenaires et interlocuteurs, notamment ici aujourd'hui. Comme nous apprenons tous les jours de notre principal partenaire en France, le groupe Thalès, avec qui nous travaillons une offre portée par S3NS, la filiale cloud de Thalès et qui a pour vocation de décrocher la qualification SecNumCloud.

Notre vision d'un cloud de confiance passe donc par des technologies open source, garantes de sécurité, de maintenance à long terme et donc d'une plus grande robustesse pour les utilisateurs finaux. Ce propos introductif portera donc sur le titre 3 du projet de loi et notamment ses deux premiers chapitres consacrés à l'informatique en nuage. Quel ne fut pas notre plaisir de lire dans le titre de ce chapitre 1er « Pratiques commerciales déloyales entre entreprises sur le marché de l'informatique en nuage ». Car de notre point de vue, et nous l'avons exprimé déjà auprès de l'Autorité de la concurrence française, il existe des pratiques commerciales que nous souhaitons voir qualifiées de déloyales. Google Cloud souhaite souligner ici la grande qualité des travaux portés par le Cigref en France et par le Cloud Infrastructure Services Providers in Europe (CISPE) au niveau européen et leurs dix principes pour l'octroi de licences logicielles équitables pour les clients utilisant l'informatique en nuage. Je précise que Google n'est membre d'aucune de ces deux organisations. Nous attendons aussi le travail de l'Autorité de la concurrence qui devrait utilement nourrir ce débat. Quelle ne fut donc pas notre surprise de ne pas trouver dans ce chapitre 1er le résultat des travaux du Cigref et du CISPE, mais d'y trouver le sujet des avoirs ou crédits cloud alors même que nombre d'autorités de la concurrence, notamment française, britannique, néerlandaise ou japonaise, les voient comme un véhicule de fluidification et d'ouverture du marché et que l'ensemble des acteurs, petits, moyens et gros, les propose.

Il est à noter que le règlement européen sur les données dit Data Act n'aborde pas ce sujet. En revanche, le Data Act aborde bien le sujet des coûts de transfert. Sur ce sujet, nous souhaitons souligner, comme nombre d'autorités et d'acteurs du marché l'ont déjà fait, que l'anticipation de ce texte européen est dommageable car, en fonction du résultat des travaux du législateur français, cela créera peut-être de la confusion et des différences notables au sein même du marché unique européen. Notre lecture du texte français est d'ailleurs assez orthogonale avec celle des travaux européens toujours en cours sur ces questions de coûts de sortie comparativement aux coûts de transfert. Nous appelons donc de nos voeux le législateur à clarifier avec pragmatisme et avec beaucoup de précision ce sujet et surtout à ne pas être distant des travaux européens en cours. Il y a aussi la définition,
ô combien cruciale !, de l'équivalence fonctionnelle qui nous paraît aujourd'hui différente des travaux européens, un sujet fort complexe qui nécessite à nos yeux beaucoup de pragmatisme. Concernant les nouveaux pouvoirs confiés à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) en matière d'interopérabilité, nous sommes reconnus dans ce domaine et serons ravis de travailler avec l'autorité. Nous croyons dans le pragmatisme de l'autorité et sommes plutôt dubitatifs sur l'opportunité de créer une norme française en la matière. En effet, les normes internationales ont fait leur preuve sur le marché des télécommunications et de l'Internet depuis quelques années déjà. En conclusion, nous souhaitons apporter avec joie notre contribution à vos travaux, notamment, vous l'aurez compris, sur les licences logicielles équitables et un marché de l'informatique en nuage toujours plus ouvert.

M. Yohann Bénard, directeur des affaires publiques d'Amazon. - Je souhaite profiter de l'occasion qui m'est donnée pour inscrire le texte que vous allez examiner dans un contexte plus large, qui est celui de l'ambition auquel il répond. Cette ambition, inscrite dans la stratégie numérique européenne en 2015, consiste à construire le marché unique du numérique afin de garantir aux consommateurs et aux entreprises un meilleur accès aux biens et aux services en ligne, d'une part, et d'autre part, de créer un environnement favorable à la croissance des réseaux et des services numériques, pour faire du numérique un moteur de croissance en Europe. Amazon est pleinement en phase avec cette ambition que nous faisons nôtre.

Mme Catherine Morin-Desailly, présidente. - Il s'agissait d'une ambition exclusivement au service du consommateur et pas forcément en faveur d'une industrie européenne. Certains événements sont survenus depuis et l'Europe a pris conscience de la nécessité d'une politique industrielle et de souveraineté. Nous ne sommes plus dans la même configuration qu'en 2015 avec la Boussole numérique pour 2030.

M. Yohann Bénard. - Amazon a une obsession qui est celle des consommateurs et je souhaite rappeler l'importance de ces textes et du marché unique européen pour les consommateurs, qu'il s'agisse de particuliers ou d'entreprises. Nous contribuons depuis près d'un quart de siècle à la construction de ce marché unique et de sa composante numérique, puisque lorsque nous nous sommes installés en France en 2000, le marché unique venait alors d'être proclamé. Ses quatre libertés constitutives avaient été énoncées, mais leur mise en oeuvre était encore limitée : la libre circulation des biens notamment, avec des réseaux logistiques qui n'étaient pas adaptés à l'échelle de l'Union européenne ; la libre prestation de services, avec peu de services en ligne fiables, sûrs et faciles d'accès pour tous les Européens. Les consommateurs et les entreprises européens avaient donc un accès au marché unique en droit, mais pas dans les faits. Aujourd'hui, ces libertés sont devenues des réalités.

Lorsque les consommateurs se rendent sur Amazon.fr ou sur des sites équivalents dans d'autres pays européens, ils ont accès à des millions de produits disponibles au sein de l'Union européenne et aux offres de 225 000 entreprises européennes, pour la plupart des TPE et des PME, dont 13 000 françaises qui utilisent Amazon pour accéder à la clientèle européenne et qui recourent à notre réseau logistique pour livrer leurs produits à des consommateurs parfois localisés dans un autre pays et ne parlant pas la même langue. Cette réalité est le fruit du marché unique et de sa composante numérique.

La construction du marché unique s'est exprimée dans d'autres domaines comme les services d'informatique en nuage, qui permettent à des entreprises européennes de stocker et de traiter leurs données de manière efficace et sécurisée. Amazon est également présent dans les industries créatives avec le financement depuis deux ans de 130 créations européennes originales, dont Salade grecque de Cédric Klapisch. Cette suite de L'Auberge espagnole est diffusée partout en Europe et aide à la constitution d'un espace culturel commun.

Amazon a ainsi investi 142 milliards d'euros en Europe depuis 2010, dont 16 milliards en France. Amazon est l'entreprise en France qui a créé le plus d'emplois depuis 2010 avec près de 100 000 emplois directs et indirects tous secteurs confondus. Les PME et les TPE françaises qui utilisent Amazon pour accéder à leurs clients ont exporté pour 600 millions d'euros via Amazon en 2021.

Le marché unique et sa composante numérique sont aujourd'hui devenus des réalités, au bénéfice des consommateurs, mais aussi des salariés et des entreprises européennes. Nous en sommes très fiers.

Amazon adhère pleinement à l'idée que ce marché doit être régulé et que les règles qui s'appliquent dans le monde physique doivent également s'appliquer en ligne.

C'est déjà le cas en droit, même si des difficultés demeurent en pratique. Amazon fait plus qu'adhérer à l'idée et se mobilise en offrant à ses clients européens des services sûrs et en les préservant des fraudes en ligne, de la contrefaçon, de la cybercriminalité et de contenus et comportements illégaux. Plus de 800 000 tentatives de création de comptes frauduleux ont été bloquées en 2022. En coopération avec les marques et les autorités, plus de 1 300 contrefacteurs ont été signalés ou poursuivis et six millions de produits contrefaits ont été repérés et saisis, empêchant toute revente. Amazon a la confiance des Français, comme le confirment les enquêtes année après année. Durement acquise, cette confiance nous engage à poursuivre dans cette voie. En 2022, plus d'un milliard d'euros a été investi dans l'ensemble des actions citées.

En réponse à la question posée en introduction, Amazon se conformera aux règlements européens en cours d'adaptation en droit français, même si certaines dispositions ne semblent pas de nature à renforcer la protection des Européens dans le monde numérique.

En conclusion, je souhaite attirer votre attention sur un premier risque associé à l'examen du texte, celui de la fragmentation géographique. Le marché numérique européen n'est unique que parce que les mêmes règles s'appliquent d'un bout à l'autre de l'Europe. Les effets positifs en termes d'innovation, d'investissement, de création d'emplois ou de protection des citoyens et des consommateurs disparaîtraient si la transposition des textes ou leur application aboutissait à désolidariser la France de ses voisins européens. Les consommateurs français seraient alors soumis à des règles et à des niveaux de protection différents selon qu'ils choisissent d'acheter en ligne sur un site, par exemple, français ou belge, ce qui n'est évidemment pas souhaitable. La création d'un espace numérique à deux vitesses dans lequel certaines règles ne s'appliqueraient qu'aux acteurs les plus importants serait problématique. Dans le monde physique, la loi protège de la même façon tous les consommateurs qu'ils se rendent dans un hypermarché ou dans un petit commerce de centre-ville. À notre sens, ils devraient en être de même dans le monde numérique. 

Nous espérons que vos débats permettront, si ce n'est d'éviter, au moins d'aplanir ces deux écueils et contribueront à donner les mêmes droits et les mêmes protections dans le monde numérique et à garantir un environnement numérique à la fois sûr et propice à l'innovation, au bénéfice des citoyens et des acteurs économiques européens.

Mme Catherine Morin-Desailly, présidente. - Nous avons conscience du risque de fragmentation de la législation, mais je rappelle que le RSN et le RMN sont des règlements et non des directives. Il y a une harmonisation par le haut qui s'impose.

M. Arnaud David, directeur des affaires publiques européennes d'Amazon Web Services (AWS). - AWS est une entreprise d'informatique en nuage. Les premiers centres de données en France ont été ouverts en 2017, dans le cadre d'un plan d'investissement sur 15 ans d'un montant de six milliards d'euros. Aujourd'hui, AWS compte 1 000 salariés en France et génère, d'après l'institut Public First, 1,6 milliard d'euros de valeur économique qui soutient 130 000 entreprises et 22 000 emplois. AWS investit également dans la formation pour aider les citoyens français à acquérir des compétences numériques dans la sécurité ou dans l'intelligence artificielle. Il est prévu de former 29 000 personnes d'ici 2025. Notre métier est de fournir des ressources informatiques à la demande avec une tarification à l'usage. AWS fournit aujourd'hui aux clients français plus de 200 services en lien avec le stockage et la gestion de bases de données, la sécurité ou encore l'intelligence artificielle.

Le modèle d'affaires repose sur la confiance de nos clients et AWS investit continuellement pour permettre à ses clients de décider où ils stockent leurs données, comment elles sont utilisées, qui y a accès et comment elles sont sécurisées. AWS soutient le développement d'un écosystème numérique ouvert et compétitif pour les industries, les gouvernements et les citoyens européens. En France en particulier, AWS soutient les initiatives qui consistent à accélérer la transition numérique des organisations publiques et privées, tout en garantissant que les utilisateurs disposent d'une entière liberté dans le choix de la technologie qui corresponde le mieux à leurs besoins. Cette liberté de choix est fondamentale.

Selon une étude du cabinet IDC, le nombre de fournisseurs d'informatique en nuage a considérablement augmenté entre 2017 et 2021 : de 17 à 40 pour les fournisseurs de taille moyenne dont le chiffre d'affaires excède les 20 millions d'euros ; de 47 à 132 pour les fournisseurs qui font moins de 5 millions d'euros de chiffre d'affaires.

Ce projet de loi nécessite la main attentive du législateur sur trois points en particulier.

L'encadrement des avoirs en premier lieu, proposé à l'article 7, est une pratique courante dans de nombreux secteurs. L'octroi d'avoirs aux clients d'AWS a un objectif double : d'une part permettre d'accélérer la transition numérique des entreprises en les encourageant à utiliser ces nouveaux services, et d'autre part donner notamment aux PME et aux jeunes pousses l'occasion de tester ces nouvelles technologies. Comme souligné par l'Autorité de la concurrence dans son avis, l'avoir n'est pas une pratique anti-concurrentielle et le supprimer ou en réduire la portée pourrait entraver la French Tech en la privant de crédits alors que ses avoirs seraient disponibles dans d'autres pays européens. Il convient de se demander si une lex specialis est nécessaire en la matière, là où des sanctions en cas de pratique anti-concurrentielle existent, que ce soit au titre du déséquilibre significatif ou de l'avantage sans contrepartie.

Concernant en second lieu les frais au titre des transferts de données vers un nouveau fournisseur, il est à noter que la grande majorité des prestataires de services informatiques ne facturent pas de frais supplémentaires ni de pénalités lorsqu'un client passe d'un fournisseur à un autre. AWS ne facture pas de frais supplémentaires lorsqu'un client change d'environnement numérique. Par contre AWS facture l'utilisation du réseau, quel que soit le motif défini par l'entreprise utilisatrice. Lorsqu'une entreprise de services de radiodiffusion ou de vidéos à la demande diffuse du contenu à ses consommateurs finaux, son utilisation du réseau lui sera facturée en fonction de la quantité de données transférées et de la distance que cette donnée doit parcourir. Chez AWS, ces frais d'utilisation ont diminué de 50 % entre 2018 et 2022. La mesure d'encadrement des frais aux titres de transfert doit être mise en cohérence avec l'article 25 du règlement sur les données actuellement en discussion à Bruxelles. En effet, le règlement sur les données prévoit à ce jour une suppression progressive des frais de transfert sur trois ans, alors que la mesure inscrite au projet de loi pourrait s'appliquer dans quelques mois. À défaut et comme souligné par l'Autorité de la concurrence, cela pourrait entraîner un problème d'attractivité pour les fournisseurs.

En dernier lieu, l'approche proposée aux articles 8 et 9 sur la portabilité des actifs numériques ne reflète pas la variété et la complexité des services d'informatique en nuage et l'utilisation qu'en font nos clients. Ces services ne peuvent être comparés à des services téléphoniques, et regroupent des services aussi variés que la gestion d'une messagerie électronique comme laposte.net, des outils de traitement de photos, une base de données de gestion de contrats commerciaux ou les services proposés par la société française Hugging Face en matière d'intelligence artificielle. Les clients d'AWS utilisent des briques technologiques, des codes et des formats pour développer leurs propres applications et leurs propres services. Ils jouent un rôle actif en cas de transfert vers un nouveau fournisseur puisqu'ils ont défini l'architecture de leurs solutions. En pratique, ces clients vont consulter leurs équipes en interne, avoir recours à des prestataires externes et/ou s'appuyer sur les compétences du nouveau fournisseur pour mener à bien le transfert. La notion d'équivalence fonctionnelle est problématique dans la mesure où, comme souligné par l'autorité de la concurrence, elle pourrait étouffer l'innovation en standardisant les services vers le plus petit des dénominateurs communs.

Mme Catherine Morin-Desailly, présidente. - Le caractère stratégique et privé de nos données est au centre de notre préoccupation. En tant qu'entreprises extra-européennes américaines, vous êtes soumis aux lois extraterritoriales. Avec la loi Foreign Intelligence Surveillance Act (FISA), vous êtes tenus de transmettre les données des Européens sur requête de la NSA, oui ou non ?

M. Arnaud David. - À mon sens, non. Le régime s'applique, mais nous avons la possibilité de contester son application en justice. Toute entreprise opérant dans un pays hors Union européenne ou même hors de France est soumise à des réglementations différentes.

M. Frédéric Géraud. - Nous contestons un certain nombre de requêtes formulées par le gouvernement américain. Le nombre de requêtes par typologie de services est publié dans notre rapport de transparence. Cela étant, le juge peut nous contraindre à soumettre ces données ; en tant qu'acteur local, nous sommes contraints par la loi et nous respectons les législations locales partout où nous opérons.

Mme Catherine Morin-Desailly, présidente. - En l'absence d'accord de transfert des données entre les Européens et les États-Unis, il me semble que vous êtes contraints de soumettre les données.

M. Loïc Hervé, rapporteur. - Quel est l'état de vos relations avec les autorités administratives indépendantes dont la Cnil, l'Arcom, l'Arcep, le PEReN ? Quelles sont éventuellement les difficultés rencontrées ?

Pharos nous a indiqué travailler en partenariat avec les opérateurs, qui eux-mêmes traitent des signalements relatifs à des contenus illicites ou en assurent la détection. Quelles actions menez-vous de votre côté et comment communiquez-vous avec les autorités nationales, y compris les juridictions ?

Comment analysez-vous les nouvelles règles créées par le DSA, celles qui créent de nouveaux types d'injonctions comme celles qui instituent un exposé des motifs en cas de contenu illicite ou une notification de soupçon d'infraction pénale, ou encore celles qui renforcent vos obligations en matière de transparence, d'audit et d'évaluation des risques ?

Le DSA vous impose de mettre en place des mesures spécifiques pour protéger les mineurs. Qu'avez-vous prévu en la matière ?

Pensez-vous qu'il soit possible, voire opportun, de développer des dispositifs d'identité numérique allant au-delà du simple contrôle de la majorité lorsqu'il s'agit de contrôler l'accès aux sites pornographiques ?

Je souhaite également avoir votre position sur les articles 1er à 5.

Le référentiel de vérification de majorité mis en place à l'article 1er du projet de loi semble concerner uniquement les éditeurs de services permettant l'accès à un contenu pornographique. Ne serait-il pas également utile en dehors de ce secteur spécifique ? Comment vérifiez-vous aujourd'hui que vos utilisateurs sont majeurs et dans quels cas procédez-vous à ce type de contrôles ?

Les services que vous fournissez peuvent conduire au visionnage d'images pornographiques par des mineurs. Que mettez-vous en place pour l'éviter ou le limiter, notamment dans le contrôle de vos publicités ?

Concernant l'article 3, que pensez-vous du cadre français de lutte contre les contenus terroristes et pédocriminels ? Quelle est votre analyse sur la nouvelle sanction pénale créée par l'article 3 en cas de défaut du retrait par un hébergeur d'un contenu pédopornographique dans un délai de vingt-quatre heures ?

Comment analysez-vous l'extension des pouvoirs de l'Arcom dans la lutte contre la diffusion des contenus produits par les médias visés par les sanctions européennes ? Quelles mesures avez-vous mises en place depuis 2022 pour éviter la diffusion des programmes produits par Russia Today et par Sputnik.

L'article 5 crée une peine supplémentaire dite de bannissement et fixe deux obligations pour les plateformes : obligation de blocage du compte qui a servi à commettre l'infraction avec sanction associée et obligation de moyens sans sanction associée pour le blocage des autres comptes de la personne condamnée. Avez-vous les moyens techniques de faire respecter une telle obligation ? Comment procédez-vous lorsqu'une personne est bannie de votre service pour ne pas avoir respecté les conditions générales d'utilisation pour éviter qu'elle n'y revienne en dissimulant son identité ?

Mme Béatrice Oeuvrard. - Concernant les relations avec les autorités, nous n'avons pas attendu la loi contre la manipulation de l'information pour échanger avec l'Arcom notamment. Lancée il y a cinq ans, la mission dite « Facebook » visait à expliquer notre manière de travailler aux régulateurs et a abouti au rapport Loutrel, sur lequel s'est appuyé le RSN. Les échanges avec le régulateur sont très importants et utiles pour nous aider à prendre des décisions ou a minima échanger sur les décisions à prendre. Ces relations fonctionnent de manière satisfaisante depuis plusieurs années. Au sein de Meta France, une personne est dédiée à la relation avec l'OCLCTIC. Environ 25 000 réquisitions par an sont traitées avec un taux de conformité approchant 90 %, comme indiqué dans notre rapport de transparence. Cela étant, nous manquons de visibilité sur la part des réquisitions qui sont judiciarisées. C'est dans ce contexte que s'inscrit notre proposition d'avoir recours à des agents assermentés qui disposeraient d'un pouvoir efficace. Nous pouvons retirer des millions de contenus, il faut aussi que le pouvoir étatique joue son rôle. Le chiffre de 54 condamnations pour cyberharcèlement montre que la justice a des difficultés à suivre. Un système intermédiaire permettrait de désengorger les tribunaux et de répondre à cette attente des utilisateurs.

Nous sommes également en relation avec le PEReN. Selon notre compréhension, le PEReN doit être mandaté par un régulateur comme l'Arcep, la Cnil ou l'Arcom afin de pouvoir initier des études et capter des données, ce qui n'est pas en ligne avec l'article 16 du projet de loi. Ils sont assimilés non pas à une institution gouvernementale mais à des chercheurs, ce qui nous interroge. Nous nous questionnons sur la nature des données, les moyens mis en place et les raisons pour lesquelles ce dispositif n'a pas été notifié à la commission européenne, alors même qu'il touche aux articles 34 et 40 du RSN.

Concernant les types d'injonction inscrits à l'article 5, nous souscrivons aux dispositions de lutte contre le cyberharcèlement, mais comme indiqué nous nous interrogeons sur les modalités pratiques de blocage des comptes à venir de personnes condamnées. L'identification de ces personnes supposerait un échange de fichiers contenant des informations sensibles, ce qui devrait en premier lieu être discuté avec la Cnil. De plus, au regard de la LCEN et du RSN, le principe de spécialité implique la communication d'informations très spécifiques comme une URL. Agir uniquement sur la base d'un nom et d'un prénom poserait problème en cas d'homonymie. Les dispositions du projet de loi ne sont d'ailleurs pas alignées avec celles du RSN.

Dans les articles 1er et 2, il est tour à tour fait référence aux éditeurs et aux services de communication en ligne, ce qui peut porter à confusion. Selon nous, ces articles visent les éditeurs et non la partie hébergeur telle qu'on l'entend côté plateforme.

L'une des dispositions relatives aux contenus pédopornographiques nous oblige à notifier au potentiel pédocriminel les contenus qui ont été signalés, mettant potentiellement à risque les personnes ayant effectué le signalement.

Concernant Russia Today et Sputnik, nous avons répercuté les décisions telles qu'elles nous ont été notifiées au niveau européen et par l'Arcom. Ces mesures avaient déjà été identifiées, car il y avait des violations de contenu. Lors des discussions sur le RSN, nous avions indiqué que la labellisation et le sourcing de ce type de contenus posaient problème.

Aujourd'hui, la source du contenu apparaît sur Facebook et Instagram et les contenus d'un média étatique sont identifiés comme tels, lorsque nous disposons de l'information. Cette labellisation s'appuie sur l'article 215 du traité sur le fonctionnement de l'Union européenne, ce qui garantit un cadrage et une définition précise et donc une identification facilitée.

M. Anton'Maria Battesti. - La question des jeunes publics et de l'identité numérique est traitée de différentes manières.

Le contenu doit d'abord être adapté à ces personnes. Sur Instagram, par exemple, quand vous êtes un mineur, certaines fonctionnalités sont activées par défaut. La pornographie étant interdite sur ces plateformes, le point n'est pas traité ici.

Un partenariat a été mis en place avec la société Yoti qui a développé une solution de vérification de l'âge par analyse morphologique. Dans 95 % des cas, si le jeune veut mentir il ne passe pas le test de Yoti ; la barrière est donc assez efficace. Si nous progressons en matière de contrôle de la majorité, les difficultés demeurent pour les utilisateurs plus jeunes et notamment les 13-14 ans. Les jeunes utilisent les réseaux sociaux comme un système d'entraide et y exercent leurs droits fondamentaux comme la liberté d'association et la liberté d'expression. Il faut donc accepter l'idée que c'est compliqué de trouver le bon équilibre.

Le RSN prévoit la réalisation d'analyses d'impact spécifiques pour les jeunes et contient des dispositions en matière de publicité pour ces publics. Sur la question de l'âge, il est important de mettre tous les acteurs autour de la table et d'en parler de manière régulière.

Mme Béatrice Oeuvrard. - Le délai de vingt-quatre heures donné aux plateformes pour retirer les contenus pédopornographiques s'assimile au dispositif mis en place par le règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne (TCO). Cela suppose une coordination au niveau européen avec les autorités et avec les autres plateformes, pour éviter, grâce à l'apposition de tags, que ces contenus apparaissent sur d'autres plateformes. Une coordination au niveau mondial via NCMEC, avec qui toutes les plateformes travaillent, est aussi souhaitable pour garantir la rapidité et l'efficacité de l'action. Il paraît difficile de tenir le délai de vingt-quatre heures sans cette coordination. Or, on ne retrouve pas la coopération entre autorités dans le projet de loi.

M. Benoît Tabaka. - Le régulateur naturel d'Internet a longtemps été le juge et il y a eu longtemps une vraie difficulté à rentrer dans une logique de régulation, mais nous avons assisté au cours des dix dernières années à une montée en compétences des divers régulateurs, autorités administratives et administrations comme le PEReN.

De véritables canaux de communication sont en place et des discussions, y compris sur le plan technique, sont menées avec les différents régulateurs comme l'Arcep, la Cnil, l'Arcom ou le PEReN.

De nombreuses questions font aujourd'hui intervenir plusieurs régulateurs, pour couvrir les différents prismes : concurrence, protection des données, régulation des contenus ou encore la liberté d'expression. Comme piste d'amélioration il nous semble qu'il faudrait mieux structurer cet échange et permettre à une entreprise en prise avec une question complexe d'obtenir une réponse tenant compte de l'ensemble des équilibres à trouver entre les différents droits et libertés.

Nos équipes sont entièrement engagées dans la préparation de la mise en oeuvre du RSN, maintenant que les différentes grandes plateformes ont été désignées. Les services que nous avions identifiés comme entrant dans le périmètre du RSN ont sans surprise effectivement été désignés comme tels. Parmi les dispositifs mis en oeuvre pour cet été, dès qu'il y aura un retrait de contenu, la personne sera informée des raisons et disposera de capacités d'appel.

Concernant les articles 1er et 2 et la vérification de l'âge pour l'accès aux sites pornographiques, il conviendrait d'ajouter la possibilité de faire reposer ces dispositifs de vérification sur les opérateurs de télécommunication comme c'est le cas dans d'autres pays. Le contrôle de l'âge ne se ferait plus au niveau du service, mais au niveau de l'opérateur, par l'intermédiaire d'un code d'accès, l'opérateur disposant d'informations sur l'identité du détenteur de compte. Une réflexion est à mener, mais il faut peut-être l'anticiper dans le texte.

L'article 227-24 du code pénal, auquel fait référence l'article 2, ne se limite pas aux contenus pornographiques. Il porte entre autres sur les contenus qui mettent les mineurs en danger, comme les jeux dangereux. Ces contenus non pornographiques ne sont pas dans le périmètre de la loi et nous nous demandons comment ils seront traités en termes de blocage d'accès.

L'article 2 revoit la mécanique existante, qui était quasiment finalisée malgré tous les recours déposés par certains sites. Nous entrons sans doute dans une phase émaillée de débats judiciaires, de questions prioritaires de constitutionnalité et de recours au niveau européen. Le texte ne pourrait-il pas être stabilisé en s'inspirant de ce qui existe en matière de lutte contre le piratage ? Le juge donne une première orientation, et le régulateur s'appuie sur cette orientation pour être plus large en termes de mesures de blocage.

Concernant les contenus pédopornographiques, il s'agit là d'un vrai problème qui concerne notamment la France. Près de sept millions de contenus pédopornographiques sont retirés chaque trimestre et notifiés aux autorités américaines, qui ensuite informent les différents pays et pour la France, l'Office central pour la répression des violences aux personnes. Cela représente 1,1 million de personnes dans le monde, et la France est le deuxième ou le troisième pays hébergeur de ces contenus selon les années. Il faut donc que cette mesure soit mise en oeuvre. Pour être encore plus efficace, il faudrait prévoir un rapport de transparence indiquant où sont stockés les contenus dont les autorités ont demandé la suppression. Si on a un problème en France, il est important de le savoir.

Concernant l'article 4, nous avons bloqué 800 chaînes YouTube et plus de quatre millions de vidéos sur décision de la commission européenne. La volumétrie est importante et ne concerne pas uniquement Russia Today et Sputnik. Le ministre du numérique de l'époque nous avait notifiés lorsque Russia Today avait refait une apparition via la plateforme Odysee, et nous l'avions fait déréférencer par le moteur de recherche. Cela étant, nous sommes favorables à des pouvoirs accrus du régulateur en la matière.

La désinformation et les pratiques d'influence étrangère prennent de plus en plus l'apparence et la qualification juridique de média. Le choix de l'Arcom, le régulateur des médias, est donc pertinent.

Sur l'article 5, les 54 condamnations par an pour des faits de cyberharcèlement sont à rapprocher des 130 000 à 150 000 contenus YouTube qui sont supprimés tous les ans. Que peut-ont faire ? Il existe un mécanisme en France qui permet d'envoyer un message d'avertissement à une personne qui a téléchargé ou piraté un film. Et nous ne serions pas capables de faire de même lorsqu'une personne tient en ligne des propos antisémites ou autres propos haineux, ou lorsqu'elle s'adonne à du cyberharcèlement ? La mécanique et les outils juridiques existent pourtant et ce dispositif aurait un réel impact en termes d'efficacité.

Nous avons la possibilité de bloquer les comptes, même si c'est compliqué techniquement. Des informations beaucoup plus détaillées seront nécessaires si nous voulons aller au-delà de l'obligation de moyens et assurer un vrai blocage de nouveaux comptes, et cela soulèvera des questions en termes de protection des données. Il faudrait avoir un échange avec la Cnil pour déterminer où mettre les moyens et assurer la collecte des données et les interconnexions. Ce sera fait pour les 54 personnes condamnées chaque année, à condition encore que le juge, pour chacune d'entre elles, prononce la peine complémentaire d'interdiction de réseaux sociaux. Ce sera donc fait sans doute pour 25 personnes chaque année.

La mesure est utile, mais ne peut-on pas mettre en place d'autres mesures beaucoup plus efficaces ?

Concernant les dispositifs de protection de la jeunesse et de vérification d'âge, nos systèmes permettent d'identifier des incertitudes et/ou des incohérences qui déclencheront une vérification via la carte bancaire ou par la fourniture d'une pièce d'identité. Ce sera le cas, par exemple, pour une personne qui visionne beaucoup de contenus pour enfants sur YouTube, mais qui, dans nos systèmes, n'est pas présentée comme une personne mineure. En cas de doute, la personne sera poussée dans un univers jeunesse. Si le doute est levé, la personne pourra continuer à évoluer dans un univers tout public.

On peut se poser la question du blocage par l'Arcom de sites qui ne proposent pas la vérification d'âge, comme les sites pornographiques, et de l'extension du rôle de l'Arcom à tous les types de vérification d'âge.

Une même logique de régulation commence à émerger notamment en matière de contrôle des contenus sur Internet, avec la capacité pour une autorité administrative de retirer du contenu pour différentes raisons et derrière, une autorité référente. Notre recommandation serait de concentrer au sein d'une même autorité les personnalités qualifiées, qui ont une connaissance, une culture et des procédures. Pourquoi ne pas faire converger les moyens vers une autorité unique lorsqu'il s'agit de contenus sur Internet ?

M. Arnaud David. - La protection de l'enfant est un engagement très fort d'Amazon. Si les dispositifs de vérification d'âge devaient être étendus à d'autres domaines, l'Arcom et la Cnil auraient un rôle à jouer et il en résulterait une procédure intéressante, car procédant d'une consultation de standard technique et d'un référentiel technique.

Il nous semble essentiel de travailler avec les associations. Sur les questions de cyberharcèlement et de protection de l'enfance, nous nous appuyons sur l'expertise d'associations françaises (Respect Zone par exemple) et internationales.

Il est par ailleurs important d'initier une harmonisation des standards internationaux. La France a un rôle moteur à jouer, avec par exemple l'Appel de Christchurch lancé avec la Première ministre de Nouvelle-Zélande sur la question du terrorisme en ligne. Une initiative lancée au Forum de Paris sur la Paix a débouché récemment sur la création d'un laboratoire sur la protection de l'enfance en ligne piloté par Henri Verdier, l'Ambassadeur pour le numérique. Amazon est membre fondateur de ces deux initiatives et s'associe en tant qu'entreprise à ces projets particulièrement pertinents.

M. Patrick Chaize, rapporteur. - Comment vos entreprises vont-elles contribuer au déploiement du filtre anti-arnaques ? Pour les fournisseurs de navigateurs Internet, de quelle façon allez-vous répondre aux demandes des autorités administratives pour prendre les mesures qui sont prévues par le texte ?

Vos entreprises ont aujourd'hui un poids certain sur l'informatique en nuage et il semble tout de même y avoir une forme de verrouillage du marché au détriment des entreprises françaises. Je partage votre analyse sur l'utilité des crédits cloud pour les jeunes pousses, mais quel est votre avis sur les orientations prises et notamment sur le fait de limiter dans le temps ces crédits cloud ? Sur le sujet des frais de transfert, est-ce votre position commune d'affirmer que vous n'en facturez pas ? Auquel cas l'intégrer dans la loi n'aurait aucune conséquence et ne poserait de problème à personne.

Sur l'intermédiation de données, pouvez-vous donner des exemples concrets de données qui pourraient être partagées volontairement par des entreprises sur ces nouvelles plateformes numériques ?

Concernant les jeux numériques monétisables abordés à l'article 15, vos entreprises en développent ou en proposent-elles ? Un encadrement spécifique est-il nécessaire selon vous ?

Mme Béatrice Oeuvrard. - Meta France n'est pas concerné par ces mesures.

M. Benoît Tabaka. - Google n'est pas concerné par les jeux numériques monétisables.

Concernant le filtre anti-arnaques inscrit à l'article 6, notre solution mondiale Google Safe Browsing permet de détecter des suspicions de phishing, de téléchargements de logiciels malveillants et autres grâce à l'intelligence artificielle et sur la base d'analyses menées par nos équipes. Cette interface de programmation d'application (API) affiche les informations dans les navigateurs comme Safari, Firefox ou Google Chrome, mais aussi dans les navigateurs internes de certaines applications. Nos équipes travaillent aujourd'hui sur l'articulation entre l'outil et le nouveau cadre juridique français, en sachant qu'un blocage via Safe Browsing serait par nature mondial.

Il serait par ailleurs intéressant de mettre en place une sorte de guichet unique qui centralise l'ensemble de ces contenus. Il faudrait aussi définir une personnalité qualifiée pour recevoir ces signalements, et l'Arcom pourrait jouer ce rôle. La Cnil est à écarter selon nous, car elle ne peut être à la fois autorité notifiante et personnalité qualifiée. Il serait aussi utile d'instaurer un mécanisme de dialogue entre les opérateurs du numérique et les autorités, pour éviter ce qui s'est passé récemment avec le blocage de Telegram.

Sur le volet des sanctions, il est important d'aligner les dispositions du projet de loi avec la logique RSN. C'est la mauvaise volonté dans la mise en oeuvre de la loi qui devrait être sanctionnée, plutôt que d'appliquer une sanction dès le premier cas.

Il serait également intéressant que le gouvernement lance une opération de communication et publie un rapport annuel pour informer le public de ces nouvelles mesures.

Enfin, si l'obligation pèsera principalement sur les navigateurs, les faire participer est une piste à explorer au nom de l'efficacité.

M. Frédéric Géraud. - Concernant les crédits cloud, leur validité est limitée à deux ans et nous ne sommes pas favorables à une durée de vie plus courte. Sur l'année 2021 en France, Google Cloud a soutenu au travers de ces crédits 4 414 jeunes pousses, qui ont consommé en moyenne 1 300 euros de crédits. Il ne s'agit pas de dizaines ou de centaines de milliers d'euros, et un certain nombre d'acteurs du marché sont capables d'offrir le même type de conditions. Ces crédits aident les entreprises françaises à adopter des technologies numériques et d'informatique en nuage.

Sur la question des coûts de transfert, le texte nous semble prendre le contre-pied des discussions au niveau européen. Il y a d'une part les coûts de sortie lorsqu'un client met fin à sa relation contractuelle, et d'autre part les coûts de transfert quand les données sont envoyées chez un autre fournisseur, dans des cas de multi cloud notamment, pour ensuite revenir chez le fournisseur d'origine. Dans ce deuxième cas de figure, il y a des coûts de réseau et de transport qu'il faut bien répercuter au client final. Google Cloud n'applique pas de pénalités en cas de transfert et facture strictement le coût d'utilisation des réseaux lors du transport de ces données. Nous sommes cependant disponibles pour approfondir la discussion sur ces coûts de transfert.

Concernant l'intermédiation de données, Google Cloud est membre de Gaia-X, une initiative du secteur privé qui réunit des acteurs industriels par activité et non par branche. Le groupe de travail Gaia-X sur les services financiers, les banques et les assurances a ainsi beaucoup avancé sur la question du partage de données selon le niveau de sécurité, selon l'usage et selon le type de fournisseur (de rang 1, de rang 2 et de rang 3). Le groupe de travail sur l'automobile a lui aussi produit des travaux intéressants. Et on sait aussi que le groupe de travail qui suit les questions autour de l'automobile au sein de Gaia-X aussi, a déjà beaucoup avancé sur ces questions. Nous partons du principe que l'ensemble de l'industrie, lorsqu'elle arrive à se mettre autour d'une table et à discuter pour définir des standards, des processus de communication et d'interopérabilité entre les acteurs, est toujours une excellente solution. Et donc, on continuera de participer activement au travail de Gaia-X.

M. Arnaud David. - La question du filtre anti-arnaques ne relève pas a priori de l'activité d'AWS, qui n'est pas producteur de contenus. Nos clients utilisent nos briques technologiques pour construire des sites qui peuvent avoir des contenus particuliers. Ça fait le lien avec les discussions de tout à l'heure sur les contenus pédopornographiques.

AWS applique une politique d'utilisation du service stricte qui oblige le client à respecter les réglementations applicables d'une part (européennes notamment), et nos termes de service qui interdisent tout type de contenu illégal d'autre part. En cas de signalement, nous travaillons avec le client pour que le contenu soit retiré. Si le client n'obtempère pas, la seule solution technique à notre disposition est la fermeture de l'accès à la plateforme.

Concernant les crédits cloud, nous y sommes favorables et nos clients, PME et entreprises de taille plus importante, les considèrent comme un moyen d'expérimenter des services et de la technologie. Nos programmes ont une durée d'un ou deux ans en fonction de la complexité du projet informatique, et nous sommes disponibles pour échanger avec la commission sur les durées appropriées.

En matière de frais de transfert, il y a une distinction à faire entre les pratiques délibérées qui visent à bloquer un changement de prestataire et un modèle économique qui consiste à facturer l'utilisation d'un réseau. L'entreprise a sa part de responsabilité dans le coût du transfert, en fonction de la manière dont elle a codé son service et développé son application. Dans le texte, les frais de transfert sont définis de manière large et peuvent englober la prestation d'un prestataire externe rendue nécessaire par la complexité de la solution. Il est nécessaire selon nous d'affiner les définitions et les périmètres.

La question de l'intermédiation de données est à rapprocher de celles des espaces de données, qui n'existent pas encore en tant que tel. Neuf projets sont en cours au niveau européen, notamment dans le transport, la finance et la santé. AWS est membre fondateur de Gaia-X à la demande de nos clients et a participé au développement de standards communs. En décembre 2022, AWS a été la première entreprise américaine à se conformer lors d'une démonstration à l'ensemble des critères de Gaia-X, que ce soit en matière de portabilité des données et de transfert d'un opérateur vers un autre en fonction du code SWIPO ou en matière de protection des données. Plus d'une centaine de services AWS sont conformes au code de protection des données CISPE qui a été validé par l'ensemble des autorités de protection européennes avec la Cnil en chef de file.

Mme Florence Blatrix Contat. - Vous aviez indiqué dans vos propos introductifs Madame la présidente que l'enjeu de ce texte est de retrouver la confiance et la concurrence sur ces marchés du numérique. Et je me satisfais, monsieur Géraud, que vous ayez indiqué que vous souhaitiez un marché toujours plus ouvert. Cela dit, je souhaitais vous interpeller sur la question de la publicité en ligne. Même si ce n'est pas directement en lien avec le texte, il s'agit d'une question de concurrence essentielle. Le ministère américain de la Justice a porté plainte contre Google en janvier pour avoir utilisé des méthodes illégales et Google est visé par une enquête de la commission européenne. La commissaire à la concurrence, Margrethe Vestager, a indiqué que Google pourrait avoir abusé de sa position dominante en favorisant ses propres services. Ce qui vous est rapproché, c'est de favoriser vos propres services de technologie d'affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d'annonceurs et d'éditeurs. Quelle est votre appréciation de ces griefs ? Avez-vous la volonté de mettre fin à ces pratiques qu'on peut qualifier d'anti-concurrentielles et comment ?

Par ailleurs, le DMA implique de ne plus utiliser les données personnelles d'un utilisateur à des fins de publicité ciblée, sans son consentement explicite. Comment cette mesure est-elle mise en oeuvre ?

Enfin, vous avez indiqué que le marché du cloud est un marché dynamique avec de nombreux nouveaux opérateurs, dont le chiffre d'affaires augmente. Mais il faut bien constater que les opérateurs européens ont vu leurs parts de marché fondre sur le marché européen. Nous sommes bien dans une concentration du marché avec une domination des opérateurs extra européens. Vous semblez critiquer les mesures qui sont proposées. Quelles solutions nous proposez-vous pour rendre le marché du cloud plus contestable ?

Quand vous évoquez la possibilité de facturer l'utilisation du réseau, pensez-vous aux frais de bande passante ? À combien s'élèvent en moyenne ces facturations, en fonction de la taille des entreprises et des données hébergées ?

Mme Toine Bourrat. - Concernant le cyberharcèlement, le pseudonymat permet la multiplicité des comptes et son interdiction limiterait la publication de contenus haineux. Le RSN repose sur le principe suivant : ce qui est illégal hors ligne est illégal en ligne. Or dans la vie réelle, il est illégal d'avoir plusieurs identités.

Le texte prévoit l'obligation pour les plateformes de supprimer les contenus illicites qu'elles relaient dès leur signalement par la victime. Aujourd'hui, lorsqu'on est victime de cyberharcèlement, on subit une double peine. Non seulement on est victime de cyberharcèlement, mais en plus, on doit apporter la preuve de ce qu'on avance. Pendant ce temps, la publication continue à être diffusée à des milliers de personnes. Pour mieux modérer les réseaux, certains d'entre vous ont évoqué des ressources techniques, mais les moyens humains pour assurer la modération des différentes plateformes n'ont pas été mis en avant. Pouvez-vous nous en dire davantage sur ce point ?

Concernant le contrôle de l'âge, l'idée d'associer les opérateurs qui disposent de tous les éléments concernant l'identité des détenteurs du compte est très intéressante. Une solution de vérification de l'âge par analyse morphologique a été mentionnée. La solution repose-t-elle aussi sur la vérification d'une pièce d'identité ?

M. Anton'Maria Battesti. - Non, cette solution est utilisée en l'absence d'une pièce d'identité. Les adolescents n'ont pas nécessairement de pièce d'identité, en fonction notamment de leur localisation géographique. Des études ont permis de donner un âge en fonction de la morphologie. L'identité n'étant pas vérifiée, il ne s'agit pas de reconnaissance faciale.

Mme Toine Bourrat. - Comment peut-on s'assurer que la personne est bien celle qui va utiliser le compte ?

M. Anton'Maria Battesti. - La vérification de l'âge et la vérification de l'identité sont deux sujets importants, mais distincts. La solution Yoti apporte une réponse à la question de l'âge. Aujourd'hui, l'identité n'est pas vérifiée à l'inscription sur les réseaux sociaux.

Mme Toine Bourrat. - Selon ma compréhension, cette solution ne permet pas de s'assurer que le détenteur du téléphone est bien celui qui a été identifié comme majeur au départ.

M. Anton'Maria Battesti. - C'est aussi une question de proportion des moyens mis en oeuvre et du type de documents que le législateur souhaite voir collectés. Ce sujet est important, je partage votre position.

Mme Toine Bourrat. - Je relaye une question de mon collègue Laurent Somon.

Sur le sujet du commerce en ligne, si vous vous assurez que la législation du pays du vendeur est conforme, faites-vous de même dans le pays du client ? À titre d'exemple, si je suis dans un pays où la drogue n'est pas autorisée, serais-je en mesure d'en acheter dans un pays où c'est le cas ?

M. Benoît Tabaka. - Concernant la publicité, je ne commenterai pas les procédures en cours. Le marché de la publicité, qui a longtemps été défini comme un duopole entre Google et Facebook, est aujourd'hui en pleine évolution. Microsoft a racheté Xandr et Netflix a fait une entrée remarquée sur le marché publicitaire en ligne. Amazon et Meta participent à ce dynamisme du marché, tout comme Apple qui est entré récemment et qui devrait atteindre 30 milliards de dollars de revenus publicitaires dans les trois ou quatre ans à venir. TikTok est également présent depuis peu et réalise environ 10 milliards de dollars de revenus publicitaires par an.

En parallèle, on assiste à des bouleversements technologiques comme le blocage des cookies qui est déjà une réalité sur le navigateur Safari par exemple. Pour Google, le blocage progressif des cookies sur les sites tiers débutera en 2024 pour laisser le temps à l'ensemble du secteur de trouver des solutions conformes à la réglementation en matière de protection des données.

Le DMA apporte de nouveaux éléments sur l'utilisation des données et le recueil du consentement. Nous sommes en attente de lignes directrices de la part de la commission européenne sur la manière dont chaque article doit être interprété. Les services publicitaires entrent par ailleurs dans le périmètre du RMN et de nouvelles obligations en résultent.

Internet se caractérise effectivement par une forte logique de pseudonymat. Cela étant, on ne connaît pas nécessairement l'identité des personnes qui prononcent des propos illégaux dans la rue. Un sentiment d'impunité se développe lorsque seules 50 personnes par an sont condamnées pour cyberharcèlement. La loi française et le RSN imposeront aux plateformes des obligations de retrait de ces contenus. Tous les trimestres, nous supprimons près de 500 000 vidéos YouTube au niveau mondial pour des faits de cyberharcèlement.

En premier lieu, nous identifions et bloquons les contenus les plus évidents grâce à des outils technologiques. Un système en entonnoir permet ensuite d'amener les contenus pour lesquels nous avons des interrogations vers des équipes de modérateurs humains. Après l'entrée en vigueur du RSN, la personne ayant mis en ligne le contenu recevra un message d'explication et pourra faire appel. Si elle fait usage de ce droit, le dossier reviendra dans le giron de l'équipe de modération humaine.

Ce qui est interdit dans la vie hors ligne doit aussi l'être en ligne. Je reviens au parallèle avec le système d'amendes mis en place pour le harcèlement de rue et qui n'a pas d'équivalent en matière de harcèlement en ligne. Les opérateurs vont supprimer du contenu et bientôt seront aussi en mesure de supprimer des comptes, mais rien n'empêchera la personne de cyberharceler sa victime sur un autre réseau social ou un autre site Internet. Un travail à l'échelle européenne est en cours autour de la question du traitement de l'auteur et non plus seulement du contenu.

Sur le commerce en ligne, Google n'a pas d'activité dans ce secteur à proprement parler. Certains annonceurs comme les pharmacies ou les jeux en ligne pourront ou non être présents en fonction de la législation locale et des agréments, grâce à un mécanisme de territorialisation.

Mme Toine Bourrat. - Je reviens sur la question du pseudonymat en réponse à Monsieur Tabaka. On ne connaît pas nécessairement l'identité d'une personne qui prononce des propos haineux dans la rue, mais il s'agit d'anonymat et non de pseudonymat.

M. Anton'Maria Battesti. - Autour de 40 000 personnes dans le monde travaillent sur les enjeux de sécurité au sein du groupe Meta, dont environ 15 000 personnes sur la modération. Ces données sont publiques et nous rendons compte de ces ressources aux régulateurs.

Sur 10 000 contenus vus sur une plateforme comme Instagram, sept ont fait l'objet d'une action de modération pour du harcèlement. Au-delà des moyens, les régulateurs se penchent aussi sur l'efficacité des mesures. La majorité de ces contenus est aujourd'hui pré-détectée grâce à l'intelligence artificielle, qui joue un rôle de plus en plus important.

Concernant l'anonymat, on pouvait lire dans un célèbre dessin de presse des années 1990 que « sur Internet, personne ne sait que vous êtes un chien ». Aujourd'hui, du fait de la coopération avec les autorités, cet anonymat n'existe pas. Nous recevons 25 000 réquisitions par an et sommes susceptibles de communiquer l'adresse électronique, le numéro de téléphone et l'adresse IP. Il y a des débats de fond sur la question de l'anonymat et du pseudonymat. Certaines associations actives dans des domaines sensibles veulent ainsi pouvoir garder une capacité de s'exprimer en ligne sans forcément révéler l'identité. Cela étant, que l'on agisse sous son vrai nom ou sous un pseudonyme, on doit pouvoir être identifié et le cas échéant, répondre de ses actes devant la justice. Contrairement à d'autres plateformes sur lesquelles il faudrait peut-être concentrer les moyens, Meta répond aux requêtes des autorités françaises.

Sur les questions de cyberharcèlement, Meta travaille avec des associations dont e-Enfance, qui anime la hotline joignable au 30 18 et peut remonter des cas particuliers aux équipes de Meta. Dans certains cas récents, ce numéro n'avait pas été suffisamment activé par les services administratifs, et parfois par les parents et les victimes eux-mêmes. Il n'est pas question de les blâmer, mais de constater que le 30 18 est insuffisamment connu et doit faire l'objet de campagnes d'information. Un récent rapport du Sénat sur le sujet du harcèlement scolaire montre l'ampleur du problème, qui a souvent une double composante physique et en ligne. La situation est comparable à celle de la sécurité routière il y a vingt ans, lorsque des dizaines de milliers de personnes perdaient la vie sur les routes tous les ans. Le président Jacques Chirac avait alors réuni l'ensemble des parties prenantes autour d'une table et avait ainsi réussi à inverser la tendance. Il faut provoquer un choc de société et faire de la lutte contre le harcèlement une grande cause nationale. Il me semble que le ministre de l'éducation nationale et d'autres acteurs sont réceptifs, c'est le moment.

Mme Toine Bourrat. - L'efficacité du 30 18 me semble limitée, mais ce n'est pas le sujet aujourd'hui. Le projet de loi comporte un volet sur la protection des citoyens, et l'essentiel est de comprendre comment est protégé celui qui a fait le signalement.

Mme Béatrice Oeuvrard. - Les plateformes ont un rôle à jouer, mais il s'agit d'une chaîne de responsabilités. Les auteurs sont les grands absents du DSA et d'autres textes comme la loi Avia. Comment sont-ils sanctionnés ? Je reviens sur notre proposition d'avoir recours à des agents assermentés pour faire usage des données mentionnées. Le retrait de milliards de contenus n'endiguera pas le phénomène en l'absence d'un pouvoir étatique et de sanctions sur les auteurs. Les parents et les associations ont aussi leur rôle à jouer, c'est véritablement l'ensemble de la chaîne qu'il faut impliquer.

Mme Catherine Morin-Desailly, présidente. - Nous en avons bien conscience. Cela étant, le modèle économique de vos plateformes est fondé sur la gratuité, une publicité ciblée et un algorithme qui travaille à surexposer les contenus les plus sensationnels et les plus contestables. Comment travaillez-vous à la transparence des algorithmes et comment intégrez-vous la notion de « safety by design », selon laquelle il faut étudier les effets potentiellement pervers d'un algorithme avant de le mettre sur le marché ? Il est très important que vous ayez conscience que le modèle économique des plateformes pour lesquelles vous travaillez génère ce phénomène.

Au lendemain de l'affaire « Cambridge Analytica », Damian Collins, président de la commission Culture digitale de la Chambre des communes, a fait un rapport extrêmement sévère sur les failles de Facebook et leur rôle dans la manipulation des opinions et des votes lors de l'élection présidentielle américaine. Tout cela a été démontré.

Le sujet des ingérences étrangères est traité dans le projet de loi. Pouvez-vous nous garantir qu'il n'y a plus de failles permettant des ingérences étrangères, la manipulation des opinions et la déstabilisation de nos sociétés occidentales dans leur modèle démocratique ? Avec l'application du RSN, avez-vous réellement pris « le taureau par les cornes » de sorte que l'on puisse contredire Frances Haugen dans les propos qu'elle a tenus à Bruxelles devant des parlementaires venus du monde entier ? Monsieur Mark Zuckerberg n'avait d'ailleurs pas daigné se déplacer. Qu'avez-vous fait pour mettre un terme à ces dérives qui sont tout simplement inadmissibles ? Si Internet doit rester une source d'échanges, de progrès et de connaissances, il faut agir.

M. Anton'Maria Battesti. - Concernant le modèle économique, notre chiffre d'affaires provient des annonceurs. Lorsque les manquement et imperfections que vous décrivez sont repris par la presse, les annonceurs nous demandent des comptes et menacent d'arrêter les campagnes. Nous n'avons donc aucun intérêt à voir le réseau se transformer en poubelle. Si des améliorations sont nécessaires, je ne peux pas laisser dire que le modèle économique est basé sur la recommandation de contenus malicieux ou illégaux.

Sur « Cambridge Analytica », Mark Zuckerberg s'est exprimé devant le Parlement européen.

Mme Catherine Morin-Desailly, présidente. - Il a également témoigné devant le congrès américain. C'était assez édifiant.

M. Anton'Maria Battesti. - Chacun a son opinion, mais il est à noter que Mark Zuckerberg a rendu des comptes devant le parlement européen et devant le Congrès américain. Une amende de plusieurs milliards de dollars a été acquittée auprès de la Federal Trade Commission (FTC) et des engagements personnels ont été pris par Mark Zuckerberg et d'autres responsables de Facebook pour mettre en place des procédures dont nous rendons compte de manière régulière. Le régulateur américain régule, on ne peut pas parler d'ultra libéralisme et de laisser-faire.

L'affaire « Cambridge Analytica » pose la question du degré d'ouverture des plateformes, notamment dans les échanges avec les chercheurs, dans la mesure où un chercheur a détourné des données et les a revendues. Des mesures très documentées ont été prises pour mettre un terme à certains partages de données dans nos applications.

Sur les ingérences étrangères, nous avons été les premiers à mettre en place une bibliothèque publicitaire qui identifie la cible, le budget, l'émetteur et le destinataire de chaque publicité publiée sur le réseau. L'Arcom a publié des rapports sur la mise en oeuvre de la loi Fake news qui donnent plutôt crédit de nos efforts ces dernières années. Je salue aussi l'effort de nos équipes, pilotées par Béatrice Oeuvrard. Le DSA nous fait entrer dans une phase de mise en oeuvre et aucune entreprise ne peut s'y dérober.

Mme Béatrice Oeuvrard. - Concernant les ingérences étrangères, nous publions des rapports de transparence sur les actions coordonnées inauthentiques à destination des chercheurs.

Concernant la bulle algorithmique, nous avons développé de nombreux outils permettant aux utilisateurs de choisir leur fil d'actualités : le fil proposé par Facebook, celui de votre famille, de vos amis, ou encore de manière purement chronologique. Dans chaque contenu qui apparaît sur le fil, l'utilisateur a la possibilité d'accéder au schéma expliquant pourquoi ce post ou cette publicité a été sélectionné.

Mme Catherine Morin-Desailly, présidente. - Merci pour vos réponses. Croyez bien que nous sommes aussi exigeants et sévères avec les autres plateformes que Facebook. Nous avons une commission d'enquête TikTok au sein de cette maison.

M. Arnaud David. - Concernant l'informatique en nuage et les parts de marché des entreprises européennes, vos chiffres semblent être en contradiction avec les miens. En tant que pionner de ce marché en Europe et dans le monde, AWS compte un nombre de clients important qui nous l'espérons sont satisfaits de nos services. Lorsqu'ils ne le sont plus, ils changent de fournisseur avec les facilités et les outils mis à leur disposition, comme je l'ai rappelé dans mon propos liminaire. Le marché cloud ne représente que 15 % du marché informatique global, ce qui n'est pas très significatif, et est en constante évolution. En Europe et en France, il manque une impulsion du côté de la commande publique qui peine à aller vers ces technologies. Le contexte réglementaire avec l'adoption de plusieurs textes au niveau national et au niveau européen explique aussi l'attitude attentiste de certains clients qui attendent l'entrée en vigueur et les mesures d'application effectives avant de migrer.

Sur les questions de portabilité, nos services ont été conçus pour permettre l'interopérabilité avec les logiciels open source, la mise à disposition d'API et les standards au niveau européen. Nous avons ainsi contribué à l'élaboration du code SWIPO, le seul standard existant aujourd'hui, auquel nous avons déclaré un certain nombre de produits. Cela a été salué par la commission européenne. Nos clients n'ont a priori pas constaté de barrière au changement de prestataire.

Concernant la facturation de l'utilisation du réseau, vous mentionnez le terme de bande passante alors que par réseau j'entends notre réseau privé interne, avant même de pouvoir accéder à un réseau public. AWS dispose de centres de données en France et dans plusieurs pays d'Europe et nos clients font faire une utilisation plus ou moins intensive de notre réseau en fonction de la quantité de données à transférer. Nous estimons que la facturation représente entre 1 % et 3 % de leurs dépenses annuelles en services informatiques. Selon une étude, le coût annuel de ce qu'on appelle le run en informatique serait en moyenne de 0,5 %. Il s'agit donc de sommes plutôt réduites. Les clients sont facturés par paliers avec un effet dégressif, et les tarifs sont en baisse de 50 % sur les cinq dernières années.

M. Frédéric Géraud. - Google Cloud fait partie de la maison Google, mais son modèle économique de services aux entreprises est différent du marché publicitaire. Dans le marché de l'informatique en nuage, on paye en fonction de la capacité et de la puissance souhaitées, pendant un laps de temps donné. C'est très éloigné d'un modèle économique de plateforme.

Concernant les propositions, il nous semble que pour enrichir le texte, il faut s'inspirer de la charte en dix points établie par le Cigref, qui rassemble des DSI du secteur public et du secteur privé, et le CISPE, qui réunit des fournisseurs d'informatique en nuage au niveau européen.

Sur la question de la bande passante, Google a fait dès le départ le choix d'investir massivement dans des réseaux de fibre optique propres qui permettent in fine une meilleure qualité de service et une différenciation de la concurrence. D'autres acteurs qui n'ont pas investi de la même manière vont passer des tiers qui vont pratiquer leurs prix.

Si vous êtes un acteur international, l'activité dépasse très largement le champ géographique de la France et implique des transferts de données à travers l'Europe et à travers le monde, avec à la clé des coûts différents. Si vous êtes un fournisseur de services plus petit avec des clients locaux, la donnée sera transportée moins loin pour un coût plus faible. Les fournisseurs se rejoignent sur les questions de normes et de standards internationaux, mais chacun a fait des choix technologiques différents.

Concernant l'interopérabilité et le multi cloud, je rappelle que Google cloud détient moins de 10 % de parts de marché. Nous sommes un challenger avec des ambitions importantes, comme en témoigne la création d'une nouvelle société avec Thalès afin d'offrir l'ensemble des services de Google Cloud Platform. En tant que dernier arrivé sur le marché, Google Cloud se doit d'être interopérable pour exister au milieu des autres solutions.

Sur la question des coûts de transfert, nous ne souhaitons pas communiquer de chiffres dans ce forum, mais nous avons partagé ce type de données avec l'autorité de la concurrence.

M. Yohann Bénard. - Pour ce qui concerne les produits vendus en France, la place de marché d'Amazon est bien soumise au droit français, sous le contrôle de la Direction générale de la consommation, de la concurrence et de la répression des fraudes (DGCCRF) et du juge français. Le droit français est une combinaison de règles d'origine nationale et de textes issus de la transposition de textes européens. La loi pour la confiance en l'économie numérique (LCEN) de 2003 et d'autres textes plus récents visent justement à rehausser les standards pour que le droit français soit à la fois très protecteur pour les consommateurs et aligné sur les droits voisins.

Mme Catherine Morin-Desailly, présidente. - Le marché européen numérique est un marché profond et durable avec ses 500 millions de consommateurs. Nous avons changé d'ère en prenant conscience que nous dépendons tous de cet écosystème et qu'il faut à la fois assurer les conditions de juste concurrence et corriger les effets pervers sur les réseaux sociaux. Comme le disait l'un des co-fondateurs du web, si nous voulons un monde soutenable en matière de nouvelles technologies et qu'elles puissent être des sources de progrès, il faut que ce monde soit parfaitement régulé et sécurisé. C'est une responsabilité que tous les acteurs quels qu'ils soient, européens comme extra européens, doivent partager. C'est un sujet de très grande importance et nous sommes véritablement à la croisée des chemins. Sous l'impulsion du commissaire Thierry Breton, l'Europe développe désormais une politique beaucoup plus stratégique. Les textes qui se succèdent à l'heure actuelle, qui visent à corriger cette absence de régulation, serviront sans doute d'étalon-or pour le monde, à l'image du règlement général sur la protection des données.

Audition de Jean-Philippe Lecouffe,
directeur exécutif adjoint des opérations d'Europol

Mardi 20 juin 2023

Mme Catherine Morin-Desailly, présidente. - Nous avons le plaisir d'accueillir aujourd'hui Jean-Philippe Lecouffe, directeur exécutif adjoint des opérations d'Europol.

Europol est l'Agence européenne de police criminelle, chargée de la coordination de la lutte contre les stupéfiants, la pédocriminalité ou encore le terrorisme.

Si nous avons souhaité vous entendre dans le cadre des travaux de notre commission spéciale, monsieur le directeur, c'est pour bien marquer la dimension internationale de ces délits et l'indispensable coordination qui doit être réalisée à l'échelon européen pour les contenir.

Le texte qui nous occupera dans l'hémicycle au mois de juillet est la traduction du règlement européen sur les services numériques (RSN, ou Digital Services Act, DSA), qui établit Europol comme un signaleur de confiance, dont le statut est prévu à l'article 22 de ce règlement. Il contraint les plateformes à traiter par priorité vos signalements. Dans le cas de la prévention d'une infraction pénale, l'article 18 indique par ailleurs que, si le fournisseur d'accès auprès duquel un signalement est opéré ne peut pas identifier avec certitude le pays concerné, il en informe immédiatement Europol.

Au-delà de ces ajouts utiles, nous serons très attentifs à votre analyse de ce que l'on pourrait qualifier de « criminalité numérique ». Dans quelle mesure les plateformes, avec lesquelles vous travaillez au quotidien, vous semblent-elles coopératives ? Pensez-vous que les nouvelles obligations que le règlement leur imposera seront de nature à mieux appréhender les comportements délictueux qui peuvent commencer en ligne, avant de déborder dans la « vie réelle » ?

Je vous donne la parole pour une dizaine de minutes, puis je passerai la parole à nos rapporteurs.

M. Jean-Philippe Lecouffe, directeur exécutif adjoint des opérations d'Europol. - Je suis très honoré de pouvoir m'exprimer aujourd'hui devant vous et de vous livrer, au nom d'Europol, un point de vue sur le travail législatif en cours.

Nous savons à quel point les évolutions technologiques, dans leur majorité, sont sources d'opportunités. Nous savons aussi, cependant, combien la numérisation peut être un puissant catalyseur pour les criminels. C'est la raison pour laquelle le traitement des preuves électroniques et des contenus criminels en ligne est devenu une tâche quotidienne et essentielle pour l'ensemble des services répressifs de l'Union européenne et pour Europol. La criminalité en ligne évolue régulièrement ; les services d'investigation se heurtent régulièrement à des défis nouveaux et le législateur peine à suivre le rythme effréné de ces changements technologiques. Le règlement sur les services numériques, ou DSA, ainsi que le travail de votre commission, sont donc bienvenus pour nous aider à faire face à ces défis.

En outre, il est important de souligner que le caractère international des services et des crimes numériques limite les approches nationales et nous impose de privilégier une approche européenne, voire internationale, pour plus de puissance et d'impact.

Je commencerai par un état des lieux des menaces numériques aujourd'hui. Au sein de l'Union européenne, la menace qui arrive en tête est celle des abus et de l'exploitation sexuelle des enfants, préoccupation majeure et priorité essentielle des services répressifs, parce que cette menace concerne des personnes vulnérables. Depuis la pandémie de covid-19, ce type d'affaires connaît une véritable explosion, en particulier sous la forme de contenus autoproduits, des personnes mineures étant amenées, par des discussions, à dévoiler une partie de leur intimité en ligne.

Sur ce point, je précise que les équipes d'Europol sont soucieuses de ne pas utiliser le terme de pédopornographie, dans la mesure où, bien qu'elle puisse être moralement condamnable, la pornographie ne constitue pas en soi une infraction. En revanche, les attentats à la pudeur et le viol sur mineur relèvent du crime. L'emploi de ce terme affaiblit le crime en créant une confusion entre, d'une part, la pornographie et, d'autre part, les abus et les exploitations sexuelles des enfants, qui sont des crimes. Vous m'entendrez donc parler non pas de pornographie mais d'abus ou d'exploitation sexuelle sur les enfants. Ce point de vocabulaire nous paraît crucial.

Il existe pour ce type de contenus un vaste marché, en pleine expansion. La gravité des infractions augmente également, puisque le développement des moyens technologiques donne naissance à des infractions nouvelles et particulièrement abjectes, comme le live streaming de viols d'enfants, dont les délinquants font preuve, en la matière, de connaissances techniques poussées, pour se dissimuler. À cela s'ajoute une augmentation de la monétisation de ces contenus, y compris en direct, et certaines plateformes ne parviennent pas à empêcher l'accès des mineurs, capables d'utiliser soit des virtual private networks (VPN), soit de fausses cartes d'identité, pour poster eux-mêmes des vidéos explicites.

Les cyberattaques constituent le deuxième type de menaces liées au monde numérique. Même si elles ne concernent pas directement votre sujet, elles augmentent elles aussi de manière prononcée : attaques d'hôpitaux, d'administrations ou d'entreprises, attaques par logiciels malveillants, rançongiciels, piratages, attaques par déni de service, etc. Pour la première fois cette année, deux cybercriminels ont été inscrits sur la liste des personnes les plus recherchées dans l'Union Européenne, une liste que détient aussi Europol, preuve que nous sommes face à une menace qui monte.

La fraude en ligne est également massive : fraude au paiement en ligne et cyber-escroqueries figurent parmi les infractions criminelles les plus établies.

Enfin, les contenus terroristes en ligne constituent une menace particulièrement importante. La semaine dernière, Europol a publié son rapport annuel sur le terrorisme et l'extrémisme dans l'Union européenne (TE-SAT 2023), qui montre que la menace terroriste ne faiblit pas et qu'Internet reste un outil essentiel d'échange de contenus à caractère terroriste et de diffusion d'idéologies extrémistes pouvant conduire au terrorisme : radicalisation en ligne ou recrutement de jeunes vulnérables, jusque sur des plateformes de jeux, sont des exemples de formes que peut prendre cette menace.

Devant ce panorama des menaces, Europol se félicite de voir émerger des textes législatifs novateurs - le règlement sur les contenus terroristes en ligne, ou terrorist content online regulation (TCO), le règlement sur les services numériques (RSN ou DSA) -, qui sont les premières tentatives mises en place au niveau européen de lutte contre les contenus illicites en ligne à grande échelle. Dans la mesure où les services et les délits numériques se propagent dans le monde entier, faire peser des obligations sur les diffuseurs peut avoir un impact réel à l'échelle mondiale.

Je vais évoquer à présent le soutien qu'apporte Europol aux États membres de l'Union européenne dans la lutte contre ces menaces numériques, avec une attention particulière sur les domaines qui sont au coeur du travail de votre commission : les contenus illégaux en ligne.

Ce soutien prend d'abord la forme de signalements et de retrait des contenus terroristes en ligne. En effet, en 2015, Europol a créé une unité de signalement sur Internet, Internet Referral Unit (EU-IRU), qui collabore étroitement, d'une part, avec les autorités compétentes des États membres de l'Union européenne et, d'autre part, avec les fournisseurs de services d'hébergement, afin d'entraver la diffusion de contenus terroristes. La Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos) est l'un de nos grands partenaires dans ce domaine. De façon conjointe, nous signalons les contenus terroristes aux fournisseurs de services en ligne qui prendront ou non la décision de les supprimer.

Depuis sa création, l'IRU a détecté des comptes terroristes sur plus de 430 plateformes en ligne. Bien qu'elle ait produit des résultats satisfaisants, cette approche volontaire laisse apparaître de grandes différences dans la manière dont les entreprises répondent à nos signalements et modèrent leurs contenus ; cela conduit les réseaux terroristes à privilégier, pour diffuser leurs contenus, les plateformes ayant des politiques internes de modération moins contraignantes. C'est la raison pour laquelle l'Union européenne a adopté le règlement sur les contenus terroristes en ligne, en 2021, à la suite de l'attentat terroriste sur la personne de Samuel Paty en France. En effet, l'assassinat de cet enseignant avait donné lieu à la diffusion de contenus particulièrement intolérables sur les réseaux sociaux. Le règlement va permettre de rendre les demandes de retraits obligatoires et non plus seulement volontaires.

Ce règlement permet aussi de coordonner les actions de demande de retrait entre les différentes autorités compétentes des États membres : si Pharos et l'unité équivalente italienne ou allemande passent par un point d'accès unique comme Europol, nous limitons le risque de duplication qui existe quand ces organismes travaillent en même temps sur les mêmes dossiers. Dans l'heure qui suit la réception d'un ordre de retrait, les fournisseurs de services d'hébergement doivent s'exécuter ; en outre, on requiert de la part des plateformes une vigilance active en matière de détection des contenus terroristes. Enfin, le règlement établit que les autorités nationales, et non les fournisseurs de services en ligne, auront le dernier mot dans la modération de ces contenus.

Toutefois, l'approche partenariale avec les plateformes doit perdurer ; l'ordre de retrait doit rester une arme de dissuasion à utiliser quand le dialogue a échoué.

Le règlement sur les contenus terroristes en ligne désigne Europol comme interface entre les autorités nationales et les plateformes. À ce titre, nous lancerons dans quelques jours la Plateforme européenne des retraits des contenus illégaux sur Internet (Persil), un système unique et collaboratif de transmission des signalements et des ordres de retrait par les autorités compétentes de tous les États membres vers l'ensemble des fournisseurs de services, qui ont l'obligation de s'immatriculer auprès de l'un des pays de l'Union européenne, l'Irlande dans un grand nombre de cas. Persil favorisera les échanges d'information avec ces fournisseurs de service d'hébergement et facilitera la coopération et la coordination des efforts entre les autorités compétentes pour lutter contre les contenus terroristes en ligne et éviter les duplications. Cette plateforme permet ainsi une application harmonisée du règlement dans les 27 États membres.

J'en profite pour souligner que les relations que nous avons établies avec Pharos sont excellentes ; la plateforme est l'un de nos plus anciens et solides partenaires et nous l'avons consultée, de même que ses homologues, dans la création et le développement de Persil.

Le règlement sur les services numériques (DSA), adopté en 2022, prévoit de manière plus générale la modération de tous les contenus en ligne et pas seulement des contenus à caractère terroriste, comme le Terrorist Content Online (TCO). Comme avec celui-ci, Europol pourrait aider les États à appliquer ses dispositions pour optimiser son impact sur les mesures répressives ; des discussions avec la DG Connect de la Commission, qui sera chargée de sa mise en oeuvre, ont déjà eu lieu à ce sujet, afin d'offrir notre expertise et notre infrastructure. Persil, qui n'a pas été conçu uniquement pour des contenus terroristes, pourrait être là aussi très utile. Notre but principal est d'éviter les doublons au sein des Vingt-Sept.

Concernant les abus et l'exploitation sexuelle des enfants, Europol dispose depuis plus de vingt ans d'une équipe spécialisée dans la lutte contre les contenus illégaux de cette nature. Une équipe d'experts, l'Analysis Project Twins (APT), soutient les forces de l'ordre des États membres de l'Union européenne vingt-quatre heures sur vingt-quatre dans la lutte contre l'exploitation et les abus sexuels des enfants. En 2022, par exemple, elle a coordonné 93 enquêtes internationales portant sur ces contenus. Au cours d'une seule opération, qui impliquait une dizaine de milliers de comptes et 13 pays sur trois continents, 146 enfants ont pu être identifiés à travers le monde et les informations transmises aux services de police. C'est la coordination internationale des activités d'enquête qui a permis d'identifier ce grand nombre de victimes et de suspects.

En ce qui concerne plus spécifiquement la modération des contenus, notre équipe APT facilite la réception puis la diffusion des signalements d'exploitation sexuelle des enfants en ligne. Aux États-Unis, les plateformes signalent tous les contenus suspects à l'organisme américain National Center for Missing and Exploited Children (NCMEC). Un accord conclu avec le NCMEC permet à Europol d'être un point d'entrée unique pour 20 pays européens pour le partage des informations, les autres fonctionnant par transmission directe du NCMEC. Cela permet de déclencher des enquêtes dans les États membres. En 2022, nous avons ainsi reçu, analysé et diffusé plus de 290 000 signalements du NCMEC, environ 5 600 par semaine. Europol dispose aujourd'hui de la deuxième plus grande base de données au monde de ces contenus.

J'espère que cet état des lieux aura permis de rendre plus claires trois choses principales : premièrement, la criminalité numérique évolue rapidement et les criminels agissent plus vite en détournant les plateformes et services présents sur le marché ; deuxièmement, l'efficacité de la réglementation, comme les règlements TCO et DSA, repose sur des règles communes à l'échelle de l'Union et sur la coordination et la coopération des services répressifs au niveau européen, la dimension européenne étant de nature à améliorer l'impact auprès de partenaires privés de taille mondiale ; troisièmement, Europol joue un rôle central en aidant les États membres dans la lutte contre la criminalité numérique et la clef du succès se trouve dans la coopération des États membres pour éviter les duplications.

M. Loïc Hervé, rapporteur. - Vous avez évoqué vos relations avec les plateformes : quelle est leur qualité ? Les plateformes sont-elles, selon vous, à la hauteur des enjeux ? Comment peut-on améliorer ces relations ?

Concernant le DSA, y a-t-il selon vous des manques, des éléments à préciser ? Bien sûr, nous ne pouvons pas compléter le règlement européen, qui est d'application directe en droit interne, mais son application française peut nous donner l'occasion de faire passer des messages ou d'inscrire directement dans la loi des évolutions importantes. J'ajoute que le DSA prévoit des contraintes importantes pour les très grandes plateformes, qui sont au nombre de 19, dont aucune n'est française. Comment faire pour que le règlement concerne davantage les plateformes au-delà de celles qui revendiquent 49 millions de connexions ?

Lors de son audition, Mme Augereau, cheffe de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) qui gère Pharos, s'est inquiétée de l'alourdissement que pourraient engendrer les procédures européennes, notamment au moment de procéder à des blocages massifs. Que pensez-vous de ce risque ?

Pouvez-vous détailler les conséquences de l'adoption à brève échéance d'un nouveau règlement visant à prévenir et à lutter contre les abus sexuels sur les enfants ? Pouvez-vous revenir sur son calendrier d'adoption ?

Mme Catherine Morin-Desailly, présidente. - Pensez-vous que le projet de loi qui nous est soumis pourrait être complété par quelques dispositions qui y seraient insérées par anticipation du projet de règlement de lutte contre les abus sexuels des enfants ?

M. Loïc Hervé, rapporteur. - Les auditions que nous avons menées ont permis de mettre en lumière un problème d'équilibre entre la protection des données personnelles, d'une part, et les nécessités de la lutte contre la criminalité en ligne, d'autre part. Comment Europol procède-t-il pour identifier les auteurs des infractions ? Dans quelle mesure les outils actuels pour mener ces investigations dépendent-ils des plateformes et non des informations collectées par les services d'enquête des États ?

Concernant votre réflexion sur le terme de pédopornographie, d'autres personnes auditionnées ont également souligné son caractère ambigu. Il a toutefois un seul mérite, même s'il pose un problème conceptuel : on sait de quoi on parle. On peut le contourner avec une périphrase, mais celle-ci posera d'autres difficultés.

Enfin, le projet de loi, s'il est adopté, prévoit une sanction pénale en cas de défaut d'exécution d'une demande de retrait d'un contenu mettant en scène des enfants victimes d'abus sexuels. Que pensez-vous de cette disposition ? Pouvez-vous dresser un premier bilan d'une procédure analogue créée pour les comptes terroristes par le règlement TCO ?

M. Jean-Philippe Lecouffe. - Les relations avec les plateformes sont globalement de bonne qualité, mais cela s'explique par le fait que le retrait des contenus se fait, comme je vous le disais, de manière volontaire. Le plus souvent, nous intervenons en réaction, c'est-à-dire après qu'un contenu illicite nous a été signalé. Jusqu'à présent, sur le fondement du TCO, nous n'avons adressé qu'une douzaine d'ordres de retrait, parce que Persil n'est pas encore complétement opérationnel.

Ce que les plateformes apprécient également est le fait que nous sommes pour elles un point d'entrée unique, ce qui leur évite de discuter avec plusieurs autorités nationales. Néanmoins, je le disais, nous nous heurtons aux politiques internes de chaque plateforme, auxquelles elles se réfèrent pour supprimer ou non les contenus signalés. Par conséquent, nous sommes preneurs d'un instrument coercitif pour l'exécution des ordres de retrait, afin de faire de la pédagogie.

Le RSN présente-t-il des lacunes ? L'enjeu nous semble être de faire des textes technologiquement neutres, autrement dit qui restent pertinents alors même que les technologies évoluent. Le règlement y réussit en partie, je pense, mais il restera sûrement des choses à adapter pour couvrir toutes les situations.

Ensuite, notre approche ne doit pas être exclusivement répressive ; au contraire, nous avons besoin d'entretenir nos partenariats avec les plateformes pour qu'elles continuent, de leur propre chef, à réguler leurs contenus. Elon Musk déclarait d'ailleurs ce matin dans les médias, en parlant de Twitter, vouloir se conformer à la réglementation en vigueur.

L'Union européenne concentrera son action sur les 19 plateformes les plus importantes - sur les 430 identifiées -, qui regroupent environ 45 millions d'utilisateurs, donc la législation des États membres est elle aussi pertinente, notamment pour les plateformes plus petites, surtout si elles s'inspirent du règlement sur les services numériques. Encore faut-il que les plateformes soient hébergées sur le territoire du pays concerné : le RSN vise justement à éviter ce nomadisme juridique, en partant du principe que les plateformes ne peuvent se priver du marché européen.

Je comprends l'argument sur l'alourdissement des procédures. Celles-ci ont toutefois un gros avantage : elles évitent les doublons. Pourquoi la plateforme Pharos ouvrirait-elle un dossier sur des faits déjà signalés par des collègues d'autres États membres ? La mutualisation des informations à l'échelon européen est la contrepartie de l'alourdissement des procédures. En outre, l'ordre de retrait doit être utilisé en dernier recours : il faut d'abord privilégier le dialogue avec les plateformes.

Europol ne participe évidemment pas aux discussions sur le règlement européen en cours de préparation ; cette tâche incombe au Conseil, au Parlement et à la Commission. Je ne sais pas quelle sera l'issue des discussions. Il est toutefois impossible que l'Union européenne n'adopte pas de position commune sur le sujet. La transmission de contenus par nos collègues américains repose sur une exception à la réglementation européenne. Or celle-ci s'achèvera en août 2024 : il nous faut donc un texte efficace pour continuer à disposer de signalements volontaires. Anticiper les conséquences du futur règlement me semble difficile à l'heure actuelle, tant les discussions entre les États membres sont encore nombreuses sur ce texte nécessaire à la poursuite de notre action. Cela dit, la saisie de nombreux contenus lors de nos enquêtes nous permet aussi de récolter des informations encore inconnues des plateformes.

Mener à bien notre travail tout en respectant le règlement général sur la protection des données (RGPD) est un défi quotidien. L'action d'Europol est soumise au Contrôleur européen de la protection des données (CEPD). Nous plaidons en faveur d'un équilibre entre protection des données et sécurité de nos concitoyens. En tout état de cause, nous avons besoin de moyens pour assumer au mieux nos missions.

M. Loïc Hervé, rapporteur. - Une sanction pénale en cas de défaut d'exécution de la demande de retrait vous semble-t-elle pertinente ? Cette possibilité existe déjà pour les affaires de terrorisme, entre autres.

M. Jean-Philippe Lecouffe. - Une telle sanction serait utile, en complément des amendes déjà prévues ; un tel point de vue ne vous étonnera pas de la part d'un gendarme. En outre, les entreprises souffriraient d'un préjudice réputationnel en cas de poursuites pénales, ce qui constitue parfois un moyen d'action efficace.

M. Patrick Chaize, rapporteur. - Le projet de loi prévoit la création d'un filtre anti-arnaques. Qu'en pensez-vous ?

M. Jean-Philippe Lecouffe. - Cette initiative est bienvenue. Les fraudes en ligne se multiplient, même si les montants extorqués ne sont pas très importants. Le travail de prévention est crucial.

Le filtre protégera nos concitoyens les plus vulnérables. Cela dit, je ne connais pas encore les détails de son fonctionnement : il faut que les dispositions légales résistent aux évolutions technologiques futures.

Mme Laurence Rossignol. - Vous avez indiqué que vous préfériez retenir la notion d'abus sexuels sur les enfants plutôt que le terme de pédopornographie qui, selon vous, minore l'ampleur du crime. Je comprends le fondement de votre raisonnement, mais je m'interroge sur ses conséquences. Certes, la pornographie n'est pas en tant que telle une infraction pénale, comme vous venez de le rappeler, mais certains contenus constituent des incitations à la haine, à la violence ou à l'inceste. En ne retenant que les abus sexuels sur les enfants, je crains que cela ne limite le champ de votre intervention. Les enquêteurs examinent chaque image d'un contenu pornographique - j'en profite pour saluer leur travail. Lors de leur audition par notre commission spéciale, les représentants de Pharos ont indiqué qu'ils retenaient les critères d'Europol pour déterminer si les victimes étaient des mineurs. Par ailleurs, j'ai lu que Pharos avait reconnu à mots couverts qu'elle s'en tenait uniquement aux critères d'apparence, c'est-à-dire les signes extérieurs de puberté tels que les poils ou les seins. Mais ces derniers apparaissent bien avant 18 ans ! Que pensez-vous du critère retenu pour les infractions commises sur les mineurs déjà pubères ?

En outre, à préférer le terme de pédocriminalité à celui de pédopornographie, vous ne cherchez pas à faire retirer les images représentant la sexualité enfantine. Finalement, que la personne filmée ait ou non 18 ans importe peu : avec de telles images, les rapports sexuels entre des enfants et des adultes sont banalisés. Ne pensez-vous pas que la distinction que vous opérez limite votre champ d'action ?

M. Jean-Philippe Lecouffe. - Nous n'établissons pas de critères formels. Dans de nombreux contenus que nous visionnons, il ne fait aucun doute que les victimes sont des enfants. Ces images sont ensuite transmises aux autorités nationales, car les poursuites sont décidées non pas par Europol, mais par des magistrats, sur le fondement du travail des enquêteurs. Il en va de même lorsque nous avons un doute sur l'âge des protagonistes : nous transmettons l'affaire aux autorités nationales, sous réserve que nous disposions de suffisamment d'éléments pour alimenter l'enquête.

Les critères utilisés par Europol sont les mêmes que ceux qui sont retenus par Interpol et, plus largement, par toute la communauté d'enquêteurs et de magistrats de l'Union européenne. Nous adoptons la même vigilance pour les faits de violence commis contre des adultes, mais ces poursuites relèvent d'un autre champ du droit.

Nous adoptons une vision multidirectionnelle en matière d'infraction. Nous ne fixons pas les limites, mais nous en référons toujours aux autorités nationales, dont les réglementations diffèrent selon chaque État membre.

Mme Catherine Morin-Desailly, présidente. - Merci pour ces informations et pour l'ensemble de vos actions. Lors de ma visite au siège d'Europol, j'ai été frappée par la très bonne coordination entre les États membres, et même avec des États ne faisant pas partie de l'Union européenne. Je me souviens ainsi du rôle essentiel joué par Europol dans le démantèlement du réseau Boystown. Nous vous souhaitons toute la réussite possible pour votre entreprise de longue haleine.

Table ronde sur la protection de l'enfance

Mardi 20 juin 2023

Mme Catherine Morin-Desailly, présidente. - Nous sommes réunis pour notre huitième et dernière audition en commission spéciale. Nous avons décidé avec les rapporteurs de la consacrer à un sujet au coeur des préoccupations du Sénat, sur lequel portent notamment les premiers articles du projet de loi, à savoir la protection de l'enfance face aux contenus pornographiques et au cyberharcèlement - la commission de la culture, de l'éducation et de la communication a travaillé sur ce dernier sujet.

Nous accueillons Olivier Gérard, coordonnateur du pôle « médias - usages numériques » de l'Union nationale des associations familiales (Unaf), Arthur Melon, délégué général du Conseil français des associations pour les droits de l'enfant (Cofrade), et Angélique Gozlan, membre du comité d'experts de l'Observatoire de la parentalité et de l'éducation numérique (Open).

Le sujet de la protection de l'enfance est au coeur de nos préoccupations et vous avez tous été plusieurs fois entendus sur les différents textes que nous avons portés dans cette assemblée, ainsi que sur les rapports d'information que nous avons produits. Je veux citer bien entendu le travail pionnier de la délégation aux droits des femmes sur l'industrie pornographique, qui a souligné les ravages d'un accès totalement libre à des contenus plus qu'inappropriés pour les mineurs. Selon la dernière enquête de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), 2,3 millions de mineurs visitent chaque mois des sites pornographiques. Dès 12 ans, la moitié des garçons se rendent en moyenne au moins une fois par mois sur l'un de ces sites. Ce chiffre est révélateur et notre assemblée s'honore, sur l'initiative de notre collègue Marie Mercier, d'avoir voulu y mettre un terme dès 2020. De l'autre côté du spectre, l'actualité dramatique, avec le suicide de la jeune Lindsay et plus récemment celui du jeune Thibault, nous a rappelé à tous l'urgence d'agir contre le cyberharcèlement, facilité par les réseaux sociaux, pour que le monde numérique ne se transforme pas en un monde totalement dénué de règles.

Les mineurs sont donc les premières victimes du développement des outils numériques. Récemment, nous avons adopté une proposition de loi dont notre collègue Alexandra Borchio Fontimp était rapporteure, sur la majorité numérique à 15 ans pour l'accès aux réseaux sociaux. La commission mixte paritaire a abouti aujourd'hui même.

Le 12 juin dernier, le Sénat a adopté la résolution européenne que nous avions déposée avec Ludovic Haye et André Reichardt sur la proposition de règlement européen établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants. Ce texte est en cours de négociation à l'échelle européenne.

Nous souhaitons donc vous entendre, tout d'abord sur le constat et plus encore sur votre appréciation des dispositions qui seront prises dans le cadre de ce texte d'application de règlements européens.

M. Olivier Gérard, coordonnateur du pôle « médias - usages numériques » de l'Union nationale des associations familiales. - Nous échangeons aujourd'hui sur un texte qui s'inscrit dans un foisonnement d'initiatives parlementaires et réglementaires, ce qui manifeste une volonté forte des pouvoirs publics d'agir en vue d'apaiser la situation dans l'espace numérique. C'est une priorité pour les familles que nous représentons.
Cette impulsion politique est nécessaire pour que nous puissions collectivement faire bouger les lignes. En effet, les modifications législatives ne suffiront pas, et il faudra que l'ensemble des parties prenantes unissent leur action.

L'étude de l'Arcom a conforté les données figurant dans le rapport d'information sur l'industrie de la pornographie que le Sénat a publié l'an dernier. Les chiffres concernant l'accès des mineurs aux sites pornographiques sont édifiants et il faut garder à l'esprit que cet accès passe en premier lieu par le smartphone. L'étude montre en effet que dans 95 % des cas, l'accès aux sites pornographiques se fait par ce biais et dans 75 % des cas exclusivement par le smartphone.

Quant au cyberharcèlement, la situation est également inquiétante. Le rapport du Sénat sur le sujet citait un ordre de grandeur : entre 800 000 et un million d'enfants sont victimes de harcèlement scolaire chaque année. En outre, les violences en ligne et les propos haineux s'inscrivent aussi dans le champ du cyberharcèlement.

Selon la dernière étude que nous avons menée, les parents considèrent le harcèlement comme le principal sujet d'inquiétude en matière de santé des enfants. Ils souhaitent que l'on prévoie un accompagnement et un soutien et que des mesures soient prises pour lutter contre ce phénomène. Au-delà des mesures législatives, ils attendent aussi davantage d'information sur ce sujet.

Les mesures sur la protection de l'enfance que le projet de loi prévoit dans ses premiers articles étaient nécessaires. Toutefois, un certain nombre de dispositions qui s'inscrivent dans le champ du numérique souffrent du délai nécessaire à leur mise en oeuvre opérationnelle. Par exemple, les articles relatifs à la protection des mineurs du règlement général sur la protection des données (RGPD), qui prévoyaient notamment le consentement des parents dans le cas des enfants âgés de 13 à 15 ans, n'ont pas été mis en oeuvre, cinq ans après la mise en place du règlement. De plus, la loi de mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à Internet n'entrera en vigueur qu'à la fin du premier semestre 2024.

Pourtant, les attentes sont fortes de la part des familles, et l'enjeu est de santé publique. Dans l'univers numérique, les évolutions sont très rapides et il est difficile de justifier de tels délais auprès des parents.

Les articles 1er et 2 relatifs à l'accès à la pornographie prévoient le renforcement du rôle confié à l'Arcom pour réduire les délais d'intervention. Avec l'Open, nous avions saisi l'Arcom dès la fin de 2020. Or les décisions judiciaires n'ont toujours pas été rendues, ce qui montre la nécessité de repenser le dispositif pour le rendre plus réactif et plus utile compte tenu de l'urgence du problème. L'Arcom pourra donc prendre des décisions administratives, qu'il s'agisse de bloquer les sites, de les déréférencer, voire de prononcer des sanctions pécuniaires, dans le respect de la procédure contradictoire. Nous espérons que cela permettra de lever l'incompréhension dont nous font part les parents sur la lenteur des interventions.

Le texte est plutôt positif à nos yeux. Toutefois, il met l'accent sur les sites de communication en ligne, notamment pornographiques. Or l'accès des mineurs aux contenus pornographiques passe aussi par les réseaux sociaux, par les messageries privées ou par la transmission de contenus via les téléphones portables. La mesure prévue dans le texte ne suffira donc pas à résoudre toutes les questions.

L'article 1er porte sur les recommandations techniques, notamment les dispositifs de vérification d'âge, ce qui représente pour nous une avancée importante. En effet, durant ces derniers mois, les débats ont essentiellement porté sur l'absence d'un cadre référentiel, même si un certain nombre de solutions techniques sont déjà proposées sur le marché pour faire en sorte de respecter des principes comme l'anonymat. La proposition de mettre en place rapidement des recommandations techniques est une belle avancée, d'autant que le référentiel sera contraignant.

Toutefois, le texte ne fixe pas de délai pour la mise en oeuvre de ce référentiel, de sorte que celui-ci ne semble pas avoir d'obligation de résultat.

Sur la lutte contre le cyberharcèlement, l'article 5 vise à sanctionner ceux qui l'exercent par une peine complémentaire de suspension des comptes. Il s'agit là d'une avancée positive dans la protection des victimes, qui permettra d'éviter que les pratiques ne se poursuivent au-delà des décisions rendues. La mesure vise ainsi à lutter contre tout sentiment d'impunité, ce qui est, selon nous, tout à fait nécessaire.

Le texte prévoit de bloquer l'utilisation de la plateforme incriminée et éventuellement l'ensemble des comptes de la personne mise en cause. Toutefois, le cyberharcèlement peut passer par plusieurs plateformes et il faudrait sans doute prévoir des mesures de suspension en cascade pour que la sanction concerne l'ensemble des canaux auxquels le harceleur a eu recours.

Même si ce n'est pas l'objet de la loi, il faut rappeler que la lutte contre le cyberharcèlement passe par la sanction des auteurs, par la sensibilisation de l'ensemble des parties prenantes et par l'accompagnement des victimes et de leur famille. Or les moyens alloués pour cela restent insuffisants. Nous menons des actions en ce sens sur notre réseau et nos services sont saturés, ce qui nous empêche d'accompagner les familles de manière satisfaisante.

Qu'il s'agisse de la lutte contre l'accès à la pornographie, de celle contre le cyberharcèlement ou de la protection des enfants en ligne, les enjeux éducatifs pèsent lourd. Il convient de renforcer les dispositifs de prévention et d'éducation auprès des jeunes, de manière qu'ils adoptent de nouveaux réflexes quant aux comportements acceptables ou non en ligne. Il faut aussi continuer d'accompagner les parents et la famille, qui jouent un rôle essentiel. Nous venons ainsi de lancer un dispositif de labellisation des actions de parentalité numérique et nous considérons qu'il faut continuer de développer ce type d'initiative. En effet, c'est en développant une approche complémentaire que nous pourrons faire face à ce fléau.

Enfin, le cyberharcèlement passe beaucoup par le smartphone, qui reste le grand absent de ce projet de loi. Les jeunes sont pourtant équipés de manière très précoce, avec les mêmes outils que les adultes, alors qu'ils n'ont pas forcément la maturité suffisante pour les utiliser. Nous devrions nous interroger sur la place du smartphone dans notre société. Si nous voulons lutter contre les dérives et mieux protéger les enfants, c'est une réflexion qu'il nous faudra mener.

M. Arthur Melon, délégué général du Conseil français des associations pour les droits de l'enfant. - Le Cofrade se félicite du fait que les pouvoirs publics se saisissent du sujet de l'exposition des mineurs à la pornographie.

Toutefois, à la lecture des articles du texte, j'ai ressenti davantage de colère que de soulagement. En effet, le Parlement vote des lois qui sont bien faites, mais ne sont pas appliquées : on ajoute de nouvelles lois pour trouver prétexte à ne pas appliquer des dispositions législatives qui existent bel et bien et qui sont parfaitement suffisantes. Ainsi, l'article 227-24 du code pénal prévoit une sanction à l'encontre des personnes mettant à disposition des contenus pornographiques susceptibles d'être vus par des mineurs. De plus, il est déjà prévu dans la loi que l'Arcom et la justice ont la possibilité de déréférencer et de bloquer les sites qui contreviendraient à ces dispositions.

L'arsenal législatif en vigueur est donc suffisant pour s'attaquer au coeur du problème, que l'enquête de l'Arcom a bien identifié : 60 % des contenus pornographiques consommés par les mineurs proviennent de cinq plateformes. Une section entière de ce projet de loi leur est consacrée, les autres plateformes pornographiques qui font payer leurs contenus ne posant pas de problème particulier en matière d'exposition des mineurs à la pornographie. Par conséquent, est-il bien nécessaire de prévoir un chapitre dans un nouveau projet de loi pour contraindre cinq plateformes à se conformer à la loi, alors même qu'elles font l'objet de deux procédures judiciaires, l'une au pénal et l'autre au civil, par l'intermédiaire des fournisseurs d'accès Internet.

La plainte au pénal a été engagée en 2018 sur le fondement de l'article 227-24 du code pénal, à la suite de la plainte déposée par le Cofrade et par l'Open. Au bout de cinq ans, nous n'avons reçu aucune nouvelle de cette plainte déposée devant le ministère public.

Quant à l'autre procédure, elle a été lancée auprès de l'Arcom, à la fin de l'année 2020. Or, à force de manoeuvres dilatoires, on constate toujours en 2023 des millions de visites de mineurs sur des sites pornographiques, dont les responsables n'ont visiblement pas l'intention de prendre la moindre mesure pour respecter la loi et protéger les mineurs.

Pourtant, la Cour de cassation a rappelé dans un arrêt récent que la loi était claire et constitutionnelle. Rien ne s'oppose donc à ce que le tribunal prenne la décision de demander aux fournisseurs d'Internet de couper l'accès à ces sites.

À l'article 1er, l'alinéa 2 prévoit que l'Arcom veillera à ce que les contenus pornographiques mis à disposition par un service de communication au public en ligne ne puissent pas être accessibles aux mineurs. L'Arcom deviendrait ainsi l'autorité de référence dans la protection des mineurs. Toutefois, n'est-ce pas plutôt aux fournisseurs de veiller à ce que les contenus pornographiques qu'ils diffusent sur Internet ne soient pas accessibles aux mineurs ? Ne faudrait-il pas plutôt préciser que le rôle de l'Arcom est de veiller à ce que les fournisseurs de contenus pornographiques s'assurent de leurs obligations légales ?

Le troisième alinéa prévoit l'élaboration par l'Arcom de lignes directrices pour que les plateformes pornographiques puissent savoir comment protéger les mineurs de leurs contenus.

Cet alinéa s'inscrit en fait dans la ligne stratégique de défense de ces plateformes, lesquelles expliquent depuis plusieurs mois ne pas pouvoir se conformer à la loi parce que celle-ci n'est pas claire et que ni l'Arcom ni la Commission nationale de l'informatique et des libertés (Cnil) ne leur indiquent comment assurer la protection des mineurs. Dès lors, elles considèrent que la loi est anticonstitutionnelle, ne respectant pas le principe de légalité des délits et des peines. Or, je le rappelle, pour la Cour de cassation, elle est parfaitement claire, et les plateformes doivent prendre elles-mêmes les mesures qui s'imposent pour rendre leurs contenus inaccessibles aux mineurs. J'attire donc votre attention sur le fait que cette mesure, en suggérant que les pouvoirs publics doivent un certain nombre d'explications, donne raison aux plateformes.

Par ailleurs, l'article 227-24 et la loi prévoyant le déférencement des sites Internet par le biais de l'Arcom et du tribunal judiciaire posent une obligation de résultat : si une plateforme est dans l'incapacité de s'assurer que ses contenus pornographiques ne sont pas accessibles aux mineurs, elle n'a pas le droit d'en faire trafic. Ce que je crains avec ce troisième alinéa, c'est que l'on passe d'une obligation de résultat à une obligation de moyens. Les plateformes pornographiques allégueront s'être conformées aux lignes directrices de l'Arcom et, en cas de problème avec leurs solutions techniques, demanderont que l'on se retourne vers l'autorité indépendante. Or les technologies du numérique évoluent très vite, et l'on ne sait pas comment, demain, l'âge des mineurs sera vérifié ou comment ceux-ci pourront dissimuler leur âge véritable. Autrement dit, on demande à l'Arcom d'entrer dans une course sans fin d'adaptation de lignes directrices à des évolutions extrêmement rapides.

Les plateformes pornographiques essaient aujourd'hui de nous faire croire que, si les contenus sont accessibles aux mineurs, c'est du fait de la législation et du manque de technologies adéquates. Il faut inverser la réflexion et considérer que, si la technologie ne permet pas de contrôler l'âge des mineurs, la plateforme ne peut pas faire commerce de ses contenus. On ne peut sacrifier l'intérêt de l'enfant sur l'autel de solutions techniques qui se font toujours attendre !

Par ailleurs, je ne vois pas, au regard des chiffres d'affaires des plateformes, comment l'amende prévue au sixième alinéa pourrait être dissuasive. S'agissant de plateformes qui ne sont pas domiciliées fiscalement en France, quelles procédures seront engagées pour recouvrir 75 000 euros à l'étranger ? Cela vaudra-t-il le coup pour le contribuable français ?

Enfin, même si, comme Olivier Gérard l'a rappelé, les procédures judiciaires sont beaucoup trop longues par rapport à l'urgence de la situation et que je comprends parfaitement l'idée de permettre à l'Arcom de prendre seule la décision de suspension des sites, je pose la question de la constitutionnalité d'une telle mesure. Les plateformes ne se gêneront pas pour lancer une nouvelle question prioritaire de constitutionnalité (QPC) et bloquer une décision de l'Arcom dans ce sens.

À l'article 3, relatif à la pénalisation en cas de non-retrait de contenus à caractère pédopornographique, il est indiqué le cas d'une plateforme ne pouvant se conformer à une demande de retrait « pour des motifs tenant à la force majeure ou à une impossibilité de fait qui ne lui sont pas imputables ». J'aimerais bien avoir un exemple de tels cas... Pour quelles raisons une plateforme, sommée par l'Arcom de retirer un contenu à caractère pédopornographique, pourrait justifier d'une impossibilité de le faire ?

En outre, le projet de loi s'en tient au seul retrait des contenus à caractère pédopornographique, comme s'il n'y avait pas, derrière, des auteurs de pédocriminalité et des victimes. Nulle part il n'est fait mention d'enquêtes qui devraient être automatiquement lancées pour les identifier et s'assurer que les victimes reçoivent l'assistance dont elles ont besoin et que les auteurs soient traduits devant la justice.

Mme Angélique Gozlan, membre du comité d'experts de l'Observatoire de la parentalité et de l'éducation numérique. - Je précise qu'outre ma qualité d'expert de l'Open je suis également docteur en psychopathologie et psychologue clinicienne, ce qui inscrit mes propos dans un courant de pensée particulier par rapport aux enfants et aux adolescents.

Saluant le travail engagé, qui marque un tournant symbolique et législatif quant à la protection des mineurs sur Internet, l'Open tient néanmoins à souligner plusieurs points.

Je ne serai pas longue sur la question de la pornographie, car nous rejoignons totalement les remarques qui viennent d'être exposées par Arthur Melon. Se posent, d'une part, la question de l'effectivité des pouvoirs accordés à l'Arcom et, d'autre part, celle de l'application des mesures en matière de sanctions pénales et administratives des sites donnant accès à des contenus pornographiques à des mineurs, dont beaucoup dépendent d'entreprises opacifiées, hébergées dans des paradis fiscaux.

S'agissant des exigences de contrôle d'âge soumises au respect de la vie privée, il est absolument nécessaire de veiller à ne pas sacrifier la protection de l'enfant à la protection des données : on procède bien au contrôle des cartes d'identité des mineurs lorsqu'ils veulent acheter de l'alcool dans un supermarché. En l'absence de solutions techniques permettant d'opérer une corrélation entre le contrôle de l'âge et la protection des données, l'Open propose d'appliquer le système de la carte bleue, facile et rapide à mettre en place.

Nous soutenons bien évidemment la volonté de régulation des sites pornographiques, mais nous insistons pour que cette régulation se fasse au nom de la cohérence éducative. Or, il n'y a rien dans ce projet de loi sur l'éducation des mineurs et des adultes !

Il faut promouvoir l'obligation d'une éducation aux médias et au numérique auprès des enfants et des adolescents, ainsi qu'une éducation sexuelle abordant, non pas uniquement la santé sexuelle et la prévention des risques, mais aussi les questions du consentement, du plaisir sexuel, de la connaissance de son corps au regard du corps de l'autre, de la relation sexuelle, de la condition de l'homme et de la femme. Ainsi, on leur offrira la possibilité de se construire un regard critique et d'aller vers une vie sexuelle dans le respect d'autrui.

Il faut par ailleurs impliquer et soutenir les adultes pour qu'ils puissent accompagner les enfants et les adolescents dans l'utilisation des espaces numériques, en prenant en considération le risque d'exposition aux images pornographiques. Nous sommes, je le rappelle, la première génération de parents à devoir construire une éducation numérique.

Raisonner seulement par le prisme de l'évitement des risques n'est donc pas suffisant ; il est absolument nécessaire de penser prévention, éducation et accompagnement.

Sur le cyberharcèlement, l'option retenue dans le texte - une peine complémentaire de suspension du compte sur la plateforme pour les utilisateurs condamnés pour une durée maximale de six mois - pose plusieurs questions.

Sachant que tout utilisateur peut créer maints comptes et changer d'adresse IP, comment une telle mesure sera-t-elle techniquement possible ?

Il est par ailleurs précisé dans l'étude d'impact que « la peine de suspension des comptes ne concerne que les services de plateforme en ligne ayant été utilisés pour commettre l'infraction ». Or, comme le montrent les études sur le cyberharcèlement, un cyberharceleur n'opère pas à partir d'un réseau social unique ; il utilise divers canaux. En imaginant qu'après une suspension de compte sur un site donné, il poursuive son harcèlement à partir d'un compte ouvert ailleurs, que prévoit le projet de loi pour faciliter le parcours juridique de la victime ?

Les « témoins en ligne » sont les grands absents de ce texte. Comment définit-on la notion de témoins en ligne du cyberharcèlement, dont la particularité est d'être présents en masse ? Comment qualifie-t-on des actes comme liker ou repartager une publication harcelante ? Que prévoit le texte pour ces témoins en ligne ?

Toujours dans l'étude d'impact, on peut lire que « cette peine complémentaire de suspension de compte dissuade les utilisateurs dont les comptes ont déjà été suspendus à récidiver et également d'autres utilisateurs qui pourraient être tentés de se livrer à des comportements similaires ». Cet effet de dissuasion est relatif au profil psychologique de la personne et ne peut pas être généralisé.

Enfin, « l'obligation pour les plateformes d'empêcher la création de nouveaux comptes par ces utilisateurs récidivistes prévient d'autant plus de tels comportements et protège les utilisateurs de contenus néfastes et préjudiciables ». J'attire votre attention sur le fait qu'on ne peut penser la prévention des comportements de cyberharcèlement et la protection des utilisateurs par la seule voie législative - une interdiction n'empêche pas la transgression - et que l'usage fait des réseaux sociaux constitue juste une mise en lumière de comportements préexistants. Or - question fondamentalement absente du projet de loi -, que prévoit-on pour l'accompagnement des personnes condamnées ? Les harceleurs sont en souffrance et en difficulté - ce sont soit d'anciens harcelés soit des personnes se construisant en leaders négatifs pour réparer une faille narcissique - et, dans le cas de mineurs, ils manifestent en outre une banalisation de leurs actes et une déréalisation. « Ce n'est pas la vraie vie, on est sur numérique », vont-ils dire... Un suivi doit donc impérativement être associé à ces mesures et l'on pourrait s'inspirer, ici, de pratiques déjà existantes, notamment les injonctions de soins à destination des acteurs de violences sexuelles.

On pourrait donc imaginer une injonction de soins en aval de l'acte commis - avec prise en charge individuelle ou en groupe - et, en amont, une sensibilisation plus forte des enfants et des adolescents à l'être ensemble et au collectif. Cela implique d'intégrer aux programmes scolaires, avec une progression de la maternelle au secondaire, des modules d'éducation aux médias et au numérique, comprenant notamment une sensibilisation à l'impact émotionnel des images, l'intégration progressive d'une notion de « citoyen en ligne », une déculpabilisation à l'acte de signalement, une sensibilisation aux phénomènes de groupe et une information associée à la responsabilisation de leurs actes.

Cela me permet de rebondir sur un point de l'étude d'impact qui m'a particulièrement interloquée : les impacts sur la jeunesse y sont qualifiés par le terme « néant ». Je n'ai pas les codes pour savoir ce que sous-tend, dans le cadre d'un projet de loi, la notion d'impacts sur la jeunesse, mais pour la psychologue que je suis, ce terme m'apparaît comme un non-sens. L'article 5 du projet de loi doit évidemment avoir un impact sur la jeunesse ! La sanction qu'il porte doit avoir valeur d'apprentissage ; elle doit affirmer la centralité de la loi et des règles, que ce soit dans l'espace public réel ou dans l'espace numérique, ce qui favorisera le vivre ensemble et la société ; elle doit permettre de rendre un sujet responsable, à même d'assumer les conséquences de ses actes. Il doit donc y avoir un « après la sanction », c'est-à-dire un accompagnement qui n'oublie personne : harceleurs, témoins et victimes.

Mme Catherine Morin-Desailly, présidente. - La question éducative est effectivement essentielle, mais il faut distinguer ce qui relève de la loi et ce qui relève de son application par décret, puis au travers de l'élaboration des programmes éducatifs. Aujourd'hui, ces sujets sont déjà inscrits au coeur du code de l'éducation. De longue date, le Sénat a légiféré en ce sens. Ainsi, en 2011, nous avons instauré une obligation de formation et de sensibilisation des élèves aux risques et aux menaces de l'Internet. Puis nous avons de nouveau amendé la loi du 26 juillet 2019 pour une école de la confiance afin de spécifier ce que doit être la formation des formateurs dans ce domaine très précis. Maintenant, nous devons contrôler l'application de la loi. Aidez-nous à le faire !

M. Loïc Hervé, rapporteur. - Les interventions ayant été très complètes et fouillées, je souhaiterais plutôt livrer une réflexion.

Nous sommes bien conscients de la période dans laquelle s'inscrit notre travail : un accord vient d'être trouvé en commission mixte paritaire sur la majorité numérique ; nous attendons une décision de justice ; le Digital Markets Act (DMA) et le Digital Services Act (DSA) entreront sous peu dans l'ordre juridique français ; de nouveaux textes européens sont en cours de négociation ; certains textes de loi entrent à peine en vigueur, avec des effets juridiques qui pourront seulement être mesurés après quelques mois ou quelques années.

À vous entendre, si je schématise, il faudrait se contenter d'appliquer les dispositions existantes, attendre et voir si cela fonctionne... Il me semble au contraire qu'il faut accélérer et « massifier » le dispositif car, en réalité - toutes les auditions le montrent -, rien n'est réglé. Non seulement les affaires portées devant l'autorité judiciaire tardent à obtenir un jugement, mais elles sont également très peu nombreuses. Cela me fait penser à l'excision : des milliers de jeunes filles vivant en France sont concernées, mais aucune affaire n'est portée devant les tribunaux !

L'idée de confier à l'Arcom la définition d'un cahier des charges précis des techniques par lesquelles on pourrait tenter de contrôler l'âge des personnes consultant des sites pornographiques est donc une tentative et, dans un contexte où il faut « massifier », essayons de rendre la rédaction plus opérationnelle, mais ne tournons pas le dos à cette nouvelle tentative. Je le dis sans méconnaître les difficultés techniques posées, ni aucune des difficultés liées aux messageries instantanées, à la double anonymisation ou encore au simple fait que, dans certaines familles, les enfants ont accès aux cartes bancaires.

Notre commission spéciale ne fait que saisir une occasion. Ce texte aurait pu ne pas exister - les règlements européens ne l'exigent pas forcément -, mais certains points devaient être précisés et le Gouvernement a tenu à insérer les premiers articles du texte. Je vois difficilement comment le Parlement, en particulier le Sénat, ne pourrait pas saisir cette occasion pour progresser sur ce sujet, fondamental pour la jeunesse de notre pays.

Mme Laurence Rossignol. - Je pense, comme vous, monsieur Melon, que l'efficacité des trois premiers articles du texte est sujette à caution. Vous dites même que le dispositif envisagé pourrait s'avérer contre-productif. Cependant, quel autre dispositif pourrions-nous mettre en oeuvre ? À mon sens, la pornographie est toxique pour tous, non pour les seuls mineurs. Idéalement, nous devrions être capables d'imposer la fermeture d'un site Internet en cas de non-respect de la disposition de la loi du 30 juillet 2020 concernant l'accès de ses contenus aux mineurs. Nous ne devrions pas avoir à nous engager dans des séries de référentiels ou de procédures comme celles que prévoit le texte. Vous avez raison par ailleurs de souligner que l'on n'entend dire par aucune autre entité, comme on l'entend de la part des grandes entreprises de l'industrie pornographique, qu'elle ne respecte pas la loi parce que l'État ne lui donne pas les moyens de le faire.

Nous butons toujours sur le même sujet : le postulat du nécessaire respect de l'anonymat et de la vie privée des consommateurs de pornographie. En réalité, il existe des continuums entre la pornographie, la pédocriminalité et le viol. Un article paru aujourd'hui dans Le Monde fait ainsi état d'une affaire criminelle survenue dans le Vaucluse, au cours de laquelle cinquante personnes ont été mises en examen pour viol, dans les ordinateurs desquelles des milliers d'images de viols et d'images pédopornographiques ont été retrouvées. Ces continuums ne sont, bien sûr, pas systématiques, mais il faut les avoir à l'esprit.

Or nous butons toujours sur la même question : qu'est-ce qui justifie que les consommateurs de pornographie aient droit à l'anonymat qu'aucun autre usager d'Internet ne revendique par ailleurs ? Pourquoi ce qui fonctionne pour les sites de jeux en ligne ne peut-il pas s'appliquer aux sites pornographiques ? Je n'ai toujours pas compris cela. Nous pourrons poser cette question au Conseil constitutionnel à l'occasion d'une QPC.

En l'état, le texte suscite une grande frustration, car nous avons l'impression de vider la mer à l'aide d'une petite cuillère.

Mme Marie Mercier. - Je partage ce qui a été dit : au travers de ce texte, nous avons l'impression de radoter. Une loi impose le contrôle de l'âge pour le visionnage de sites pornographiques. Nous savons contrôler l'âge dans l'univers numérique. Or cela ne fonctionne pas ! Certes, l'anonymat est demandé par les usagers sur les sites gratuits, mais qu'en est-il des sites pornographiques payants ? Pourquoi butons-nous sur le problème du contrôle de l'âge, alors qu'il ne se présente pas pour le cas des sites de jeux en ligne ? Il y a là des raisons qui nous échappent.

Un nouveau texte vient donc s'ajouter aux lois existantes. Il est déjà obligatoire de s'assurer que des contenus réservés aux adultes ne tombent pas sous les yeux des enfants. Or nous n'arrivons pas à effectuer ce contrôle, et ce texte ne nous permettra pas d'y arriver davantage.

L'article 15 du texte m'a par ailleurs beaucoup ennuyée : on ne voit pas pourquoi le Gouvernement réussirait davantage avec des ordonnances là où la loi échoue concernant le contrôle des jeux comportant l'achat, l'usage ou le gain d'objets numériques monétisables.

M. Patrick Chaize, rapporteur. - Il est hors de question que nous laissions cet article en l'état.

Mme Catherine Morin-Desailly, présidente. - Nous l'avons dit d'emblée au ministre délégué chargé de la transition numérique et des télécommunications.

M. Loïc Hervé, rapporteur. - Les contenus payants font l'objet d'un contrat. C'est l'existence de ce dernier et du paiement associé qui crée l'identification de la personne qui y accède. L'enjeu du texte est de fournir une réglementation et une régulation en l'absence de contrat, pour des contenus non soumis à une identification préalable.

Mme Annick Billon. - Lorsqu'Alexandra Borchio Fontimp, Laurence Cohen, Laurence Rossignol et moi-même avons démarré les travaux relatifs à notre rapport d'information intitulé Porno : l'enfer du décor, en janvier 2022, le regard porté sur l'industrie pornographique était assez édulcoré. Depuis, la situation a évolué. Nous avons mis en avant le fait que ces images étaient consultées par de très nombreux mineurs, et l'existence d'une porosité entre la pornographie, le proxénétisme, et la prostitution. Nos travaux ont suscité des réactions.

Le texte qui nous occupe ne va peut-être pas assez loin, mais il a l'avantage de présenter quelques propositions. Nous devons tout mettre en oeuvre pour rendre la vie impossible aux entreprises de ce secteur, qui ne respectent pas la loi quand elle existe. Une véritable éducation au corps est par ailleurs nécessaire, car les enfants sont exposés à des images pornographiques dès l'âge de huit ou neuf ans.

Il faut que vous nous aidiez à améliorer ce texte pour rendre la vie impossible à ces entreprises, souvent hébergées dans des paradis fiscaux et qui génèrent beaucoup d'argent, en leur imposant de lourdes sanctions.

Vous avez tous mentionné l'importance de mobiliser des moyens pour faire respecter la loi. Il revient aux entreprises de l'industrie pornographique de se mettre en conformité avec la loi. Ce n'est pas à un organisme extérieur, a fortiori à l'État, de les aider à le faire. Il incombe à ces entreprises de faire en sorte que les images qu'elles véhiculent ne soient pas accessibles aux mineurs, et que toutes les images qui contreviennent à la loi - images de viols, à caractère raciste, ou relevant de la pédocriminalité - soient bloquées.

Nous sommes intéressés par toutes les pistes que vous pourriez proposer pour renforcer en la matière la protection des mineurs et de toute la société, car ces images ne sont pas nuisibles seulement pour les mineurs.

Mme Toine Bourrat. - Quelle est votre position sur la levée de l'anonymat et du pseudonymat sur Internet, sachant que le second permet de multiplier les comptes à l'infini ?

Mme Alexandra Borchio Fontimp. - Que pensez-vous de la possibilité de fusionner les plateformes d'appel 3018 et 3020, évoquée dans le cadre de la proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, dont j'étais rapporteure ? Cette possibilité avait été envisagée pour améliorer leur visibilité.

Quel est votre point de vue concernant l'idée, portée par cette proposition de loi, de replacer l'autorité parentale au coeur de la famille pour responsabiliser les enfants, et la création d'un « permis d'Internet » ? Une meilleure éducation à la sexualité est en effet indispensable.

Enfin, j'envisage de présenter un amendement visant à responsabiliser les boutiques d'applications et les systèmes d'exploitation, qui concourent également à l'accès aux contenus pornographiques. Ces sociétés doivent se montrer vigilantes en ce domaine, car elles disposent des données permettant de le faire.

Mme Catherine Morin-Desailly, présidente. - Cet amendement, sur lequel j'avais travaillé avec Annick Billon et vous-même pour un texte antérieur, trouvera toute sa place dans le projet de loi dont nous discutons.

André Reichardt a été co-rapporteur de la proposition de résolution européenne visant à prévenir et combattre les abus sexuels sur les enfants. Le sujet est pris très au sérieux en Europe, où l'on s'interroge sur une législation ad hoc.

M. André Reichardt. - À titre informatif, outre les données chiffrées relatives aux consultations des sites pornographiques gratuits, connaissons-nous les chiffres des consultations des sites pornographiques payants ?

Par ailleurs, l'obligation faite à l'Arcom dans le texte de fournir des lignes directrices pour contrôler la majorité des personnes qui visionnent des contenus pornographiques risque d'avoir peu d'effet. Existe-t-il une autre façon de procéder que l'on pourrait inscrire dans le projet de loi, pour parvenir à un contrôle obligatoire efficace de cette majorité ?

M. Olivier Gérard. - La disposition contenue dans l'article 15 du texte nous a également surpris, la voie d'ordonnance ne nous semblant pas appropriée compte tenu de l'importance des enjeux relatifs à la protection de l'enfance sur Internet.

Mme Catherine Morin-Desailly, présidente. - Il n'est pas question de laisser cette partie du texte en l'état. Le Sénat aime peu les ordonnances de toute façon.

M. Olivier Gérard. - La simplification des plateformes d'appel est une demande que l'on entend beaucoup sur le terrain. On se perd en effet dans les numéros existants, et l'on renvoie à l'enfant ou au parent concerné la responsabilité de choisir entre l'un ou l'autre. Une simplification est donc nécessaire pour clarifier et faciliter l'accès du grand public aux plateformes d'appel - via un guichet unique, par exemple.

Il est important par ailleurs de redonner une place aux parents, afin qu'ils exercent véritablement leur rôle auprès de leurs enfants. Des dispositifs d'accompagnement et de sensibilisation pourraient être envisagés. Une réflexion est en outre en cours autour d'une certification « Pix parents », reprenant les compétences requises pour accompagner les enfants sur Internet, qui doit aboutir fin 2024 ou début 2025.

Je n'ai pas d'informations par ailleurs sur les chiffres des consultations des sites pornographiques payants.

M. Arthur Melon. - Nous sommes les premiers à déplorer la longueur des délais de justice. Celle-ci tient toutefois à des manoeuvres dilatoires engagées par les plateformes concernées. Une nouvelle procédure a en outre dû être lancée en raison d'un vice de procédure imputable à l'Arcom, qui a entraîné un retard de plusieurs mois pour la citation des fournisseurs d'accès à Internet devant le tribunal judiciaire.

L'injonction de médiation prononcée durant la première audience entre l'Arcom, les fournisseurs d'accès à Internet et les plateformes pornographiques nous a par ailleurs surpris, car elle revenait à demander à un régulateur chargé de faire respecter la loi de négocier avec des structures qui ne la respectent pas.

Un arrêt du Conseil constitutionnel découlant d'une QPC et rendu au printemps explique également la longueur de la procédure judiciaire engagée.

Faire passer les décisions par le juge prend donc du temps. Toutefois, rien ne garantit que l'Arcom fasse le travail plus rapidement que les magistrats, du fait des incertitudes sur les moyens qui lui seraient alloués dans ce cadre.

Mme Catherine Morin-Desailly, présidente. - La question des moyens n'est pas neuve. L'Arcom se voyant octroyer plus de missions, des amendements seront déposés lors de l'examen du prochain projet de loi de finances pour augmenter, de manière générale, les moyens alloués aux autorités de régulation.

M. Arthur Melon. - Le Cofrade, l'Open et l'Unaf ont saisi l'Arcom fin août à l'encontre de Twitter, qui laisse des contenus pornographiques, pédopornographiques et zoophiles sur sa plateforme. À ce jour, aucune suite n'a été donnée à cette saisine.

Il est assez curieux par ailleurs de voir combien les plateformes pornographiques bénéficient d'une sorte de régime d'exception concernant le respect de la vie privée. Quand il s'agit de connaître la religion, l'orientation sexuelle ou politique de quelqu'un sur les réseaux sociaux, cela ne pose pas problème. Or dès qu'il est question de pornographie, cela devient très important. Pourquoi un tel régime d'exception ? Je rappelle que la Cour de cassation a estimé que la loi actuelle avait des moyens proportionnés par rapport à l'exigence de protection des mineurs. Nous devrions donc être moins regardants sur la protection des données personnelles lorsqu'il s'agit de protéger des mineurs.

M. Loïc Hervé, rapporteur. - Le texte prévoit la définition d'un cahier des charges technique, qui fera l'objet d'une délibération de l'Arcom après avis de la Cnil. Des opérations de vérification du contrôle de l'âge pour le visionnage d'images pornographiques seront ensuite effectuées, assorties d'un régime de sanctions. Il ne s'agit donc pas simplement d'affirmer une obligation. Confier cette tâche à l'Arcom est un choix politique qui sera posé ou non au travers de ce texte de loi. Il faudra évidemment renforcer les moyens qui lui sont alloués.

Par ailleurs, il n'est pas certain que le fait de passer par une autorité administrative indépendante plutôt que par le juge judiciaire fournisse une réponse plus efficace et plus massive au problème dont nous parlons. Ce choix devra être posé par le législateur. Il reste qu'en l'absence d'un tel choix nous en resterons au droit actuel, dans le cadre duquel très peu d'affaires sont portées devant les tribunaux, et les délais de jugement sont très longs.

L'expression « manoeuvres dilatoires » relève du jugement de valeur. La juridiction judiciaire repose en effet sur la base du contradictoire. Toutefois, l'opération de médiation ordonnée par le juge m'a également surpris, mais cela s'est fait dans le respect du fonctionnement ordinaire des juridictions judiciaires.

M. Arthur Melon. - L'enquête de Médiamétrie commandée par l'Arcom montre que 60 % des contenus pornographiques consommés par les mineurs proviendraient de cinq plateformes gratuites. Je ne sais pas comment se répartissent les 40 % de contenus restants entre les plateformes gratuites et payantes, mais je pense que les premières sont majoritaires.

Si le tribunal demande le 7 juillet prochain aux fournisseurs d'accès de suspendre les plateformes pornographiques, gageons qu'elles trouveront tout de suite une solution technique pour se mettre en conformité avec la loi et pouvoir republier leurs contenus. La question des difficultés techniques relève plutôt du prétexte. Je serais d'ailleurs curieux de voir, une fois qu'une décision de sanction aura été prise à l'encontre de l'une d'entre elles, la créativité que déploieront les autres plateformes pour trouver des solutions permettant de contrôler l'âge des internautes.

Mme Toine Bourrat. - Je rappelle ma question sur le pseudonymat sur Internet ?

Mme Angélique Gozlan. - Il s'agit d'un enjeu important, car l'usage de pseudonymes favorise la levée des inhibitions et augmente le nombre d'inconduites sur les réseaux sociaux. Il participe en outre aux pratiques agressives et aux diffamations en masse comme le trolling et les raids. Cependant, derrière le pseudonyme se trouve toujours une adresse IP. On rejoint ici la question de la protection des données personnelles. Néanmoins, une levée du pseudonymat pourrait être envisagée en cas de cyberharcèlement.

Mme Catherine Morin-Desailly, présidente. - Le texte qui nous occupe est un texte d'application d'au moins trois règlements européens, auxquels s'ajoute le Data Act, par anticipation. Il a fait l'objet de négociations entre les États membres.

Une solution extrême au problème de l'accès des mineurs aux contenus pornographiques consisterait à responsabiliser les plateformes en leur conférant un troisième statut, entre hébergeur et éditeur, et en remettant en cause leur modèle économique. C'est celui-ci en effet qui rend possibles ces dérives, car elles sont rémunératrices. En l'occurrence, le texte propose un compromis, et constitue à ce titre une étape vers une possible amélioration de la situation.

Les crimes qui ont été évoqués restent condamnables, par une justice qui demeure trop lente. Cependant, le sujet principal reste notre difficulté à avoir prise sur ces plateformes, que l'on a laissé prospérer. Une étape comme celle-ci est nécessaire pour tenter de reprendre la main. Si le texte n'est pas parfait, il a le mérite de construire une prise de conscience collective pour que tout le monde se mette en ordre de marche dans cette direction.

La commission spéciale n'en est encore qu'à l'étape des auditions. Vous entendre aujourd'hui nous a permis de rappeler l'importance de faire valoir les dispositions qui existent déjà dans la loi, et le travail considérable qu'il nous faut mener sur les moyens dédiés à l'évaluation et au contrôle réguliers, par le Parlement, de leur application. Merci de votre éclairage. Nous serons attentifs à tout cela.

Ce texte s'appliquera uniformément dans tous les États membres. Cela est d'autant plus important que les réseaux pédopornographiques sont souvent transfrontaliers. Il faut appréhender cette question de façon transnationale, d'où l'importance d'un socle minimal de législation harmonisé au niveau européen.

Les thèmes associés à ce dossier