Mardi 8 Avril 2014
Présidence de M. Gaëtan Gorce, président
Audition de M. Thierry Breton, ancien ministre de
l'économie, des finances et de l'industrie, président
directeur-général d'Atos,
chargé de deux missions sur
le cloud par le Gouvernement
et par la Commission européenne
Mme Catherine Morin-Desailly , rapporteure . - Je vous remercie, Monsieur le Ministre, de vous être rendu disponible pour nous apporter votre éclairage sur la question de la gouvernance mondiale d'Internet et sur la nouvelle stratégie de l'Union européenne dans ce domaine. Nous vous avons sollicité parce que vous avez été chargé de deux missions sur le cloud , par le Gouvernement et par la Commission européenne. Pouvez-vous nous présenter les grandes lignes des conclusions que vous en dégagez aujourd'hui ?
M. Thierry Breton . - Merci madame la rapporteure. Je suis très heureux de me trouver ici. Le sujet que nous abordons est essentiel pour la nation comme pour l'Europe ; j'y travaille depuis longtemps, puisque j'ai été sollicité dès 1993 pour conduire une réflexion sur l'enseignement des technologies du futur à l'Université de Troyes : j'en discutais d'ailleurs à l'instant avec M. Adnot.
Je dois dire que j'ai trouvé l'intitulé de votre mission « Nouveau rôle et nouvelle stratégie pour l'Union européenne dans la gouvernance mondiale de l'Internet » un peu réducteur. Car que savons-nous de ce que sera l'Internet dans cinq ou dix ans ? Existera-t-il encore ? Internet n'est rien de plus qu'un protocole permettant l'échange et le stockage des données. Le vrai sujet est selon moi celui des données ; il est essentiel pour les entreprises comme pour nos compatriotes : ce sont les données qui seront la richesse de demain. Nous générons aujourd'hui tous les dix-huit mois autant de données que l'humanité en a créé depuis la nuit des temps. Ce bouleversement s'accompagne de nouvelles capacités de création de richesses et d'innovation.
Le principal moteur de l'innovation est aujourd'hui la proximité des données. La différence est considérable entre l'accès à des données stockées dans un environnement proche et celui à des données stockées ailleurs, dans d'autres environnements, avec d'autres régulations.
J'en viens à la mission que je mène avec Jim Snabe, co-président de SAP. Jim Snabe et moi-même faisons partie de l 'European Cloud Partnership , de même qu'Hubert Tardieu, patron de la communauté scientifique chez Atos, qui m'accompagne ici, et Olivier Cuny, mon directeur de cabinet. Hubert Tardieu et moi-même avons travaillé à définir, au niveau européen, un cadre permettant la création de l'espace de confiance nécessaire au développement du cloud . Les données des Européens doivent être stockées et processées en Europe. C'est là un point sur lequel il ne faut pas transiger : nos données nous appartiennent. Nous préconisons donc qu'une politique d' opt-in , de consentement préalable, soit mise en oeuvre par les pays qui s'accordent sur une approche régulatrice du traitement et du stockage des données. Elle sera possible si l'Allemagne et la France s'entendent pour l'initier.
Nous avions développé notre réflexion avant que les révélations d'Edward Snowden n'interviennent l'été dernier. Il est de notre responsabilité et de celle du législateur de se préoccuper des problèmes qu'elles ont révélés. Concevrait-on que les données des Chinois soient traitées en dehors de Chine, ou que les données financières des Américains le soient en dehors des États-Unis ?
Il faut aller vite. Après avoir réglementé au fil des siècles l' espace territorial, l'espace maritime et l'espace aérien, il faut maintenant instituer des règles communes pour l'espace informationnel. Nous sommes parvenus, après une période erratique, à un bon alignement des positions des pouvoirs publics français avec celles que nous défendons au niveau européen. C'est ainsi que nous créerons un espace de confiance.
La protection des données doit être adaptée à leur nature et à leur usage. Encore une fois, l'élément décisif est la confiance. Depuis l'été dernier, beaucoup d'entreprises et de gouvernements hésitent à passer en mode cloud ; il permet pourtant la mutualisation des structures informatiques, la réduction des coûts et surtout le passage en paiement à l'usage (du type pay per view ). Il est vrai que cela n'est pas sans poser problème pour le recouvrement de la TVA.
Nous plaidons pour l'instauration de règles exigeantes de qualité de service ( Service level agreement ). Devenir opérateur de données n'est pas une fonction anodine. Pourquoi ne pas envisager qu'il faille pour cela une licence professionnelle spécifique ? Il faut bien une licence pour tenir un débit de boisson... Il suffirait que trois ou quatre pays européens se mettent d'accord sur ce point. Cette espèce de « permis de conduire » serait imposée aux opérateurs étrangers intervenant en Europe. Pour traiter des données en Europe, c'est la loi européenne qui doit s'appliquer. Les acteurs accepteront d'autant mieux de confier leurs données à des prestataires que ceux-ci seront assujettis à des législations qu'ils connaissent.
Il faut pour cela concilier des approches aujourd'hui différentes. Nos amis allemands ont tendance, depuis l'été dernier, à se replier sur eux-mêmes. Le couple franco-allemand pourrait pourtant être un élément moteur pour la création de cet espace de confiance. Il suffirait que soit mise en place une régulation simple avec un niveau de sécurité uniforme. La France a eu jusqu'ici un rôle très moteur dans cette affaire. Elle a réussi à entraîner certains de ses partenaires, y compris nos amis britanniques, pourtant réticents.
Venons-en à présent au second aspect de la question. Arnaud Montebourg m'avait confié la mission de réfléchir, avec Octave Klaba, fondateur d'OVH, aux manières d'optimiser le cloud . C'était là l'un de ses 34 « projets d'avenir ». Nous avons procédé à une très large consultation des acteurs français. Il en résulte aujourd'hui un document finalisé assez exhaustif. Parmi ses principales conclusions figure le rétablissement de la confiance nécessaire pour que les acteurs économiques fassent appel au cloud , puisque cela implique qu'ils acceptent de confier leurs données à des tiers. On y parviendra par la création d'une labellisation secure cloud , équivalente à un permis d'opérer.
Nous insistons par ailleurs sur l'opportunité de développer des applications destinées aux collectivités locales, comme il en existe déjà en Grande-Bretagne. Il est vrai que notre système fiscal ne les incite pas à y recourir, notamment du fait des difficultés induites par notre fiscalité : il est possible de récupérer la TVA sur l'investissement, pas sur le fonctionnement.... C'est là un combat à mener pour ces collectivités.
Nous avons enfin défini des critères pour que l'écosystème soit favorable au cloud . Opérer des plateformes de cloud est très consommateur d'énergie. Une plateforme Amazon, par exemple, consomme à peu près autant qu'une ville de 10 000 habitants. Il faut donc disposer d'une bonne qualité de courant et d'une bonne prévision de prix. Dans ces conditions, le parc nucléaire français représente une carte importante à jouer. Autant de raisons pour lesquelles l'État doit intervenir dans cette transition.
Mme Catherine Morin-Desailly , rapporteure . - La question des données est au coeur de notre réflexion. Comme vous, nous n'avons pas attendu l'affaire Snowden pour nous la poser. Comment est-il possible, selon vous, d'assurer un service sécurisé du cloud tant que l'Europe ne maîtrise pas tous les facteurs matériels et logiciels qui soutiennent ce service ? La seconde question résulte de l'asymétrie entre juridictions européennes et américaines. Les États-Unis peuvent avoir la mainmise sur des données même si elles sont stockées en Europe. De ce point de vue, comment analysez-vous le projet de règlement européen actuellement en discussion ?
M. Thierry Breton . - Vous faites référence au Patriot Act . Je vous répondrai en tant que chef d'entreprise et que prestataire de traitement de données. Nous constatons aujourd'hui une préoccupation systématique de nos clients tant pour leurs propres données que pour leur responsabilité vis-à-vis de leurs clients. Il est indispensable que l'Union européenne prenne sur ce point une position ferme. La période est favorable pour ouvrir des discussions bilatérales avec les États-Unis, mais les Européens doivent s'y présenter groupés. Or depuis quelques mois l'Allemagne tend à faire cavalier seul, ce qui m'inquiète.
Mme Catherine Morin-Desailly , rapporteure . - Comment avez-vous compris l'appel de Mme Merkel à la constitution d'un Internet européen ?
M. Thierry Breton . - Il faut distinguer la question du stockage de celle des flux. Pour des raisons sans doute historiques, l'Allemagne a une relation passionnelle à la protection des données. C'est là une question à laquelle il faut une réponse politique. Vous aurez à réguler ce quatrième espace, de même que vous êtes déjà législateurs des trois premiers : comme il y a des sénateurs spécialistes du droit maritime ou aérien, il faudra des spécialistes non du droit d'internet, mais du droit informationnel.
Nous pourrions très bien faire comme les Américains et les Chinois : demander que les routeurs soient localisés sur le territoire européen, et qu'ils répondent aux règles européennes. On en revient au Patriot Act ...Il est curieux que dans un monde totalement délocalisé, globalisé et dématérialisé, la territorialité existe pour le stockage et pour le flux des données ! Il n'y a pas d'autres solutions ; les Européens doivent avoir la force de le dire, sans apparaître rétrogrades : un continent de 565 millions d'habitants peut parfaitement agir comme un continent de 380 millions ou un autre de 1 200 millions.
Mme Catherine Morin-Desailly , rapporteure . - Pour l'instant, l'Europe ne nous semble pas maitriser tous les aspects du cloud .
M. Thierry Breton. - Les routeurs sont devenus des commodities . Plutôt que d'interdire ceux qui sont fabriqués en Chine, il vaudrait mieux s'en tenir au principe selon lequel une technologie doit répondre à un certain nombre de normes pour être utilisée sur un territoire donné. Nous avons besoin d'utiliser une technologie ouverte et mondiale, et pas d'en recréer une. J'ai eu à gérer, en 1975, la fin du Plan Calcul : ne nous mettons pas dans une situation intenable sous prétexte d'être indépendants. La solution réside dans la création d'un espace régulé et ouvert. Un contrôle a posteriori est bien préférable à un procès d'intention. Il nous faut accepter les technologies, sans avoir la naïveté d'oublier de leur appliquer nos règles.
Mme Catherine Morin-Desailly , rapporteure. - Quel bilan faites-vous du grand emprunt dans son financement du projet de cloud français? La presse a également rapporté vos propos : « l'industrie des télécoms brûle et nous regardons ailleurs »...
M. Thierry Breton. - Je ne me suis pas fait beaucoup d'amis avec cette formule.
Mme Catherine Morin-Desailly , rapporteure . - Quels sont les grands axes d'une politique efficace ?
M. Thierry Breton. - Le grand emprunt vient juste de démarrer. Il est difficile d'en faire le bilan. Un bon système et des règles de droit claires, appliquées à tous, valent mieux que des démarches protectionnistes. Qu'est-ce au juste qu'un cloud souverain ? Pour le gouvernement chinois, à Hong Kong, nous effectuons sur notre propre cloud la comptabilité, la paye, le contrôle d'accès en Chine, les transports. Le cloud appartient à une société française, qui respecte les règles strictes qui lui ont été imparties.
La tribune du Monde a été publiée au moment où le gouvernement précédent, celui de M. Fillon, avait décidé, ce qui a été une énorme erreur, d'octroyer une quatrième licence de téléphonie mobile. Elle était parue sous le titre « Free menace l'innovation en France », ce qui ne correspondait pas à mon propos. La régulation des télécoms en France et en Europe a été marquée par une erreur tragique. Nous nous retrouvons avec une centaine d'opérateurs, contre quatre aux États-Unis et trois en Chine. Les lobbyistes vous expliqueront que c'est bien. Il est vrai qu'en réduisant le nombre des opérateurs à quatre ou cinq, on a 80 % des parts de marché. Ce système est néanmoins destructeur de valeur.
L'Europe et la France étaient leaders sur ces marchés. Quand en 1999, chez Thomson, j'ai lancé la télévision sur ADSL, avec Serge Tchuruk, président d'Alcatel et Martin Bouygues, en 1999, nous étions les premiers. En tant que président de France Télécom, j'ai ensuite déployé le réseau ADSL afin que la télévision soit accessible sur l'ensemble du territoire national. La France a également été l'inventeur du GSM. Et voilà que notre industrie des télécoms sert à financer la dette que des personnes physiques ont contractée pour devenir les opérateurs d'un bien public. Les capacités de financement que nous avions créées sont réduites comme peau de chagrin, alors que nous sommes à la veille d'une vague gigantesque d'investissements pour le haut débit, la fibre ou la 5G.
Il est urgent de revoir notre régulation. J'ai un grand respect pour les entrepreneurs français, pour Iliad et Free qui saisissent les opportunités intelligemment. SFR s'est bien développée. Bouygues a montré son sens de l'innovation en s'alliant avec Do Communications over the Mobile Network (Docomo), au Japon. Il n'en reste pas moins que le système actuel n'est pas adapté aux enjeux. Il est temps de le réformer. Nous en avons parlé avec M. Silicani. Lors de la création de l'Arcep, j'avais mentionné dans les missions du régulateur, l'importance de l'innovation et de l'emploi. L'Arcep semble les avoir oubliés. Il serait bon que le parlement les lui rappelle.
Mme Catherine Morin-Desailly , rapporteure . - Vous avez préconisé le rapprochement de l'Arcep, dont nous avons auditionné le président, avec le CSA. Qu'est-ce qui justifie la fusion plutôt que le rapprochement ?
M. Thierry Breton. - Le CSA est assez proche des télécommunications. La concentration des opérateurs de télécommunications est inévitable, à terme. Il s'agit toujours de transférer des données. On commence à le dire en Europe, on va le dire en France. L'allègement de leurs tâches laissera aux autorités de régulation en France le loisir de traiter d'autres questions, comme par exemple celle des données qu'il serait très utile d'unifier. L'autorité de régulation des télécoms a accompagné le passage d'un monde dominé par le contrôle étatique à un monde plus libéral. Dans la phase de concentration des opérateurs, l'Autorité de la concurrence est bien plus présente que l'Arcep.
Mme Catherine Morin-Desailly , rapporteure . - Quelles sont les contraintes qui pèsent sur les entreprises, au-delà de la régulation ?
M. Thierry Breton. - En France, dans le domaine spécifique des télécommunications et des nouvelles technologies, où j'ai travaillé, les contraintes sont liées au droit du travail ou à certaines rigidités. Lorsque j'étais à la tête de France Télécom, il incombait au régulateur de mener un travail d'accompagnement et de transition, dans un contexte de privatisation du secteur. Je n'ai pas eu de problème à l'époque. Des dérives sont apparues quand on est allé trop loin, notamment avec l'attribution de la quatrième licence.
La spécificité du système fiscal est une autre contrainte. Vous avez beaucoup travaillé sur le système fiscal, au parlement. Dans l'émission de radio Le vrai faux de l'info , j'ai dit qu'au cours du dernier quinquennat, chaque jour ouvré voyait une nouvelle disposition fiscale. Le journaliste a confirmé mon propos, disant qu'il était en-dessous de la réalité. La mauvaise nouvelle, c'est que cette inflation fiscale perdure et les entreprises sont contraintes de s'y adapter.
Mme Catherine Morin-Desailly , rapporteure . - Qu'en est-il du projet Bluekiwi, projet européen des réseaux sociaux ?
M. Thierry Breton. - Le mail est un instrument archaïque et linéaire. Nos collaborateurs passaient 16 heures à traiter leurs mails, soit la moitié de leur temps de travail. Or, seulement 12 à 15% de ces courriers électroniques sont utiles. Atos vend de la productivité, de l'innovation technologique et du confort ; c'est également ce que nous recherchons pour notre entreprise. J'ai décidé que nous serions la première entreprise au monde à fonctionner avec zéro mail. Un plan zéro mail a été lancé, il y a trois ans. Un comité scientifique a recherché des technologies mettant en oeuvre d'autres systèmes de collaboration et de coopération. Nous avons acheté Bluekiwi, une start-up française, que nous avons intégrée et développée. Trois ans plus tard, le nombre de mails en interne a diminué de 60 %, l'objectif étant poussé à 8 % en juin prochain parce qu'un socle de 2 % reste indispensable. Gartner nous suit avec attention, car c'est une première mondiale.
Dans notre groupe, nous avons désormais plus de 3 500 communautés qui travaillent entre elles. Le travail peut se faire par communauté (marketing, juristes...) ou par contrat. Une vue d'ensemble s'est substituée à la linéarité, assurant gain de temps, souplesse et facilité. D'autres outils complètent Bluekiwi, comme SharePoint, la messagerie instantanée ou tout simplement la communication verbale - pourquoi s'envoyer un mail, quand on peut se parler ?
M. André Gattolin . - La question de la consommation énergétique du cloud est importante, celle de la sécurisation ne l'est pas moins. Si l'alimentation du système n'est pas garantie ou est concentrée dans certains endroits stratégiques, quels modèles sont-ils envisagés ? Si une centrale nucléaire est protégée et qu'un autre objet stratégique la côtoie, fonctionnent-ils indépendamment ou bien leur protection est-elle liée ?
M. Philippe Adnot . - Je salue la capacité prospective de M. Breton. Lorsqu'il était patron de Thomson, j'ai demandé à y faire un stage, car je voulais savoir comment une entreprise offerte pour un franc aux Coréens avait pu être valorisée en bourse à 100 milliards, trois ans plus tard. La consommation énergétique du stockage des données, des data centers et du cloud représente un enjeu colossal. Une innovation consisterait à récupérer la chaleur qu'ils émettent plutôt que de consommer de l'énergie pour les refroidir. Est-ce crédible ? Dans l'Aube, nous avons développé une régulation de l'énergie par stockage par volant d'inertie. Cette technique a un taux de rendement extraordinaire.
M. Thierry Breton. - Traiter des données n'est pas un travail anodin. Cela requiert un certain nombre d'éléments de régulation et une qualité de service qui consiste par exemple à s'assurer pour les télécoms qu'il y a une double boucle. Nous traitons des dizaines de millions de mails de nos compatriotes dans nos data centers . Nous respectons des consignes très strictes de sécurisation pour l'alimentation en énergie ou pour basculer immédiatement sur des générateurs et des onduleurs sur site. Notre fuel est contrôlé chaque semaine pour éviter que des particules impropres ne le bloquent. Nous disposons également de deux sites pour la quasi-totalité des infrastructures que nous opérons, dont l'un est utilisé en back-up et en miroir de l'autre, sur un autre lieu. Dans le secteur bancaire, nous sommes le premier opérateur européen en matière de paiements électroniques. Juste avant Noël, un problème d'infrastructures en Belgique menaçait de paralyser 80% des transactions par carte. Il ne nous a fallu qu'une heure vingt pour rebasculer le système vers notre site miroir.
M. André Gattolin . - C'est de la défense stratégique !
M. Thierry Breton. - Nous sommes des opérateurs privés et nous devons répondre aux contraintes de nos clients, lesquelles peuvent être extrêmement strictes quand il s'agit du gouvernement chinois de Hong Kong ou de la défense britannique ou allemande. Puisque le cloud peut comporter toutes sortes de données, stratégiques ou non, une régulation est indispensable.
M. Philippe Adnot . - Qu'en est-il des innovations consistant à faire éclater encore un peu plus le stockage pour récupérer plus facilement l'énergie, et transformer une charge en profit ?
M. Thierry Breton. - Des groupes comme Schneider Electric y travaillent. Ce qui est coûteux, c'est le refroidissement dans la gestion des data centers . On est à la limite de la loi de Moore : on ne peut pas réduire la concentration des processeurs intégrés sur une puce, compte tenu de l'échauffement. Le refroidissement devient un enjeu essentiel. Nous disposons d'un data center très moderne, qui est situé en Finlande, car l'accès aux fjords facilite le refroidissement.
M. Philippe Adnot . - Qu'en est-il de l'utilisation de cette chaleur pour remplacer une autre énergie ?
M. Thierry Breton. - C'est un vrai sujet. Il y a des projets, celui des barges géantes, par exemple. À partir du moment où l'on double le nombre des données générées par l'humanité tous les dix-huit mois, et où on les stocke ad vitam aeternam , cela pose des questions physiques, mais aussi morales et politiques.
Mme Catherine Morin-Desailly , rapporteure . - Il y aurait aussi la question de la neutralité du net.
M. Thierry Breton. - Je suis à votre disposition pour en parler lors d'une prochaine réunion.
Mme Catherine Morin-Desailly , rapporteure . - Je vous remercie d'avoir déjà répondu à ces questions.
Présidence de M. Gaëtan Gorce, président
Audition de Me Olivier Iteanu, avocat à la cour d'appel
de Paris
et président d'honneur de l'Internet Society France
M. Gaëtan Gorce , président . - Nous entendons M e Olivier Iteanu, avocat à la cour d'appel de Paris, professeur à l'université de Paris XI. Vous enseignez, étudiez et commentez le droit du numérique. Votre contribution nous aidera à mieux comprendre les enjeux du sujet.
Me Olivier Iteanu, avocat à la cour d'appel de Paris et président d'honneur de l'Internet Society France - Avocat depuis vingt-cinq ans, je me suis intéressé au droit des technologies de l'information dès l'origine. Je suis chargé d'enseignement à l'université de Paris I-Sorbonne, en Master 2 de droit du numérique. J'enseigne également à Paris XI, le droit des communications électroniques internes, dans le seul master 2 en Europe à être dédié au droit de l'espace et des télécoms. J'ai publié en avril 1996, Internet et le droit , chez Eyrolles, éditeur auquel je suis resté fidèle.
J'ai été confronté à la question de la gouvernance comme président de l'Internet Society France (Isoc), de 2000 à 2003. J'ai suivi les travaux de l'ICANN, avant même sa création. J'étais à Berlin, en 1998, en mission commandée par le Club informatique des grandes entreprises françaises (Cigref). J'ai été désigné dans un Comité statutaire de l'ICANN qui devait réfléchir à la création du comité At-large, dont Sébastien Bachollet était le représentant jusqu'à il y a quelques jours. J'ai été l'un des deux Européens désignés, l'autre étant Carl Bildt. J'ai enfin été nommé dans un comité statutaire qui réfléchissait au devenir du Whois, base de données qui suscitait un certain nombre de convoitises.
Dans la gouvernance mondiale de l'Internet, on incrimine beaucoup le gouvernement américain. Depuis le 6 ou 7 juin 2013, on connaît le programme de surveillance américain, Prism (Planning Tools for Resource Integration), auquel adhèrent des entreprises américaines, Microsoft depuis 2007, Apple depuis la fin 2012, Facebook et Google également. Aux États-Unis, les entreprises ont compris les véritables enjeux du stockage des données, ce qui n'est pas encore le cas en Europe. Quand j'étais au comité de l'ICANN, je pouvais connaître à la seconde le cours de bourse de Cisco.... Les entreprises américaines ont pénétré l'ICANN. Ce n'est pas la National Security Agency (NSA) qui surveille les populations, mais bien Google et Facebook. Les entreprises américaines ont été autorisées à surveiller les populations, en échange de quoi elles ont mis la main dans le pot de confiture des données.
Comment faire émerger les entreprises européennes ? Deux grands intermédiaires techniques interviennent lorsque l'on veut se connecter au réseau. Les opérateurs de télécoms, devenus depuis 2004 et l'apparition des fournisseurs internet, opérateurs de communications électroniques, et les hébergeurs. Les opérateurs ont un statut défini par le code des postes et communications électroniques : ils doivent se déclarer auprès de l'Arcep et le défaut de déclaration est sanctionné d'une peine pénale ; ils sont soumis à un cahier des charges prenant en compte les contraintes de sécurité nationale. Les opérateurs ont des formalités préalables à remplir et des obligations vis-à-vis des consommateurs, de la sécurité nationale et de la défense. S'ils manquent à ces obligations, ils risquent de voir leur statut suspendu ou retiré. Les hébergeurs, eux, sont dans une situation de libre concurrence totale.
Cette distinction, de plus en plus difficile à opérer sur le plan technique, n'a plus lieu d'être du point de vue de la sécurité nationale ou de la défense. Des acteurs, comme Amazon, ne sont pas seulement libres, ils soumettent de surcroît ceux qui ont recours à eux à une loi étrangère. Certes, le rapport Falque-Pierrotin du Conseil d'État avait raison d'affirmer qu'Internet n'était pas une zone de non-droit ; mais comme je l'ai écrit sur mon blog, ce n'est pas une zone de droit pour tout le monde : face aux géants du Web que sont Google, Facebook ou Twitter, le citoyen européen est-il dans une zone de droit ?
Voilà pourquoi je propose que ces hébergeurs reçoivent un régime statutaire comme les opérateurs, et soient pénalement sanctionnés s'ils ne le respectent pas. Si un opérateur osait soumettre ses clients à une loi étrangère, l'Arcep réagirait immédiatement ! Nul n'a jamais trouvé à y redire du point de vue du droit de la concurrence. De nouveaux acteurs européens pourraient ainsi émerger. Une telle réglementation existe déjà en matière de données de santé. L'affaire Prism a été un tsunami qui a révélé la collaboration entre les géants du Web et l'État américain. Le Sénat américain, au moment de reconduire le Patriot Act , a rejeté les amendements déposés par des démocrates pour garantir les libertés fondamentales.
M. Gaëtan Gorce , président . - Pouvez-vous détailler votre proposition ?
Me Olivier Iteanu . - Il s'agirait de créer un régime juridique d'enregistrement, voire d'agrément pour les données les plus sensibles, comme en matière de données de santé, avec un bras armé pour le faire respecter. Il faudrait rédiger un cahier des charges qui pourrait être intégré au code des postes et des communications électroniques, et qui interdirait par exemple de communiquer des données à un pays étranger, et renforcerait l'obligation, déjà en vigueur depuis l'ordonnance d'août 2011, de notifier toute faille de sécurité, sous peine de sanctions. Le parquet vient enfin d'ouvrir une enquête préliminaire sur Skype.
Vous, législateurs, avez un rôle à jouer. Il n'y a que le droit qui puisse faire reculer les géants du Web.
Mme Catherine Morin-Desailly , rapporteure . - Le système de Safe Harbor doit-il être abandonné ? Que pensez-vous de la neutralité du Net, qui est comprise de manière si différente en France et aux États-Unis ?
Me Olivier Iteanu . - Le Safe Harbor a toutes les apparences d'un régime agréable, politiquement correct, d'autorégulation, qui convient bien à la société américaine. Créé par le Département du commerce des États-Unis, ayant recueilli l'adhésion des entreprises américaines, il a finalement été accepté, sans possibilité de contrôle ni de sanctions, par la Commission européenne, qui a fait preuve en cela d'une certaine naïveté. Depuis, les autorités de régulation des Vingt-Neuf et la Commission elle-même ont exprimé leur mécontentement. Il faut profiter du mouvement créé par l'affaire Prism pour dénoncer son efficacité très limitée. Pour moi, Safe Harbor 1, sans possibilité de sanctions et sans engagement des autorités américaines pour son contrôle, est mort. Bien sûr, l'autorégulation sur laquelle repose ce système a été introduite dans notre droit, comme avec les correspondants informatique et liberté, mais quand même, la CNIL veille ! Peut-être les Américains veulent-ils laisser tranquilles ces gens parce qu'ils leur rendent des services...
Que penser d'un opérateur téléphonique qui refuserait de servir les ruraux ou pratiquerait un tarif différent selon le quartier de la ville où ils résident ? Je vois bien que les opérateurs aimeraient voir évoluer la situation pour des questions de gros sous, et récupérer une part du gâteau de Google ou de YouTube et sont mécontents de l'utilisation de la bande passante. L'arme juridique en France est jusqu'à présent le service universel, dont l'accès à Internet fait partie. L'en retirer du point de vue de l'utilisateur provoquerait une fracture non seulement sociale, mais également géographique ; il en résulterait une société à plusieurs vitesses, ce qui devrait tout particulièrement préoccuper le Sénat. Toute la société ou presque a en effet basculé autour des réseaux numériques : peu d'activités économiques lui sont étrangères.
Mme Catherine Morin-Desailly , rapporteure . - En tant que président d'honneur de l'Isoc-France, pouvez-vous nous parler de vos relations avec l'ICANN ?
Me Olivier Iteanu . - Cela fait dix ans que je ne suis plus opérationnel à l'Isoc, que j'ai cofondé en 1996 ; le but était alors de promouvoir un message consensuel : Internet pour tous. Je n'ai pas pénétré les arcanes de ma désignation au sein de l'ICANN ; mon appartenance à l'Isoc, qui a contribué à sa création, y est certainement pour quelque chose. Dix ans après, je pense que l'Isoc, qui se borne aujourd'hui à enregistrer les « .org », ce qui constitue son financement, a bien travaillé pour les États-Unis d'Amérique. Nous avions des objectifs louables, mais n'avons pas vu que l'influence américaine pouvait s'appuyer sur le réseau : voyez comme les directives européennes s'éloignent du droit français, sur l'autorégulation par exemple, totalement absente de la loi de 1978. L'Isoc est proche de l'ICANN, même si cette proximité n'est ni organique, ni financière.
Mme Catherine Morin-Desailly , rapporteure . - Les auditions auxquelles nous avons procédé font apparaître un manque de transparence de ces organismes, qui ne sont pas responsables de leur activité devant les gouvernements. Comment y remédier ?
Me Olivier Iteanu . - L'ICANN est transparent, au contraire, mais dans un foisonnement de données qui brouille les pistes très savamment ! Voilà un bel exemple de law intelligence , par laquelle un acteur utilise le droit pour asseoir son pouvoir. L'Icann est une société à but non lucratif, sans associés ni assemblée générale, mais avec des stakeholders , et dépendant du droit californien, lequel dans mon souvenir, ne connaît dans ce cas d'action en responsabilité. Je ne vois pas comment ouvrir ce système où tout a été soigneusement prévu pour le mettre dans les mains du Département du commerce. La seule façon d'être efficace, c'est d'agir en dehors. Il faut prendre au mot les États-Unis qui proposent de rendre multilatérale la gestion des ressources rares d'Internet, ou réfléchir comme M. Pouzin à un système de nommage parallèle. Mais cela signifierait se couper de la patrie du Web. Cette révolution est difficile à imaginer, d'autant plus que Microsoft, Google, Facebook entrent dans nos propres entreprises à tous les niveaux.
Mme Catherine Morin-Desailly , rapporteure . - Que pensez-vous des instances d'arbitrage et de médiation, qui participent aujourd'hui à la régulation ? Êtes-vous favorable à la création d'une instance de ce type pour assurer la mise en oeuvre d'une constitution d'Internet ?
Me Olivier Iteanu . - Je suis très méfiant à l'égard de l'arbitrage, qui implique un coût - de 1 500 dollars actuellement pour les noms de domaine à l'Organisation mondiale de la propriété intellectuelle à Genève, cette taxe étant redistribuée aux panelistes et aux experts. Je suis très attaché au service public de la justice au sens large, incluant l'expérience originale de la Cnil. Lorsque celle-ci condamne à des amendes de 150 000 euros, cela fait sourire outre-Atlantique ; mais ces acteurs sourient un peu moins lorsqu'elle publie la condamnation, tant ils sont attentifs à leur e-réputation. Comme on peut en retrouver la trace dans la base de jurisprudence Legalis.net, j'ai vu des entreprises telles qu'E-Bay reculer. À la fin des années 1990, le juge Gomez a non seulement condamné Yahoo pour la vente aux enchères d'insignes nazis, mais il a cherché à savoir comment exécuter cette décision aux États-Unis. Malgré des contre-feux allumés en Californie, Yahoo a fini par se soumettre. Même un petit juge français est à même d'infléchir l'e-réputation de ces géants- en fait, il est le seul à le pouvoir. C'est l'arme principale de la Cnil : dans le domaine du BtoC , soit les services aux consommateurs, une entreprise a vu son chiffre d'affaire baisser brusquement de 40 % dans les semaines qui ont suivi l'annonce de sa condamnation. L'arbitrage représente un coût et il s'agit d'une boîte noire qui n'est pas si efficace qu'on le dit : la concentration du pouvoir de juridiction rend l'action des lobbies plus facile.
Quant à une constitution pour Internet, qui aurait comme je le souhaite une force obligatoire, elle n'est pas pour demain !
M. Gaëtan Gorce , président . - Je vous remercie.
Audition de MM. Jacky Richard, rapporteur
général, et Laurent Cytermann, rapporteur général
adjoint, de la section du rapport
et des études du Conseil
d'État
M. Gaëtan Gorce , président . - Nous accueillons maintenant MM. Jacky Richard, président adjoint et rapporteur général, et Laurent Cytermann, rapporteur général adjoint, de la section du rapport et des études du Conseil d'État. La précédente audition a été l'occasion de soulever l'hypothèse d'un statut de l'hébergeur, qui serait ainsi soumis à des obligations et à des sanctions. Vous aborderez peut-être cette question ?
M. Jacky Richard, président adjoint et rapporteur général de la section du rapport et des études du Conseil d'État . - Tous les ans, notre institution détermine un thème pour le seul de ses travaux qui dépend de son choix. Cette année, après le droit souple, les agences et « consulter autrement, participer effectivement », le Conseil d'État a décidé de travailler sur le numérique et les droits et libertés fondamentaux. Ce thème, que la section des études avait déjà proposé il y a quelques années, a fini par être jugé de la plus grande importance.
Depuis cet été, nous avons procédé à une soixantaine d'auditions, d'hommes et de femmes de l'art, mais aussi de juristes, de chercheurs, de représentants de grands groupes numériques, de fiscalistes. Au-delà, nous avons constitué un groupe de contact - et non un groupe de travail - d'une vingtaine de personnes très intéressées par le sujet, d'horizons très divers (acteurs de l'économie numérique, représentants de grandes associations de défense des droits de l'homme ou des consommateurs, chercheurs ou techniciens) auxquels nous avons présenté nos intuitions, puis nos orientations, et à qui nous soumettons maintenant nos propositions. Nous avons été deux fois à Bruxelles, pour rencontrer des représentants de la Commission, du Conseil européen, du Parlement européen et des lobbys installés à Bruxelles. Enfin, cette étude thématique cessera d'être le travail de notre section ou de son rapporteur général pour devenir celui du Conseil d'État tout entier : elle passera par le filtre de l'assemblée générale, ce laminoir qui offre toutes les garanties en termes juridiques et de diversité des angles de réflexion. Nous présenterons notre travail fin mai à l'assemblée générale, puis début juillet aux autorités.
Deux sujets sont à l'articulation de la problématique autour de laquelle se déploie le plan général de l'étude adopté en janvier par l'assemblée générale : la gouvernance de l'Internet et la territorialité de la norme. Puisqu'il s'agit de droits fondamentaux, le Conseil d'État porte une attention très forte à la protection des données personnelles ; cependant cette problématique doit être vue dans sa complétude : Internet et le numérique en général offrent des potentialités en termes économiques et de liberté qu'il ne faudrait pas mettre sous le boisseau, sous prétexte de risques avérés d'atteintes aux droits fondamentaux.
La gouvernance présente des difficultés majeures ; il ne s'agit pas seulement d'ICANN et de ses satellites, ni uniquement de la domination d'un modèle multipartite de plus en plus contesté, mais aussi d'initiatives à l'échelle régionale ou nationale.
Il y a aussi des tensions au sujet de la gouvernance d'Internet. À cet égard, il ne faut pas sous-estimer l'effet des prises de position des États, même si cela va à l'encontre des idées reçues. Certes l'ICANN a une gouvernance souple, multipartite, qui fonctionne selon un rapport de forces établi, sans reposer sur du droit dur, mais des dispositions de droit peuvent modifier les structures d'Internet. Le traité de l'Organisation mondiale de la propriété intellectuelle de 1996 a incité les États-Unis à prendre, en 1998, le Digital Millennium Copyright Act (DMCA). De même, en Europe, la directive sur le commerce, les directives sur le commerce électronique en 2000 et sur le droit d'auteur en 2001, ou la directive sur les données personnelles de 1995 ont eu des effets.
Cessons de nous lamenter sur une gouvernance d'Internet qui nous échapperait ; il est possible d'agir. Le modèle multipartite, s'il reste très présent, suscite des controverses, car le déséquilibre en faveur des États-Unis est fort. La Chine développe son propre standard pour échapper à cette gouvernance. Les sujets techniques comme la migration de l' Internet Protocol (IP) sont source d'évolutions. Un nouveau cadre est à définir. Il est possible de faire des propositions. Encore faut-il être présent ! Les Européens sont absents. Mme Revel, dans son rapport, le soulignait déjà. La conférence de Sao Paulo sera l'occasion de poser des jalons en vue d'une nouvelle gouvernance, pas seulement multipartite mais aussi intergouvernementale. L'idée défendue par la France et l'Allemagne d'une agence mondiale multipartite qui intégrerait toutes les composantes d'Internet est une piste intéressante. Nous ferons des propositions en ce sens.
M. Laurent Cytermann, rapporteur adjoint. - S'agissant de la territorialité de la norme, il importe tout d'abord de se défaire de plusieurs idées fausses mais profondément ancrées. Ainsi, Internet serait, par nature, a-territorial. Toutefois, dès qu'une entreprise et un particulier nouent des contacts sur la toile, des rapports de droit international privé se créent, même s'il faut définir le juge et le régime juridique applicable, celui du pays où est installé l'entreprise ou celui du pays de l'internaute. Comme beaucoup d'entreprises sont installées hors de l'Union européenne, elles sont susceptibles d'échapper à la compétence de nos juridictions. C'est parfois compliqué, mais le droit s'applique. Dans l'affaire des enchères d'objets nazis, Yahoo, qui avait été condamnée par la justice française, a été déboutée par la justice américaine qui a explicitement reconnu la compétence de la justice française pour prononcer des sanctions. De même, le juge français s'est reconnu compétent pour demander à Twitter de supprimer le hashtag « Un bon juif » ; Twitter a obtempéré et un mécanisme de signalement des insultes antisémites a été mis en place. Ces exemples montrent que le juge peut faire évoluer le droit.
Il convient ensuite de distinguer la responsabilité pénale ou civile délictuelle ou quasi-délictuelle et la responsabilité contractuelle. Dans le premier cas, l'enjeu est de déterminer la loi à appliquer, celle du pays de l'entreprise ou celle du pays de l'internaute. Les jurisprudences française et européenne ont évolué. Initialement le juge se déclarait compétent dès lors que le site était accessible depuis la France, ce qui lui donnait potentiellement une très large compétence. Désormais prévaut le critère de l'activité dirigée du site, appréciée selon un faisceau d'indices (langue du site, existence ou non d'une version française, monnaie utilisée, etc.).
En matière contractuelle, une grande liberté est reconnue aux parties pour choisir leur juge et le droit applicable. Les entreprises qui vendent des services sur Internet accompagnent souvent leurs prestations de clauses prévoyant la compétence de la législation américaine et à l'égard desquelles l'internaute est démuni. Toutefois, cette prédominance de la volonté des parties n'est pas sans limites. Les règlements européens Bruxelles I et Rome I empêchent une entreprise de priver un consommateur de la protection de sa législation nationale. La cour d'appel de Pau, dans un arrêt Sébastien R. contre Facebook, estimant que les clauses de Facebook n'étaient pas claires et que, dès lors, le consentement de l'internaute n'était pas valable, s'est reconnue compétente et a écarté la compétence de la justice américaine. Le règlement Bruxelles I bis, qui remplacera en janvier 2015 Bruxelles I, élargit le régime, puisqu'il s'appliquera aux consommateurs, même si l'entreprise est située hors de l'Union européenne. En outre, le projet de règlement sur les données personnelles, déjà voté par le Parlement européen, sera applicable aux responsables de traitement établis hors de l'Union européenne qui vendent leurs services à des consommateurs européens ou observent le comportement d'internautes européens - c'est l'application du critère de l'activité dirigée. Il apparaît important que les États de destination fassent prévaloir leurs normes.
M. Gaëtan Gorce , président . - En matière de protection des données personnelles, les règles françaises et européennes s'appliquent ; la CNIL et la justice française sont compétentes. Mais que se passe-t-il si les violations des règles ne sont révélées qu'indirectement, par exemple en cas de transfert de données à des fins d'espionnage ? Comment le citoyen français peut-il faire respecter ses droits à l'égard d'une entreprise américaine qui aurait transmis des données personnelles à son gouvernement, comme dans le cas de l'affaire Prism ? Comment la France peut-elle faire respecter sa souveraineté et sa sécurité ?
M. Laurent Cytermann. - La question de la territorialisation de la loi se traite dans le cadre du Safe Harbor auquel est annexé un mécanisme de règlement des conflits : chaque entreprise qui y adhère doit proposer un mode alternatif de règlement des différends non juridictionnel. Des instances existent comme le panel de protection des données de l'Union européenne. La Commission européenne et le Parlement européen ont dressé un bilan de ce dispositif. Ces mécanismes de résolution des conflits sont très peu utilisés. La Federal Trade Commission américaine est très peu saisie par les autorités nationales de protection des données européennes. Il y a des mécanismes, mais ils restent peu utilisés.
M. Gaëtan Gorce , président . - Un citoyen européen qui considère que ses données personnelles ont été divulguées sans son accord doit-il faire jouer ces mécanismes ou saisir la justice ?
M. Laurent Cytermann. - Ces mécanismes ne sont pas exclusifs des recours juridictionnels. La hiérarchie des normes s'y oppose. Le régime varie toutefois selon qu'il s'agit de responsabilité délictuelle ou contractuelle.
M. Gaëtan Gorce , président . - Comment un État peut-il réagir, d'un point de vue juridique, s'il constate qu'une entreprise collecte et divulgue à des fins d'espionnage des données susceptibles de mettre en danger sa sécurité nationale ?
M. Laurent Cytermann. - Le Safe Harbor contient une clause de sauvegarde qui autorise les États, en cas d'atteinte grave à un droit fondamental, ou si une autorité nationale, chargée de contrôler les entreprises de son pays, n'a pas donné suite aux demandes qui lui ont été adressées, à enjoindre la suspension du transfert de données.
Mme Catherine Morin-Desailly , rapporteure . - Avez-vous réfléchi à une modification du statut des données à caractère personnel pour mieux les protéger dans le contexte du big data ? Les données biométriques doivent-elles faire l'objet d'un sort particulier ? Quid d'un droit de propriété sur les données personnelles ?
M. Jacky Richard. - Il faut définir avec attention la notion de données. Une trace, par exemple, est-elle une donnée ? Il est également nécessaire de distinguer les données publiques et les données privées. Les big data posent la question des données privées en des termes différents des données collectées par la voie des réseaux sociaux. L'anonymisation des données est au coeur des réflexions. Le législateur devra réaliser des choix. Les données de santé ou les fichiers de sécurité sociale, par exemple, sont susceptibles d'être utilisées à des fins de santé publique, mais leur exploitation renforce aussi le risque de traçage des individus. Il revient au législateur de fixer la frontière entre les données privées dont la confidentialité doit être préservée et celles qui peuvent servir de base, grâce à des mécanismes d'agrégation sous réserve de précautions, à une économie fondée sur la valeur liée à l'exploitation de ces données.
Notre rapport consacrera à la question de la propriété des données une large analyse. Il peut sembler tentant de les faire bénéficier d'un régime de propriété. Cependant, après de multiples échanges, il ne nous semble pas que cette voie soit féconde. En effet, la propriété implique le droit de vendre et cette conception patrimoniale des données présente des dangers. Nous sommes prudents.
M. Laurent Cytermann. - Entre les big data , le principe de finalité de la collecte des données et celui de proportionnalité, rebaptisé par le Parlement européen principe de minimisation, il y a un écart qui n'est pas que sémantique : en effet les big data impliquent l'accumulation sans cesse croissante de données afin d'augmenter toujours les potentialités d'exploitation et de faciliter l'apparition d'usages imprévus lors de la collecte. Les principe de finalité et de proportionnalité constituent le socle de la convention 108 du Conseil de l'Europe ou de la Charte des droits fondamentaux et ont été réaffirmés avec éclat par le Parlement européen dans son vote de mars à une très large majorité.
Les big data concernent peu les données personnelles. Lorsque c'est le cas, les données qu'il fournit sont des corrélations et des déductions fondées sur l'exploitation collective et l'agrégation des données. Le chemin de crête est étroit. Le Parlement européen privilégie la notion de données pseudonymes, qui ne permettent pas d'identifier les individus. Mais les capacités de réidentification ne cessent de se développer, ce qui soulève de nombreuses difficultés avec l'open data , d'autant plus que ces données sont mises en ligne. Dans le cadre de big data , les données personnelles sont mises à dispositions d'acteurs qui les retraitent. Il faut alors prévoir des garanties suffisantes d'anonymisation. Le Conseil d'État y réfléchit. C'est un sujet difficile.
M. Jacky Richard. - Il faut aussi déterminer si les principes de finalité et de proportionnalité doivent s'appliquer lors de la collecte ou lors de l'utilisation des données. Les conséquences pour la protection des données sont importantes. La Cour de justice de l'Union européenne inclinerait vers la première solution, plus protectrice des données individuelles.
M. Gaëtan Gorce , président . - Internet est fondé sur le droit privé et contractuel. Pourtant, Internet s'apparente de plus en plus à un service public. Cela ne constitue-t-il pas une base pour renforcer l'intervention des pouvoirs publics ?
M. Jacky Richard. - En effet, à la suite de l'affaire Prism, de nombreux signaux évoquent une intervention accrue des États voire de l'Europe, mais le chemin reste long pour trouver des positions communes comme la discussion du règlement sur les données personnelles l'a montré. Sur la gouvernance d'Internet ou sur l'articulation des législations entre le pays d'origine et le pays de destination, les travaux du Parlement européen confèrent à l'ensemble du droit de l'Internet des caractéristiques qui renforcent la souveraineté, non plus définie dans un cadre étroitement national, mais autour de communautés de valeurs. La conférence de Sao Paulo ou les initiatives prises par le Parlement brésilien récemment en sont une autre illustration, tout comme les réflexions sur le cloud européen. La route reste longue, mais les autorités peuvent prendre des positions plus fortes. D'ailleurs, les responsables de Google s'y attendent ! D'ici là, ils profitent des flous et des lacunes de la législation.
M. Gaëtan Gorce , président . - Serait-il pertinent de définir un statut juridique de l'hébergeur, comparable à celui des opérateurs ? Faut-il instaurer un régime d'agrément préalable ?
M. Laurent Cytermann. - Il existe déjà un statut, sans doute insuffisant, des hébergeurs qui les soumet à certaines obligations en matière de suppression des contenus illicites. Les opérateurs ne sont pas soumis à agrément, mais seulement à l'exigence d'une déclaration préalable. La différence est grande avec l'agrément ! Il est difficile d'envisager de passer de l'absence de déclaration à l'autorisation préalable. Cela ne signifie pas qu'aucune obligation ne doive s'appliquer. Il est possible de concilier liberté pour la création de l'activité d'hébergeur et renforcement des obligations.
M. Jacky Richard. - Internet est en évolution permanente. Imaginer que le droit dur puisse le réguler durablement est un leurre - songez à Hadopi... Le Conseil d'État a consacré l'an passé un rapport au droit souple. Le droit souple, c'est du droit ! Le juge peut s'appuyer dessus. Il est fondé sur des adhésions, des recommandations, des lignes de conduite, non sur des sanctions. Ces approches sont préférables à la fixation d'un statut immuable borné par des sanctions, qui constituerait un leurre. L'article 6 de la loi pour la confiance dans l'économie numérique fixe à cet égard des obligations précises.
M. Gaëtan Gorce , président . - Ne faut-il pas alors redéfinir totalement la protection de la vie privée ?
M. Jacky Richard. - Absolument ! Lorsque nous avons adopté en assemblée générale notre plan détaillé, des points de vue très différents sont apparus sur ce sujet. La conception de la vie privée comme une sphère de l'intime, du caché, évolue. Le chercheur Antonio Casilli définit la vie privée comme un ensemble relationnel constitué d'interactions entre ce que l'individu laisse paraître de lui et ce que les autres lui renvoient, le tout articulé autour de différents cercles. Légiférer sur ce sujet n'est pas la meilleure solution.
M. Laurent Cytermann. - La droit à la protection de la vie privée est un droit fondamental et, en tant que tel, il s'applique sur Internet. Reste qu'il ne peut plus être seulement conçu comme le droit de cacher le plus de données possibles car de plus en plus les individus souhaitent s'exposer. Il s'agit moins du droit « d'être laissé en paix », comme le disait Louis Brandeis, juge à la Cour suprême des États-Unis, que celui de disposer de la maîtrise de ce que l'on expose, sans être la victime d'un processus de divulgation non contrôlé. La jurisprudence de la Cour constitutionnelle allemande a d'ailleurs défini le droit à l'autodétermination informationnelle. Il faut en décliner les garanties et les modalités pratiques.
M. Jacky Richard. - À cette question sont liées celles du droit à l'oubli, au déréférencement, une nouvelle définition du consentement. Il nous appartient de trouver l'équilibre subtil, mais à notre portée, entre le cadre fixé par la loi, la responsabilité des individus et la possibilité d'appréciation du juge comme arbitre.
M. Gaëtan Gorce , président . - Ainsi la vie privée cessera d'être le droit de garder des choses secrètes pour devenir celui de définir dans quelle mesure elles sont publiques. Je conserve la nostalgie de l'idée d'un secret intime...
Je vous remercie pour votre contribution.