EXAMEN EN COMMISSION

La commission des affaires européennes s'est réunie le jeudi 11 mai 2023, sous la présidence de M. Jean-François Rapin, président, pour l'examen du présent rapport.

M. Jean-François Rapin, président. - Mes chers collègues, les technologies numériques tiennent une place désormais centrale dans nos vies quotidiennes et transforment profondément l'économie et la société. Leur développement ouvre de formidables perspectives, mais favorise également des comportements préjudiciables. Il crée en outre des tensions, dans un univers interconnecté mondialisé, dominé par de très grands acteurs, le plus souvent américains ou chinois.

L'Union européenne (UE) s'attelle à construire une régulation du numérique dans le marché intérieur, pour protéger ses citoyens et ses valeurs et pour assurer le respect des règles de concurrence. Elle a ainsi récemment adopté plusieurs législations importantes, dont le règlement relatif aux marchés contestables et équitables dans le secteur numérique. Cette législation sur les marchés numériques, le Digital Markets Act (DMA), vise à rétablir la concurrence mise à mal sur le marché intérieur par les pratiques abusives des grandes plateformes qualifiées de « contrôleurs d'accès », en encadrant leurs comportements de domination et d'éviction.

Afin que ne soit pas praticable en ligne ce qui est interdit hors ligne, l'Union européenne a également adopté une législation sur les services numériques, le Digital Services Act (DSA), qui encadre les activités des plateformes afin de lutter contre la haine en ligne, la manipulation, la désinformation ou la vente de produits contrefaits.

Nous avons déjà eu l'occasion d'étudier ces textes européens et d'adopter des résolutions pour en renforcer la portée et l'efficacité. D'ailleurs, le Sénat examinera bientôt le projet de loi déposé hier par le Gouvernement pour assurer leur transposition en droit national.

En complément du DMA et du DSA, la Commission européenne a aussi présenté, le 19 février 2020, deux stratégies européennes : l'une dédiée à l'intelligence artificielle (IA), l'autre aux données. Dernièrement, en mars, c'est l'intelligence artificielle qui a mobilisé notre commission, afin de contribuer à ce que son déploiement sur notre continent respecte les valeurs européennes.

L'objet de notre réunion de ce jour est d'aborder l'autre volet : le sujet des données, souvent qualifiées d'« or noir » à l'ère numérique. Mme Blatrix Contat, Mme Morin-Desailly et M. Gattolin vont nous présenter la stratégie européenne en la matière et, plus spécialement, leur rapport sur la proposition de règlement européen sur les données, le Data Act.

Mme Florence Blatrix Contat, rapporteure. - Nous allons effectivement vous présenter aujourd'hui le volet législatif de la stratégie européenne pour les données visant à réduire les obstacles de différentes natures auxquels se heurte la construction en cours du partage des données au sein de l'UE.

La Commission a identifié un certain nombre de barrières qui empêchent la libre circulation effective des données au sein de l'Union, au premier rang desquelles la faible confiance dans le partage des données. Elle a également constaté que des pratiques de verrouillage empêchent les personnes, physiques ou morales, d'exercer pleinement leurs droits à accéder aux données générées par l'utilisation d'objets connectés et de services numériques liés, à en suivre l'utilisation et à en permettre la réutilisation dans les écosystèmes numériques. En effet, des déséquilibres en termes de pouvoir de marché permettent aux contrôleurs d'accès de concentrer les données et d'imposer unilatéralement des conditions d'accès et d'utilisation qui en empêchent le partage.

La Commission a en outre constaté que la réutilisation des données se heurte à des obstacles techniques significatifs en raison de difficultés d'interopérabilité et de qualité des données, en l'absence de normes impératives en la matière. Elle a par ailleurs identifié des problématiques liées à la disponibilité des données, en particulier des données du secteur public, et à la collecte de données dans l'intérêt commun.

Enfin, elle n'a pu que constater que la souveraineté européenne sur les données n'est pas assurée. En raison du rôle marginal des fournisseurs européens de cloud, les fournisseurs étrangers opérant dans l'UE jouent un rôle prédominant, alors même qu'ils sont soumis à la législation applicable aux États tiers, avec les risques en résultant en matière de protection des données et de cybersécurité.

Pour remédier à ces insuffisances, la Commission a publié une stratégie européenne pour les données, destinée à mettre en place un espace européen des données, dont les règles communes et les mécanismes d'application doivent tout à la fois garantir les points suivants : la circulation des données à l'intérieur du marché unique et entre les secteurs, dans le respect des règles et valeurs européennes, en particulier la protection des données à caractère personnel - fil rouge du texte - ; une concurrence efficace sur le marché intérieur, en prévoyant des règles d'accès et d'utilisation des données équitables, pratiques et fiables ; des mécanismes de gouvernance des données clairs et fiables ; enfin, une approche ouverte des flux internationaux de données, mais affirmée et fondée sur les valeurs européennes.

Les actions proposées par la Commission reposent sur quatre piliers : des mesures horizontales trans-sectorielles pour l'accès aux données et leur utilisation ; des investissements dans les données et le renforcement des capacités et des infrastructures européennes pour l'hébergement, le traitement et l'utilisation des données ainsi que leur interopérabilité ; le développement des compétences en matière numérique ; le développement d'espaces européens communs des données dans des secteurs économiques stratégiques et des domaines d'intérêt public, en particulier les données relatives au pacte vert, en matière de santé, de mobilité, ou encore d'énergie.

Après le récent règlement sur la gouvernance des données, dit Data Governance Act, qui est destiné à faciliter la réutilisation des données du secteur public, et qui sera applicable à compter du 24 septembre prochain, la proposition de règlement sur les données, dite Data Act, sur laquelle nous nous penchons aujourd'hui, s'inscrit dans le premier pilier. En effet, elle définit un cadre juridique et technique horizontal pour permettre une répartition plus équitable de la valeur des données industrielles entre les acteurs de l'économie des données.

Les données concernées sont les données produites par l'utilisation d'objets connectés et de services liés. Point important : il s'agit donc de données primaires, non traitées, ce qui devrait d'ailleurs être plus clairement précisé dans le texte, comme nous le préconisons dans la proposition de résolution que nous vous soumettrons. Le volume de ces données connaît depuis quelques années un développement exponentiel en raison du nombre croissant d'objets connectés : 8 milliards d'objets en 2019, 13,8 milliards attendus en 2024. Or ces données, qualifiées d'industrielles, sont peu exploitées en Europe. Lors de son discours de 2020 sur l'état de l'Union, la présidente de la Commission européenne a ainsi précisé que 80 % d'entre elles ne sont pas utilisées. D'où le grand intérêt de ce texte.

M. André Gattolin, rapporteur. - Le Data Act prévoit un droit d'accès et de partage encadré. Il reconnaît aux utilisateurs des objets connectés des droits sur les données produites par leur utilisation de ces objets et de services liés. Il fixe des règles harmonisées en matière d'accès, d'utilisation et de partage de ces données entre entreprises et consommateurs et interentreprises. Enfin, il définit les obligations des détenteurs des données tenus de rendre des données disponibles.

Nous avons donc affaire à trois protagonistes : l'utilisateur de l'objet connecté et de services liés, qui peut être une personne physique - un consommateur -, ou une personne morale - une entreprise - ; le détenteur des données produites par cet objet, qui en est généralement le fabricant ; le destinataire des données, entreprise tierce désignée par l'utilisateur en raison de son activité, afin qu'il puisse utiliser les données à des fins précises, notamment de réparation de l'objet connecté.

L'utilisateur de l'objet connecté se voit reconnaître un double droit sur les données générées par son utilisation de l'objet connecté et des services liés : un droit d'accès gratuit et un droit d'utilisation, y compris pour les partager avec des tiers.

La proposition de règlement précise la portée du droit d'accès de l'utilisateur aux données, y compris en termes de qualité des données. Elle prévoit des mesures pour en faciliter la mise en oeuvre, en particulier l'obligation de prévoir l'accès aux données dès la conception, dit by design, et d'assurer la protection de la confidentialité et de la sécurité des données.

Le partage des données avec un tiers désigné par l'utilisateur est également encadré : les données transférées doivent présenter un niveau de qualité identique ; une compensation raisonnable des coûts de mise à disposition peut être facturée ; l'utilisation des données est limitée aux fins et conditions convenues avec l'utilisateur, pour la fourniture d'un service ; profilage et manipulation des données sont prohibés. Un dispositif de règlement des conflits est prévu en cas de litige.

Enfin, il est proposé de corriger les déséquilibres contractuels constatés en rééquilibrant le pouvoir de négociation des micro, petites et moyennes entreprises dans les contrats de partage de données et en écartant les grandes plateformes du bénéfice de ce partage.

Plusieurs points doivent être précisés. Nous proposons tout d'abord d'affirmer fermement la primauté des règles de protection des données à caractère personnel, en particulier du règlement général sur la protection des données (RGPD) et de la directive sur la protection de la vie privée dans le secteur des communications électroniques. De telles données à caractère personnel peuvent en effet être mêlées aux données dont nous parlons.

Une attention toute particulière doit en outre être portée aux situations dans lesquelles les données sont celles non pas de l'utilisateur titulaire, mais, par exemple, d'un salarié ou d'un membre tiers du foyer.

Deuxième point d'attention : il faut assurer l'effectivité des droits des utilisateurs sur les données. Cela suppose en particulier que le format des données soit compréhensible, structuré, habituel et lisible par la machine et que les métadonnées nécessaires à leur interprétation soient communiquées. Nous proposons de rendre obligatoire le respect de ces exigences techniques.

Dans un souci d'équilibre de la relation contractuelle entre l'utilisateur et le détenteur des données, nous préconisons par ailleurs que soient identifiées des clauses abusives afin de les priver d'effet.

S'agissant du partage des données avec des tiers, il nous semble pertinent de maintenir l'exclusion proposée des grandes plateformes dites « contrôleurs d'accès » en raison de leur pouvoir de marché excessif. Je signale toutefois que ce point est contesté par certaines entreprises, au nom de la cohérence du fonctionnement des chaînes de valeur.

Afin d'équilibrer les accords de partage conclus entre le détenteur des données et le tiers utilisateur, il est prévu de rendre inopposables un ensemble de clauses considérées comme abusives, ce qui, là encore, nous paraît pertinent. La compensation des coûts de mise à disposition des données devrait toutefois être mieux encadrée.

Venons-en maintenant à un sujet particulièrement sensible : la protection des secrets d'affaires. Qui dit protection ne dit pas refus de communiquer des données pour ce motif - le texte ne l'autorise pas -, mais interdiction de les utiliser à des fins concurrentielles - ce qui est prévu -, et mise en place de mesures de protection, en particulier contractuelles, ce qui est également prévu. Encore faudrait-il que ces mesures n'excèdent pas les besoins légitimes d'assurer cette protection.

Nous vous proposons malgré tout de considérer que, dans certains cas exceptionnels, la protection de secrets d'affaires puisse justifier un refus de transmettre les données. Notre attention a ainsi été attirée sur la possibilité de déduire de données brutes des éléments clés sur les dispositifs de sécurité inclus dans le produit connecté - c'est notamment le cas dans le domaine de l'aviation. Pour justifier un refus en pareil cas, le détenteur des données devrait démontrer que leur divulgation est de nature à avoir des conséquences dommageables graves, y compris au regard de la sécurité.

J'en viens à un point particulier : l'accès d'autorités publiques nationales et européennes à des données en cas d'urgence publique. Un chapitre du Data Act est consacré à la mise à disposition de ces autorités de données détenues par le secteur privé, en cas de besoin exceptionnel.

Trois situations sont considérées comme constitutives d'un tel besoin exceptionnel : lorsque les données sont nécessaires pour réagir à une urgence publique ; lorsqu'elles sont nécessaires pour prévenir une telle urgence ou contribuer au rétablissement à la suite d'une telle urgence ; lorsque l'absence de données disponibles empêche l'organisme de s'acquitter d'une mission d'intérêt public prévue par la loi et qu'il ne lui a pas été possible d'obtenir ces données par d'autres voies.

Je ferai plusieurs observations. Tout d'abord, l'urgence publique est définie comme une situation exceptionnelle qui a des conséquences négatives pour la population de l'Union, d'un État membre ou d'une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie, la stabilité économique ou la situation d'actifs économiques. Nous vous proposons de demander que la nature de l'urgence soit précisée en indiquant expressément quelles sont les circonstances visées : santé, catastrophe, cyberattaque, par exemple. Les conséquences de la situation exceptionnelle justifiant l'exercice de ce droit d'utilisation des données doivent également être précisées. Il est ainsi préférable de parler d'atteinte à la stabilité financière ou à des actifs économiques majeurs, plutôt que de faire référence à la « stabilité économique » ou la « situation d'actifs économiques ».

La troisième situation visée par la proposition de règlement - l'absence de données disponibles empêchant l'organisme de s'acquitter d'une mission d'intérêt public - est recevable, mais il nous semble qu'elle doit être plus précisément encadrée, qu'il s'agisse de la durée et de la portée de la mise à disposition des données, de la démonstration de l'impossibilité de trouver ces données et de l'obligation de ne les utiliser que pour les seules finalités de la demande, dans le strict respect des droits et libertés des personnes.

Mme Catherine Morin-Desailly, rapporteure. - Le second objectif du texte est de permettre une mobilité effective et sécurisée des données.

Trois dimensions de cette mobilité sont ainsi traitées : le changement de fournisseur de services de traitement des données, autrement dit de cloud ; la définition des conditions techniques permettant cette mobilité, autrement dit la portabilité et l'interopérabilité des données ; enfin la sécurisation des flux internationaux de données.

S'agissant de la mise en oeuvre du droit de changer de fournisseur de cloud, la proposition de règlement s'attaque à une vraie difficulté. Le marché de l'informatique en nuage est fortement concentré : 72 % du marché européen est ainsi contrôlé par trois fournisseurs américains, Microsoft Azure, AWS et Google Cloud, ce qui laisse peu de place aux fournisseurs européens, dont la part relative tend à régresser rapidement. La raison en est un fort lobbying de ces trois acteurs et un déficit de politique industrielle volontariste pour accompagner le développement du cloud européen.

Ces acteurs dominants, dits hyperscalers, ont recours à des pratiques de verrouillage qui empêchent les utilisateurs de changer de fournisseurs et, par voie de conséquence, le développement de concurrents. Ces pratiques sont techniques, juridiques et financières, en particulier le recours à des formats propriétaires et la facturation de frais de sorties très élevés. Les personnes auditionnées ont particulièrement insisté sur ce point.

On constate également des abus de position de marché. Ces très grands acteurs convertissent ainsi leur position forte au sein d'une couche du cloud - câbles, data centers, serveurs ou logiciels de traitement - en une position dominante au sein d'autres couches, par exemple en recourant à la vente liée, ou en appliquant des mesures de représailles. Vous trouverez des détails à ce sujet dans notre rapport d'information.

Pour supprimer les obstacles commerciaux, techniques, contractuels et organisationnels au changement de fournisseur de services de traitements de données, le chapitre VI de la proposition de règlement soumet le fournisseur initial de services de traitement des données à un ensemble d'obligations et met en place un cadre de préparation et d'accompagnement du changement. Enfin, il prévoit une interdiction progressive de facturer des frais de changement à horizon de trois ans.

Les mesures proposées permettront aux clients de pouvoir changer de fournisseur de services de traitement des données lorsqu'ils le souhaitent. Certains compléments pourraient toutefois y être utilement apportés, afin que le client soit pleinement informé en la matière, y compris avant l'acceptation de l'offre de service. Il devrait également être précisément informé sur les étapes du processus de migration et les diligences à mettre en oeuvre.

Par ailleurs, il conviendrait d'interdire au fournisseur de services de traitement des données d'empêcher un client de changer de fournisseur au motif qu'il aurait bénéficié d'une phase d'utilisation gratuite de ses services. Peut-on même admettre ces pratiques de gratuité, forme de dumping ? Telle est la question que nous nous sommes aussi posée.

Quant au délai de mise en oeuvre de la suppression des frais de sortie - trois ans -, il nous paraît difficilement acceptable, sauf à anéantir toutes velléités concurrentielles sur le marché intérieur.

Venons-en maintenant à l'interopérabilité. La combinaison de données provenant de différentes sources à l'intérieur des secteurs et entre les secteurs ne peut être mise en oeuvre si les espaces de données ne sont pas interopérables. Le frein majeur à une interopérabilité optimale est l'utilisation de formats dits propriétaires et l'absence de protocoles de communication.

La proposition de règlement impose aux exploitants - d'espaces de données, de mécanismes de partage de données et des services dans ces domaines - un ensemble d'exigences essentielles en matière d'interopérabilité des données et d'interopérabilité des services de traitement des données, ainsi qu'en matière de contrats intelligents pour le partage des données, autant de domaines dans lesquels il n'existe pas de normes harmonisées, ou de normes suffisantes en la matière. Il est prévu que des normes harmonisées soient publiées. Sans doute serait-il utile de préciser d'ores et déjà l'objet de ces normes et leur processus d'élaboration, en particulier le rôle des parties prenantes.

J'en viens à la sécurité des données en cas de transferts internationaux, dernier point crucial traité par la proposition de règlement, en raison de l'application extraterritoriale de leurs lois par des États tiers sur des données européennes, en méconnaissance du droit européen ou du droit national, en particulier en matière de protection des droits fondamentaux de la personne, des intérêts fondamentaux d'un État membre pour des raisons tenant à la sécurité ou la défense nationales, aux secrets d'affaires ou aux droits de propriété intellectuelle.

En l'absence d'accord international - le régime de transferts de données entre l'Union européenne et les États-Unis, dit Privacy Shield, a été invalidé - , la proposition de règlement prévoit des garanties spécifiques de protection des données, et soumet les fournisseurs de services de traitement de données à l'obligation de prendre « toutes les mesures techniques, juridiques et organisationnelles raisonnables » afin d'empêcher le transfert hors du territoire européen de données à caractère non personnel qui y sont détenues ou l'accès d'un État tiers à celles-ci.

Il s'agit indiscutablement d'une démarche positive. Mais rappelons que, étant donné la législation américaine, incluant le Foreign Intelligence Surveillance Act (FISA) et le Cloud Act, nous aurons beau voter toutes les législations possibles, dès que nous aurons affaire à un fournisseur de la Big Tech, le transfert des données sera rendu obligatoire. Il nous semble donc tout aussi indispensable d'établir une liste de données sensibles et de données dont la divulgation est susceptible de porter atteinte à la sécurité nationale que de doter l'Europe d'infrastructures souveraines sécurisées, qui ne soient pas contrôlées par des capitaux étrangers.

J'en viens au dernier sujet : la supervision de la mise en oeuvre du règlement. Elle est organisée au niveau national et doit être confiée à des autorités dotées de pouvoirs de surveillance, d'injonction, astreinte et de sanctions. Ces pouvoirs pourraient être utilement complétés par la possibilité d'imposer des remèdes aux professionnels défaillants. Par ailleurs, dès lors que des données à caractère personnel sont en cause, une attention particulière devra être portée à l'articulation entre ces autorités chargées de superviser l'application du règlement sur les données et celles qui sont en charge de la protection de ces données personnelles. Enfin, pour renforcer l'efficacité de la coopération intra-européenne en matière de données, qui est nécessaire à une mise en oeuvre efficace et coordonnée du règlement, la mise en place d'une structure de coordination, réunissant des représentants des autorités nationales de contrôle concernées nous paraît s'imposer.

Voilà l'ensemble de nos préconisations, rassemblées dans la proposition de résolution européenne que nous vous soumettons.

Pour conclure, je précise que, dans le projet de loi sur le numérique que le Gouvernement vient de déposer sur le bureau du Sénat à l'initiative du ministre Jean-Noël Barrot, est présente par anticipation la question des fournisseurs de services de traitement de données, notamment de l'interopérabilité et du transfert des données.

M. Jean-François Rapin, président. - Je vous remercie pour votre grande expertise, sur des sujets certes austères, mais dont le retentissement sera considérable. La transposition à venir que constitue le texte du ministre Barrot devra s'inspirer de vos travaux, dont j'ai rappelé l'importance.

M. André Reichardt. - La proposition de règlement est essentielle, et votre proposition de résolution l'est tout autant. J'y souscris pleinement.

Cependant, l'alinéa 29 ne devrait-il pas plutôt indiquer que le service de communication électronique est exclu du champ d'application de la proposition de règlement ? Cela serait plus clair et plus simple que la rédaction proposée.

Par ailleurs, vous me semblez trop prudents, à l'alinéa 46, sur le renforcement de la protection des droits de l'utilisateur. Ne devrions-nous pas préconiser l'interdiction de certaines clauses, plutôt que demander à examiner l'opportunité d'une telle interdiction ? Selon moi, les clauses abusives devraient être considérées comme non écrites.

Mme Catherine Morin-Desailly, rapporteure. - Nous avons privilégié cette formulation parce qu'il faut d'abord identifier de telles clauses, ce qui reste à faire.

M. André Reichardt. - Enfin, dès lors qu'on autorise les autorités publiques nationales et européennes à accéder aux données en cas d'urgence, il faut préciser la nature de celle-ci. Ainsi, à l'alinéa 68, ne faudrait-il pas définir des éléments quantitatifs, s'agissant de la temporalité de l'urgence et de ses conséquences ? En particulier, à quoi renvoie la notion d'« actifs économiques majeurs » ? Il faut encadrer au maximum l'accès à ces données. L'urgence doit être objective.

M. Jean-François Rapin, président. - Il y a l'urgence liée au numérique, mais aussi celle qui relève d'un état de catastrophe.

M. Didier Marie. - En cas de crise majeure, l'urgence est appréciée par l'État membre et pas par la Commission européenne. La proposition de règlement est une simple couche d'harmonisation. Mais la définition de l'urgence n'est pas harmonisée au niveau européen.

Mme Florence Blatrix Contat, rapporteure. - L'urgence est déjà encadrée par la proposition de règlement et les compléments que nous proposons d'y apporter. Peut-on aller au-delà ? Par définition, on ne peut pas prévoir tous les cas d'urgence.

M. André Gattolin, rapporteur. - On n'aurait pas imaginé la pandémie avant 2019...

Mme Pascale Gruny. - N'oublions pas l'effet sur la recherche d'un trop grand verrouillage de l'accès aux données.

M. André Reichardt. - Cela étant, je salue votre travail, soutenu et détaillé. Il est d'autant plus nécessaire au regard du contenu du projet de loi visant à sécuriser et réguler l'espace numérique présenté hier en conseil des ministres.

M. Jean-François Rapin, président. - Nous ne devons pas prêter le flanc aux critiques sur le respect de la subsidiarité. À chaque État membre de définir l'état d'urgence. Pouvons-nous demander plus d'harmonisation en ce domaine ? Je n'en suis pas certain.

M. André Reichardt. - Ce n'est pas ce que je propose : il s'agit plutôt de définir un cadre temporel de l'urgence, quitte à avoir des variantes de délais au sein de ce cadre, d'un État à l'autre.

M. Jean-François Rapin, président. - À qui s'en remettre, alors, pour une telle définition ? Au Conseil ?

Mme Catherine Morin-Desailly, rapporteure. - J'observe que la notion d'urgence présentait les mêmes difficultés de définition pour l'instrument d'urgence pour le marché intérieur. Peut-être y a-t-il d'ailleurs une articulation à trouver avec ce texte, ainsi qu'avec tous les textes sectoriels prévoyant des situations d'urgence, comme en matière de santé. Je ne suis pas certaine qu'on puisse aller plus loin en l'état.

En revanche, il faut distinguer les urgences concernant tout le marché intérieur, et celles qui frappent un État membre seulement. Dans ce dernier cas, la définition relève de la compétence nationale. On peut envisager l'obligation harmonisée de fixer une durée à l'urgence, mais aller au-delà risquerait de porter atteinte au principe de subsidiarité.

M. André Gattolin, rapporteur. - Peut-être pourrions-nous, à l'alinéa 68, mentionner parmi les exemples la notion d'une crise majeure. En outre, la proposition de règlement prévoit l'accès aux données pour prévenir -et non seulement traiter- une situation d'urgence. Le risque lié aux régimes d'exception me semble surtout important sur ce point.

Mme Catherine Morin-Desailly, rapporteure. - Selon le c du 1 de l'article 17 de la proposition de règlement, la durée d'utilisation des données doit être précisée. La répétition, même si elle est à la base de la pédagogie, est-elle bien nécessaire ?

M. André Reichardt. - Chat échaudé craint l'eau froide : nous voyons bien comment la deuxième vague pandémique, en France, avait conduit notre ministre de la santé à prolonger l'état d'urgence sanitaire, sous le prétexte effrayant d'une charge virale mille fois plus grande. L'autorité nationale peut prendre tout type de décision.

M. Jean-François Rapin, président. - Je ne vois pas l'autorité européenne s'y substituer.

M. André Reichardt. - Tout à fait, mais il s'agit de créer un garde-fou pour les autorités publiques, nationales comme européennes. Il faut selon moi préciser la notion d'urgence.

M. Jean-François Rapin, président. - À nouveau, j'alerte sur la nécessité de respecter le principe de subsidiarité.

M. André Gattolin, rapporteur. - Lors d'un déplacement sur place en septembre 2020, avec Jean Bizet et Jean-Yves Leconte, nous avions constaté que les décisions d'urgence prises en Hongrie ont annihilé la capacité des collectivités locales, notamment la mairie de Budapest, à exécuter leur budget, empêchant l'opposition à Viktor Orban de démontrer sa capacité à agir. Le recours à l'état d'urgence varie singulièrement d'un pays à l'autre.

Mme Catherine Morin-Desailly, rapporteure. - Nous n'avons pas vocation à définir l'urgence. Nous pourrions toutefois compléter l'alinéa 68 par les mots : « et que sa durée soit encadrée. »

M. André Gattolin, rapporteur. - Il faut en effet que la durée de telles mesures soit limitée.

M. André Reichardt. - Très bien.

Il en est ainsi décidé.

Mme Pascale Gruny. - Avec Laurence Harribey et Patricia Schillinger, nous travaillons actuellement sur la régulation en matière de données de santé. La protection des données de santé est fondamentale, mais celles-ci sont essentielles à la recherche. Tout en comprenant André Reichardt, je souligne l'importance de ne pas bloquer l'accès à ces données.

Mme Florence Blatrix Contat, rapporteure. - L'utilisation des données à des fins de recherche est déjà prévue dans le texte, et ce même en dehors de situation d'urgences.

M. Jean-François Rapin, président. - Nous sommes malheureusement très en retard sur les données de santé. Chaque application de santé prévoit des clauses d'acceptation par l'utilisateur du transfert de ses données, hors de tout contrôle...

Mme Catherine Morin-Desailly, rapporteure. - En principe, ces données sont anonymisées, mais les données françaises sont gérées par des acteurs extra européens. C'est pourquoi nous demandons que soit établie une liste des données sensibles. La Commission nationale de l'informatique et des libertés (Cnil) recommande d'ailleurs de trouver rapidement des solutions souveraines, qui sont à notre portée.

Mme Pascale Gruny. - La commission des affaires sociales travaille aussi sur ce sujet. La plateforme européenne attend la mise en oeuvre de la plateforme française.

L'anonymisation est associée au numéro d'inscription au répertoire (NIR, ou numéro de sécurité sociale), qui permet donc de retrouver la personne concernée. On risque de perdre l'anonymat. Les personnes auditionnées nous confirment qu'on ne pourra jamais se protéger de toutes les attaques conduites par des hackers.

M. Jean-François Rapin, président. - J'ajoute que le Sénat est attaqué depuis plusieurs jours. Soyez prudents... Vendredi, notre site était d'ailleurs inaccessible.

Mme Catherine Morin-Desailly, rapporteure. - André Reichardt demandait à préciser l'alinéa 29. Votre proposition de remplacer les mots : « n'est pas un service numérique lié à un objet connecté relevant » par les mots : « est exclu du champ » ne pose pas de souci. Appelons un chat un chat.

Il en est ainsi décidé.

M. Pierre Ouzoulias. - Je me réjouis que la commission des affaires européennes du Sénat soit pilote sur ces sujets complexes et irrigue les travaux des autres commissions. Après six ans, nous ne connaissons toujours pas la position du Gouvernement en la matière. Nous votons, deux à trois fois par an, des lois rendues obsolètes par les directives et règlements européens. Ainsi, le 12 juillet 2022, à l'occasion de l'examen du projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, le Gouvernement m'avait assuré que les prochains règlements européens ne remettraient pas en cause le texte que nous votions. Tel n'a pas été le cas, et le projet de loi qui vient d'être déposé ne fait que prolonger cette incompréhension.

Je tiens beaucoup à votre mention de l'interopérabilité dans la proposition de résolution. Les citoyens doivent avoir une alternative lorsque leurs réseaux sociaux et clouds ne sont pas conformes à leurs valeurs. Or, aujourd'hui, nous en sommes prisonniers, car nous ne pouvons retirer nos données de ces opérateurs.

Enfin, nous ne pouvons faire l'économie d'une politique industrielle et d'investissements massifs.

M. André Gattolin, rapporteur. - Nous le disons depuis dix ans !

Mme Catherine Morin-Desailly, rapporteure. - Considérez-vous normal que les fournisseurs de service d'informatique en nuage continuent à formuler des offres gratuites, jusqu'à un certain seuil, pour appâter et enserrer le client ? Il est difficile de sortir de ce qui s'apparente à du dumping.

M. André Gattolin. - L'internet s'est fondé sur le mythe de la gratuité. Les entreprises se rétribuent sur les données, la publicité ou l'abonnement, voire, en position dominante, sur l'ensemble des vecteurs. La gratuité, en elle-même, pose problème dans un système concurrentiel dès lors qu'elle emprisonne le client. Lors de son audition, OVHcloud, nous a rappelé que cette technique d'enfermement l'empêche de prospérer dans les secteurs où il est le plus concurrentiel. La suppression progressive, sur trois ans, des frais de changement d'opérateur émane sans doute du lobby des grands groupes internet à Bruxelles.

J'ai demandé à la Commission européenne qui étaient réellement les membres de DIGITALEUROPE : à de rares exceptions près, comme Dassault Systèmes, ils étaient à 90 % américains. Désormais, les Chinois, avec TikTok et Huawei, y sont présents en force. Alors que, depuis la directive sur le commerce électronique, on refuse les barrières pour ne pas gêner le développement d'un internet européen, avec notamment le principe de non-responsabilité des hébergeurs, on n'a fait que renforcer les opérateurs internationaux sur le marché européen.

Cependant, il ne fait pas de doute que la Commission est sous pression. Ainsi, lors des travaux sur la directive Vie privée et communications électroniques, les trente principaux cabinets d'avocats spécialisés dans le droit du numérique à Bruxelles étaient déjà sous contrat avec Google ou ce qui deviendrait Meta. Nous sommes juridiquement désarmés. La production du droit est en cours de « désouverainisation ».

Mme Catherine Morin-Desailly, rapporteure. - Seuls les Gafam - Google, Apple, Facebook, Amazon, Microsoft - peuvent proposer des offres véritablement gratuites. Ils captent les marchés par anticipation, notamment via l'Éducation nationale : c'est une concurrence déloyale au cloud européen. Je vous rappelle aussi que nos marchés sont ouverts aux quatre vents, quand ceux des États-Unis nous sont fermés. Sans symétrie, nous continuerons à scier la branche, déjà bien fragile, sur laquelle nous sommes assis.

M. Jean-François Rapin, président. - Le sujet émergent est celui des objets connectés. Un échelon est franchi avec la voiture autonome. On vous impose un opérateur, en général un Gafam, lors de l'achat du véhicule. Ainsi, un compte Google est requis pour faire fonctionner l'Austral de Renault. Nous sommes rattrapés par la patrouille, hors de toute réglementation.

Mme Catherine Morin-Desailly, rapporteure. - C'est tout l'enjeu des systèmes propriétaires.

M. André Gattolin. - Je souligne qu'il y a un défaut de vision globale en raison de l'emboîtement des législations européennes. Il est impératif de veiller à leur articulation..

La commission adopte la proposition de résolution européenne, ainsi modifiée, disponible en ligne sur le site du Sénat, ainsi que l'avis politique qui en reprend les termes et qui sera adressé à la Commission européenne et au Parlement européen, et autorise la publication du rapport d'information.