Mardi 8 avril 2014

- Présidence de M. Gaëtan Gorce, président -

Audition de M. Thierry Breton, ancien ministre de l'économie, des finances et de l'industrie, président directeur-général d'Atos, chargé de deux missions sur le cloud par le Gouvernement et par la Commission européenne

La réunion est ouverte à 16 h 05.

Mme Catherine Morin-Desailly, rapporteure. - Je vous remercie, Monsieur le Ministre, de vous être rendu disponible pour nous apporter votre éclairage sur la question de la gouvernance mondiale d'Internet et sur la nouvelle stratégie de l'Union européenne dans ce domaine. Nous vous avons sollicité parce que vous avez été chargé de deux missions sur le cloud, par le Gouvernement et par la Commission européenne. Pouvez-vous nous présenter les grandes lignes des conclusions que vous en dégagez aujourd'hui ?

M. Thierry Breton. - Merci madame la rapporteure. Je suis très heureux de me trouver ici. Le sujet que nous abordons est essentiel pour la nation comme pour l'Europe ; j'y travaille depuis longtemps, puisque j'ai été sollicité dès 1993 pour conduire une réflexion sur l'enseignement des technologies du futur à l'Université de Troyes : j'en discutais d'ailleurs à l'instant avec M. Adnot.

Je dois dire que j'ai trouvé l'intitulé de votre mission « Nouveau rôle et nouvelle stratégie pour l'Union européenne dans la gouvernance mondiale de l'Internet » un peu réducteur. Car que savons-nous de ce que sera l'Internet dans cinq ou dix ans ? Existera-t-il encore ? Internet n'est rien de plus qu'un protocole permettant l'échange et le stockage des données. Le vrai sujet est selon moi celui des données ; il est essentiel pour les entreprises comme pour nos compatriotes : ce sont les données qui seront la richesse de demain. Nous générons aujourd'hui tous les dix-huit mois autant de données que l'humanité en a créé depuis la nuit des temps. Ce bouleversement s'accompagne de nouvelles capacités de création de richesses et d'innovation.

Le principal moteur de l'innovation est aujourd'hui la proximité des données. La différence est considérable entre l'accès à des données stockées dans un environnement proche et celui à des données stockées ailleurs, dans d'autres environnements, avec d'autres régulations.

J'en viens à la mission que je mène avec Jim Snabe, co-président de SAP. Jim Snabe et moi-même faisons partie de l'European Cloud Partnership, de même qu'Hubert Tardieu, patron de la communauté scientifique chez Atos, qui m'accompagne ici, et Olivier Cuny, mon directeur de cabinet. Hubert Tardieu et moi-même avons travaillé à définir, au niveau européen, un cadre permettant la création de l'espace de confiance nécessaire au développement du cloud. Les données des Européens doivent être stockées et processées en Europe. C'est là un point sur lequel il ne faut pas transiger : nos données nous appartiennent. Nous préconisons donc qu'une politique d'opt-in, de consentement préalable, soit mise en oeuvre par les pays qui s'accordent sur une approche régulatrice du traitement et du stockage des données. Elle sera possible si l'Allemagne et la France s'entendent pour l'initier.

Nous avions développé notre réflexion avant que les révélations d'Edward Snowden n'interviennent l'été dernier. Il est de notre responsabilité et de celle du législateur de se préoccuper des problèmes qu'elles ont révélés. Concevrait-on que les données des Chinois soient traitées en dehors de Chine, ou que les données financières des Américains le soient en dehors des États-Unis ?

Il faut aller vite. Après avoir réglementé au fil des siècles l'espace territorial, l'espace maritime et l'espace aérien, il faut maintenant instituer des règles communes pour l'espace informationnel. Nous sommes parvenus, après une période erratique, à un bon alignement des positions des pouvoirs publics français avec celles que nous défendons au niveau européen. C'est ainsi que nous créerons un espace de confiance.

La protection des données doit être adaptée à leur nature et à leur usage. Encore une fois, l'élément décisif est la confiance. Depuis l'été dernier, beaucoup d'entreprises et de gouvernements hésitent à passer en mode cloud ; il permet pourtant la mutualisation des structures informatiques, la réduction des coûts et surtout le passage en paiement à l'usage (du type pay per view). Il est vrai que cela n'est pas sans poser problème pour le recouvrement de la TVA.

Nous plaidons pour l'instauration de règles exigeantes de qualité de service (Service level agreement). Devenir opérateur de données n'est pas une fonction anodine. Pourquoi ne pas envisager qu'il faille pour cela une licence professionnelle spécifique ? Il faut bien une licence pour tenir un débit de boisson... Il suffirait que trois ou quatre pays européens se mettent d'accord sur ce point. Cette espèce de « permis de conduire » serait imposée aux opérateurs étrangers intervenant en Europe. Pour traiter des données en Europe, c'est la loi européenne qui doit s'appliquer. Les acteurs accepteront d'autant mieux de confier leurs données à des prestataires que ceux-ci seront assujettis à des législations qu'ils connaissent.

Il faut pour cela concilier des approches aujourd'hui différentes. Nos amis allemands ont tendance, depuis l'été dernier, à se replier sur eux-mêmes. Le couple franco-allemand pourrait pourtant être un élément moteur pour la création de cet espace de confiance. Il suffirait que soit mise en place une régulation simple avec un niveau de sécurité uniforme. La France a eu jusqu'ici un rôle très moteur dans cette affaire. Elle a réussi à entraîner certains de ses partenaires, y compris nos amis britanniques, pourtant réticents.

Venons-en à présent au second aspect de la question. Arnaud Montebourg m'avait confié la mission de réfléchir, avec Octave Klaba, fondateur d'OVH, aux manières d'optimiser le cloud. C'était là l'un de ses 34 « projets d'avenir ». Nous avons procédé à une très large consultation des acteurs français. Il en résulte aujourd'hui un document finalisé assez exhaustif. Parmi ses principales conclusions figure le rétablissement de la confiance nécessaire pour que les acteurs économiques fassent appel au cloud, puisque cela implique qu'ils acceptent de confier leurs données à des tiers. On y parviendra par la création d'une labellisation secure cloud, équivalente à un permis d'opérer.

Nous insistons par ailleurs sur l'opportunité de développer des applications destinées aux collectivités locales, comme il en existe déjà en Grande-Bretagne. Il est vrai que notre système fiscal ne les incite pas à y recourir, notamment du fait des difficultés induites par notre fiscalité : il est possible de récupérer la TVA sur l'investissement, pas sur le fonctionnement.... C'est là un combat à mener pour ces collectivités.

Nous avons enfin défini des critères pour que l'écosystème soit favorable au cloud. Opérer des plateformes de cloud est très consommateur d'énergie. Une plateforme Amazon, par exemple, consomme à peu près autant qu'une ville de 10 000 habitants. Il faut donc disposer d'une bonne qualité de courant et d'une bonne prévision de prix. Dans ces conditions, le parc nucléaire français représente une carte importante à jouer. Autant de raisons pour lesquelles l'État doit intervenir dans cette transition.

Mme Catherine Morin-Desailly, rapporteure. - La question des données est au coeur de notre réflexion. Comme vous, nous n'avons pas attendu l'affaire Snowden pour nous la poser. Comment est-il possible, selon vous, d'assurer un service sécurisé du cloud tant que l'Europe ne maîtrise pas tous les facteurs matériels et logiciels qui soutiennent ce service ? La seconde question résulte de l'asymétrie entre juridictions européennes et américaines. Les États-Unis peuvent avoir la mainmise sur des données même si elles sont stockées en Europe. De ce point de vue, comment analysez-vous le projet de règlement européen actuellement en discussion ?

M. Thierry Breton. - Vous faites référence au Patriot Act. Je vous répondrai en tant que chef d'entreprise et que prestataire de traitement de données. Nous constatons aujourd'hui une préoccupation systématique de nos clients tant pour leurs propres données que pour leur responsabilité vis-à-vis de leurs clients. Il est indispensable que l'Union européenne prenne sur ce point une position ferme. La période est favorable pour ouvrir des discussions bilatérales avec les États-Unis, mais les Européens doivent s'y présenter groupés. Or depuis quelques mois l'Allemagne tend à faire cavalier seul, ce qui m'inquiète.

Mme Catherine Morin-Desailly, rapporteure. - Comment avez-vous compris l'appel de Mme Merkel à la constitution d'un Internet européen ?

M. Thierry Breton. - Il faut distinguer la question du stockage de celle des flux. Pour des raisons sans doute historiques, l'Allemagne a une relation passionnelle à la protection des données. C'est là une question à laquelle il faut une réponse politique. Vous aurez à réguler ce quatrième espace, de même que vous êtes déjà législateurs des trois premiers : comme il y a des sénateurs spécialistes du droit maritime ou aérien, il faudra des spécialistes non du droit d'internet, mais du droit informationnel.

Nous pourrions très bien faire comme les Américains et les Chinois : demander que les routeurs soient localisés sur le territoire européen, et qu'ils répondent aux règles européennes. On en revient au Patriot Act...Il est curieux que dans un monde totalement délocalisé, globalisé et dématérialisé, la territorialité existe pour le stockage et pour le flux des données ! Il n'y a pas d'autres solutions ; les Européens doivent avoir la force de le dire, sans apparaître rétrogrades : un continent de 565 millions d'habitants peut parfaitement agir comme un continent de 380 millions ou un autre de 1 200 millions.

Mme Catherine Morin-Desailly, rapporteure. - Pour l'instant, l'Europe ne nous semble pas maitriser tous les aspects du cloud.

M. Thierry Breton. - Les routeurs sont devenus des commodities. Plutôt que d'interdire ceux qui sont fabriqués en Chine, il vaudrait mieux s'en tenir au principe selon lequel une technologie doit répondre à un certain nombre de normes pour être utilisée sur un territoire donné. Nous avons besoin d'utiliser une technologie ouverte et mondiale, et pas d'en recréer une. J'ai eu à gérer, en 1975, la fin du Plan Calcul : ne nous mettons pas dans une situation intenable sous prétexte d'être indépendants. La solution réside dans la création d'un espace régulé et ouvert. Un contrôle a posteriori est bien préférable à un procès d'intention. Il nous faut accepter les technologies, sans avoir la naïveté d'oublier de leur appliquer nos règles.

Mme Catherine Morin-Desailly, rapporteure. - Quel bilan faites-vous du grand emprunt dans son financement du projet de cloud français? La presse a également rapporté vos propos : « l'industrie des télécoms brûle et nous regardons ailleurs »...

M. Thierry Breton. - Je ne me suis pas fait beaucoup d'amis avec cette formule.

Mme Catherine Morin-Desailly, rapporteure. - Quels sont les grands axes d'une politique efficace ?

M. Thierry Breton. - Le grand emprunt vient juste de démarrer. Il est difficile d'en faire le bilan. Un bon système et des règles de droit claires, appliquées à tous, valent mieux que des démarches protectionnistes. Qu'est-ce au juste qu'un cloud souverain ? Pour le gouvernement chinois, à Hong Kong, nous effectuons sur notre propre cloud la comptabilité, la paye, le contrôle d'accès en Chine, les transports. Le cloud appartient à une société française, qui respecte les règles strictes qui lui ont été imparties.

La tribune du Monde a été publiée au moment où le gouvernement précédent, celui de M. Fillon, avait décidé, ce qui a été une énorme erreur, d'octroyer une quatrième licence de téléphonie mobile. Elle était parue sous le titre « Free menace l'innovation en France », ce qui ne correspondait pas à mon propos. La régulation des télécoms en France et en Europe a été marquée par une erreur tragique. Nous nous retrouvons avec une centaine d'opérateurs, contre quatre aux États-Unis et trois en Chine. Les lobbyistes vous expliqueront que c'est bien. Il est vrai qu'en réduisant le nombre des opérateurs à quatre ou cinq, on a 80 % des parts de marché. Ce système est néanmoins destructeur de valeur.

L'Europe et la France étaient leaders sur ces marchés. Quand en 1999, chez Thomson, j'ai lancé la télévision sur ADSL, avec Serge Tchuruk, président d'Alcatel et Martin Bouygues, en 1999, nous étions les premiers. En tant que président de France Télécom, j'ai ensuite déployé le réseau ADSL afin que la télévision soit accessible sur l'ensemble du territoire national. La France a également été l'inventeur du GSM. Et voilà que notre industrie des télécoms sert à financer la dette que des personnes physiques ont contractée pour devenir les opérateurs d'un bien public. Les capacités de financement que nous avions créées sont réduites comme peau de chagrin, alors que nous sommes à la veille d'une vague gigantesque d'investissements pour le haut débit, la fibre ou la 5G.

Il est urgent de revoir notre régulation. J'ai un grand respect pour les entrepreneurs français, pour Iliad et Free qui saisissent les opportunités intelligemment. SFR s'est bien développée. Bouygues a montré son sens de l'innovation en s'alliant avec Do Communications over the Mobile Network (Docomo), au Japon. Il n'en reste pas moins que le système actuel n'est pas adapté aux enjeux. Il est temps de le réformer. Nous en avons parlé avec M. Silicani. Lors de la création de l'Arcep, j'avais mentionné dans les missions du régulateur, l'importance de l'innovation et de l'emploi. L'Arcep semble les avoir oubliés. Il serait bon que le parlement les lui rappelle.

Mme Catherine Morin-Desailly, rapporteure. - Vous avez préconisé le rapprochement de l'Arcep, dont nous avons auditionné le président, avec le CSA. Qu'est-ce qui justifie la fusion plutôt que le rapprochement ?

M. Thierry Breton. - Le CSA est assez proche des télécommunications. La concentration des opérateurs de télécommunications est inévitable, à terme. Il s'agit toujours de transférer des données. On commence à le dire en Europe, on va le dire en France. L'allègement de leurs tâches laissera aux autorités de régulation en France le loisir de traiter d'autres questions, comme par exemple celle des données qu'il serait très utile d'unifier. L'autorité de régulation des télécoms a accompagné le passage d'un monde dominé par le contrôle étatique à un monde plus libéral. Dans la phase de concentration des opérateurs, l'Autorité de la concurrence est bien plus présente que l'Arcep.

Mme Catherine Morin-Desailly, rapporteure. - Quelles sont les contraintes qui pèsent sur les entreprises, au-delà de la régulation ?

M. Thierry Breton. - En France, dans le domaine spécifique des télécommunications et des nouvelles technologies, où j'ai travaillé, les contraintes sont liées au droit du travail ou à certaines rigidités. Lorsque j'étais à la tête de France Télécom, il incombait au régulateur de mener un travail d'accompagnement et de transition, dans un contexte de privatisation du secteur. Je n'ai pas eu de problème à l'époque. Des dérives sont apparues quand on est allé trop loin, notamment avec l'attribution de la quatrième licence.

La spécificité du système fiscal est une autre contrainte. Vous avez beaucoup travaillé sur le système fiscal, au parlement. Dans l'émission de radio Le vrai faux de l'info, j'ai dit qu'au cours du dernier quinquennat, chaque jour ouvré voyait une nouvelle disposition fiscale. Le journaliste a confirmé mon propos, disant qu'il était en-dessous de la réalité. La mauvaise nouvelle, c'est que cette inflation fiscale perdure et les entreprises sont contraintes de s'y adapter.

Mme Catherine Morin-Desailly, rapporteure. - Qu'en est-il du projet Bluekiwi, projet européen des réseaux sociaux ?

M. Thierry Breton. - Le mail est un instrument archaïque et linéaire. Nos collaborateurs passaient 16 heures à traiter leurs mails, soit la moitié de leur temps de travail. Or, seulement 12 à 15% de ces courriers électroniques sont utiles. Atos vend de la productivité, de l'innovation technologique et du confort ; c'est également ce que nous recherchons pour notre entreprise. J'ai décidé que nous serions la première entreprise au monde à fonctionner avec zéro mail. Un plan zéro mail a été lancé, il y a trois ans. Un comité scientifique a recherché des technologies mettant en oeuvre d'autres systèmes de collaboration et de coopération. Nous avons acheté Bluekiwi, une start-up française, que nous avons intégrée et développée. Trois ans plus tard, le nombre de mails en interne a diminué de 60 %, l'objectif étant poussé à 80 % en juin prochain parce qu'un socle de 20% reste indispensable. Gartner nous suit avec attention, car c'est une première mondiale.

Dans notre groupe, nous avons désormais plus de 3 500 communautés qui travaillent entre elles. Le travail peut se faire par communauté (marketing, juristes...) ou par contrat. Une vue d'ensemble s'est substituée à la linéarité, assurant gain de temps, souplesse et facilité. D'autres outils complètent Bluekiwi, comme SharePoint, la messagerie instantanée ou tout simplement la communication verbale - pourquoi s'envoyer un mail, quand on peut se parler ?

M. André Gattolin. - La question de la consommation énergétique du cloud est importante, celle de la sécurisation ne l'est pas moins. Si l'alimentation du système n'est pas garantie ou est concentrée dans certains endroits stratégiques, quels modèles sont-ils envisagés ? Si une centrale nucléaire est protégée et qu'un autre objet stratégique la côtoie, fonctionnent-ils indépendamment ou bien leur protection est-elle liée ?

M. Philippe Adnot. - Je salue la capacité prospective de M. Breton. Lorsqu'il était patron de Thomson, j'ai demandé à y faire un stage, car je voulais savoir comment une entreprise offerte pour un franc aux Coréens avait pu être valorisée en bourse à 100 milliards, trois ans plus tard. La consommation énergétique du stockage des données, des data centers et du cloud représente un enjeu colossal. Une innovation consisterait à récupérer la chaleur qu'ils émettent plutôt que de consommer de l'énergie pour les refroidir. Est-ce crédible ? Dans l'Aube, nous avons développé une régulation de l'énergie par stockage par volant d'inertie. Cette technique a un taux de rendement extraordinaire.

M. Thierry Breton. - Traiter des données n'est pas un travail anodin. Cela requiert un certain nombre d'éléments de régulation et une qualité de service qui consiste par exemple à s'assurer pour les télécoms qu'il y a une double boucle. Nous traitons des dizaines de millions de mails de nos compatriotes dans nos data centers. Nous respectons des consignes très strictes de sécurisation pour l'alimentation en énergie ou pour basculer immédiatement sur des générateurs et des onduleurs sur site. Notre fuel est contrôlé chaque semaine pour éviter que des particules impropres ne le bloquent. Nous disposons également de deux sites pour la quasi-totalité des infrastructures que nous opérons, dont l'un est utilisé en back-up et en miroir de l'autre, sur un autre lieu. Dans le secteur bancaire, nous sommes le premier opérateur européen en matière de paiements électroniques. Juste avant Noël, un problème d'infrastructures en Belgique menaçait de paralyser 80% des transactions par carte. Il ne nous a fallu qu'une heure vingt pour rebasculer le système vers notre site miroir.

M. André Gattolin. - C'est de la défense stratégique !

M. Thierry Breton. - Nous sommes des opérateurs privés et nous devons répondre aux contraintes de nos clients, lesquelles peuvent être extrêmement strictes quand il s'agit du gouvernement chinois de Hong Kong ou de la défense britannique ou allemande. Puisque le cloud peut comporter toutes sortes de données, stratégiques ou non, une régulation est indispensable.

M. Philippe Adnot. - Qu'en est-il des innovations consistant à faire éclater encore un peu plus le stockage pour récupérer plus facilement l'énergie, et transformer une charge en profit ?

M. Thierry Breton. - Des groupes comme Schneider Electric y travaillent. Ce qui est coûteux, c'est le refroidissement dans la gestion des data centers. On est à la limite de la loi de Moore : on ne peut pas réduire la concentration des processeurs intégrés sur une puce, compte tenu de l'échauffement. Le refroidissement devient un enjeu essentiel. Nous disposons d'un data center très moderne, qui est situé en Finlande, car l'accès aux fjords facilite le refroidissement.

M. Philippe Adnot. - Qu'en est-il de l'utilisation de cette chaleur pour remplacer une autre énergie ?

M. Thierry Breton. - C'est un vrai sujet. Il y a des projets, celui des barges géantes, par exemple. À partir du moment où l'on double le nombre des données générées par l'humanité tous les dix-huit mois, et où on les stocke ad vitam aeternam, cela pose des questions physiques, mais aussi morales et politiques.

Mme Catherine Morin-Desailly, rapporteure. - Il y aurait aussi la question de la neutralité du net.

M. Thierry Breton. - Je suis à votre disposition pour en parler lors d'une prochaine réunion.

Mme Catherine Morin-Desailly, rapporteure. - Je vous remercie d'avoir déjà répondu à ces questions.

Présidence de M. Gaëtan Gorce, président -

Audition de M. Olivier Iteanu, avocat à la cour d'appel de Paris et président d'honneur de l'Internet Society France

M. Gaëtan Gorce, président. - Nous entendons Me Olivier Iteanu, avocat à la cour d'appel de Paris, professeur à l'université de Paris XI. Vous enseignez, étudiez et commentez le droit du numérique. Votre contribution nous aidera à mieux comprendre les enjeux du sujet.

M. Olivier Iteanu, avocat à la cour d'appel de Paris et président d'honneur de l'Internet Society France - Avocat depuis vingt-cinq ans, je me suis intéressé au droit des technologies de l'information dès l'origine. Je suis chargé d'enseignement à l'université de Paris I-Sorbonne, en Master 2 de droit du numérique. J'enseigne également à Paris XI, le droit des communications électroniques internes, dans le seul master 2 en Europe à être dédié au droit de l'espace et des télécoms. J'ai publié en avril 1996, Internet et le droit, chez Eyrolles, éditeur auquel je suis resté fidèle.

J'ai été confronté à la question de la gouvernance comme président de l'Internet Society France (Isoc), de 2000 à 2003. J'ai suivi les travaux de l'ICANN, avant même sa création. J'étais à Berlin, en 1998, en mission commandée par le Club informatique des grandes entreprises françaises (Cigref). J'ai été désigné dans un Comité statutaire de l'ICANN qui devait réfléchir à la création du comité At-large, dont Sébastien Bachollet était le représentant jusqu'à il y a quelques jours. J'ai été l'un des deux Européens désignés, l'autre étant Carl Bildt. J'ai enfin été nommé dans un comité statutaire qui réfléchissait au devenir du Whois, base de données qui suscitait un certain nombre de convoitises.

Dans la gouvernance mondiale de l'Internet, on incrimine beaucoup le gouvernement américain. Depuis le 6 ou 7 juin 2013, on connaît le programme de surveillance américain, Prism (Planning Tools for Resource Integration), auquel adhèrent des entreprises américaines, Microsoft depuis 2007, Apple depuis la fin 2012, Facebook et Google également. Aux États-Unis, les entreprises ont compris les véritables enjeux du stockage des données, ce qui n'est pas encore le cas en Europe. Quand j'étais au comité de l'ICANN, je pouvais connaître à la seconde le cours de bourse de Cisco.... Les entreprises américaines ont pénétré l'ICANN. Ce n'est pas la National Security Agency (NSA) qui surveille les populations, mais bien Google et Facebook. Les entreprises américaines ont été autorisées à surveiller les populations, en échange de quoi elles ont mis la main dans le pot de confiture des données.

Comment faire émerger les entreprises européennes ? Deux grands intermédiaires techniques interviennent lorsque l'on veut se connecter au réseau. Les opérateurs de télécoms, devenus depuis 2004 et l'apparition des fournisseurs internet, opérateurs de communications électroniques, et les hébergeurs. Les opérateurs ont un statut défini par le code des postes et communications électroniques : ils doivent se déclarer auprès de l'Arcep et le défaut de déclaration est sanctionné d'une peine pénale ; ils sont soumis à un cahier des charges prenant en compte les contraintes de sécurité nationale. Les opérateurs ont des formalités préalables à remplir et des obligations vis-à-vis des consommateurs, de la sécurité nationale et de la défense. S'ils manquent à ces obligations, ils risquent de voir leur statut suspendu ou retiré. Les hébergeurs, eux, sont dans une situation de libre concurrence totale.

Cette distinction, de plus en plus difficile à opérer sur le plan technique, n'a plus lieu d'être du point de vue de la sécurité nationale ou de la défense. Des acteurs, comme Amazon, ne sont pas seulement libres, ils soumettent de surcroît ceux qui ont recours à eux à une loi étrangère. Certes, le rapport Falque-Pierrotin du Conseil d'État avait raison d'affirmer qu'Internet n'était pas une zone de non-droit ; mais comme je l'ai écrit sur mon blog, ce n'est pas une zone de droit pour tout le monde : face aux géants du Web que sont Google, Facebook ou Twitter, le citoyen européen est-il dans une zone de droit ?

Voilà pourquoi je propose que ces hébergeurs reçoivent un régime statutaire comme les opérateurs, et soient pénalement sanctionnés s'ils ne le respectent pas. Si un opérateur osait soumettre ses clients à une loi étrangère, l'Arcep réagirait immédiatement ! Nul n'a jamais trouvé à y redire du point de vue du droit de la concurrence. De nouveaux acteurs européens pourraient ainsi émerger. Une telle réglementation existe déjà en matière de données de santé. L'affaire Prism a été un tsunami qui a révélé la collaboration entre les géants du Web et l'État américain. Le Sénat américain, au moment de reconduire le Patriot Act, a rejeté les amendements déposés par des démocrates pour garantir les libertés fondamentales.

M. Gaëtan Gorce, président. - Pouvez-vous détailler votre proposition ?

M. Olivier Iteanu. - Il s'agirait de créer un régime juridique d'enregistrement, voire d'agrément pour les données les plus sensibles, comme en matière de données de santé, avec un bras armé pour le faire respecter. Il faudrait rédiger un cahier des charges qui pourrait être intégré au code des postes et des communications électroniques, et qui interdirait par exemple de communiquer des données à un pays étranger, et renforcerait l'obligation, déjà en vigueur depuis l'ordonnance d'août 2011, de notifier toute faille de sécurité, sous peine de sanctions. Le parquet vient enfin d'ouvrir une enquête préliminaire sur Skype.

Vous, législateurs, avez un rôle à jouer. Il n'y a que le droit qui puisse faire reculer les géants du Web.

Mme Catherine Morin-Desailly, rapporteure. - Le système de Safe Harbor doit-il être abandonné ? Que pensez-vous de la neutralité du Net, qui est comprise de manière si différente en France et aux États-Unis ?

M. Olivier Iteanu. - Le Safe Harbor a toutes les apparences d'un régime agréable, politiquement correct, d'autorégulation, qui convient bien à la société américaine. Créé par le Département du commerce des États-Unis, ayant recueilli l'adhésion des entreprises américaines, il a finalement été accepté, sans possibilité de contrôle ni de sanctions, par la Commission européenne, qui a fait preuve en cela d'une certaine naïveté. Depuis, les autorités de régulation des Vingt-Neuf et la Commission elle-même ont exprimé leur mécontentement. Il faut profiter du mouvement créé par l'affaire Prism pour dénoncer son efficacité très limitée. Pour moi, Safe Harbor 1, sans possibilité de sanctions et sans engagement des autorités américaines pour son contrôle, est mort. Bien sûr, l'autorégulation sur laquelle repose ce système a été introduite dans notre droit, comme avec les correspondants informatique et liberté, mais quand même, la CNIL veille ! Peut-être les Américains veulent-ils laisser tranquilles ces gens parce qu'ils leur rendent des services...

Que penser d'un opérateur téléphonique qui refuserait de servir les ruraux ou pratiquerait un tarif différent selon le quartier de la ville où ils résident ? Je vois bien que les opérateurs aimeraient voir évoluer la situation pour des questions de gros sous, et récupérer une part du gâteau de Google ou de YouTube et sont mécontents de l'utilisation de la bande passante. L'arme juridique en France est jusqu'à présent le service universel, dont l'accès à Internet fait partie. L'en retirer du point de vue de l'utilisateur provoquerait une fracture non seulement sociale, mais également géographique ; il en résulterait une société à plusieurs vitesses, ce qui devrait tout particulièrement préoccuper le Sénat. Toute la société ou presque a en effet basculé autour des réseaux numériques : peu d'activités économiques lui sont étrangères.

Mme Catherine Morin-Desailly, rapporteure. - En tant que président d'honneur de l'Isoc-France, pouvez-vous nous parler de vos relations avec l'ICANN ?

M. Olivier Iteanu. - Cela fait dix ans que je ne suis plus opérationnel à l'Isoc, que j'ai cofondé en 1996 ; le but était alors de promouvoir un message consensuel : Internet pour tous. Je n'ai pas pénétré les arcanes de ma désignation au sein de l'ICANN ; mon appartenance à l'Isoc, qui a contribué à sa création, y est certainement pour quelque chose. Dix ans après, je pense que l'Isoc, qui se borne aujourd'hui à enregistrer les « .org », ce qui constitue son financement, a bien travaillé pour les États-Unis d'Amérique. Nous avions des objectifs louables, mais n'avons pas vu que l'influence américaine pouvait s'appuyer sur le réseau : voyez comme les directives européennes s'éloignent du droit français, sur l'autorégulation par exemple, totalement absente de la loi de 1978. L'Isoc est proche de l'ICANN, même si cette proximité n'est ni organique, ni financière.

Mme Catherine Morin-Desailly, rapporteure. - Les auditions auxquelles nous avons procédé font apparaître un manque de transparence de ces organismes, qui ne sont pas responsables de leur activité devant les gouvernements. Comment y remédier ?

M. Olivier Iteanu. - L'ICANN est transparent, au contraire, mais dans un foisonnement de données qui brouille les pistes très savamment ! Voilà un bel exemple de law intelligence, par laquelle un acteur utilise le droit pour asseoir son pouvoir. L'Icann est une société à but non lucratif, sans associés ni assemblée générale, mais avec des stakeholders, et dépendant du droit californien, lequel dans mon souvenir, ne connaît dans ce cas d'action en responsabilité. Je ne vois pas comment ouvrir ce système où tout a été soigneusement prévu pour le mettre dans les mains du Département du commerce. La seule façon d'être efficace, c'est d'agir en dehors. Il faut prendre au mot les États-Unis qui proposent de rendre multilatérale la gestion des ressources rares d'Internet, ou réfléchir comme M. Pouzin à un système de nommage parallèle. Mais cela signifierait se couper de la patrie du Web. Cette révolution est difficile à imaginer, d'autant plus que Microsoft, Google, Facebook entrent dans nos propres entreprises à tous les niveaux.

Mme Catherine Morin-Desailly, rapporteure. - Que pensez-vous des instances d'arbitrage et de médiation, qui participent aujourd'hui à la régulation ? Êtes-vous favorable à la création d'une instance de ce type pour assurer la mise en oeuvre d'une constitution d'Internet ?

M. Olivier Iteanu. - Je suis très méfiant à l'égard de l'arbitrage, qui implique un coût - de 1 500 dollars actuellement pour les noms de domaine à l'Organisation mondiale de la propriété intellectuelle à Genève, cette taxe étant redistribuée aux panelistes et aux experts. Je suis très attaché au service public de la justice au sens large, incluant l'expérience originale de la Cnil. Lorsque celle-ci condamne à des amendes de 150 000 euros, cela fait sourire outre-Atlantique ; mais ces acteurs sourient un peu moins lorsqu'elle publie la condamnation, tant ils sont attentifs à leur e-réputation. Comme on peut en retrouver la trace dans la base de jurisprudence Legalis.net, j'ai vu des entreprises telles qu'E-Bay reculer. À la fin des années 1990, le juge Gomez a non seulement condamné Yahoo pour la vente aux enchères d'insignes nazis, mais il a cherché à savoir comment exécuter cette décision aux États-Unis. Malgré des contre-feux allumés en Californie, Yahoo a fini par se soumettre. Même un petit juge français est à même d'infléchir l'e-réputation de ces géants- en fait, il est le seul à le pouvoir. C'est l'arme principale de la Cnil : dans le domaine du BtoC, soit les services aux consommateurs, une entreprise a vu son chiffre d'affaire baisser brusquement de 40 % dans les semaines qui ont suivi l'annonce de sa condamnation. L'arbitrage représente un coût et il s'agit d'une boîte noire qui n'est pas si efficace qu'on le dit : la concentration du pouvoir de juridiction rend l'action des lobbies plus facile.

Quant à une constitution pour Internet, qui aurait comme je le souhaite une force obligatoire, elle n'est pas pour demain !

M. Gaëtan Gorce, président. - Je vous remercie.

Audition de MM. Jacky Richard, rapporteur général, et Laurent Cytermann, rapporteur général adjoint, de la section du rapport et des études du Conseil d'État

M. Gaëtan Gorce, président. - Nous accueillons maintenant MM. Jacky Richard, président adjoint et rapporteur général, et Laurent Cytermann, rapporteur général adjoint, de la section du rapport et des études du Conseil d'État. La précédente audition a été l'occasion de soulever l'hypothèse d'un statut de l'hébergeur, qui serait ainsi soumis à des obligations et à des sanctions. Vous aborderez peut-être cette question ?

M. Jacky Richard, président adjoint et rapporteur général de la section du rapport et des études du Conseil d'État. - Tous les ans, notre institution détermine un thème pour le seul de ses travaux qui dépend de son choix. Cette année, après le droit souple, les agences et « consulter autrement, participer effectivement », le Conseil d'État a décidé de travailler sur le numérique et les droits et libertés fondamentaux. Ce thème, que la section des études avait déjà proposé il y a quelques années, a fini par être jugé de la plus grande importance.

Depuis cet été, nous avons procédé à une soixantaine d'auditions, d'hommes et de femmes de l'art, mais aussi de juristes, de chercheurs, de représentants de grands groupes numériques, de fiscalistes. Au-delà, nous avons constitué un groupe de contact - et non un groupe de travail - d'une vingtaine de personnes très intéressées par le sujet, d'horizons très divers (acteurs de l'économie numérique, représentants de grandes associations de défense des droits de l'homme ou des consommateurs, chercheurs ou techniciens) auxquels nous avons présenté nos intuitions, puis nos orientations, et à qui nous soumettons maintenant nos propositions. Nous avons été deux fois à Bruxelles, pour rencontrer des représentants de la Commission, du Conseil européen, du Parlement européen et des lobbys installés à Bruxelles. Enfin, cette étude thématique cessera d'être le travail de notre section ou de son rapporteur général pour devenir celui du Conseil d'État tout entier : elle passera par le filtre de l'assemblée générale, ce laminoir qui offre toutes les garanties en termes juridiques et de diversité des angles de réflexion. Nous présenterons notre travail fin mai à l'assemblée générale, puis début juillet aux autorités.

Deux sujets sont à l'articulation de la problématique autour de laquelle se déploie le plan général de l'étude adopté en janvier par l'assemblée générale : la gouvernance de l'Internet et la territorialité de la norme. Puisqu'il s'agit de droits fondamentaux, le Conseil d'État porte une attention très forte à la protection des données personnelles ; cependant cette problématique doit être vue dans sa complétude : Internet et le numérique en général offrent des potentialités en termes économiques et de liberté qu'il ne faudrait pas mettre sous le boisseau, sous prétexte de risques avérés d'atteintes aux droits fondamentaux.

La gouvernance présente des difficultés majeures ; il ne s'agit pas seulement d'ICANN et de ses satellites, ni uniquement de la domination d'un modèle multipartite de plus en plus contesté, mais aussi d'initiatives à l'échelle régionale ou nationale.

Il y a aussi des tensions au sujet de la gouvernance d'Internet. À cet égard, il ne faut pas sous-estimer l'effet des prises de position des États, même si cela va à l'encontre des idées reçues. Certes l'ICANN a une gouvernance souple, multipartite, qui fonctionne selon un rapport de forces établi, sans reposer sur du droit dur, mais des dispositions de droit peuvent modifier les structures d'Internet. Le traité de l'Organisation mondiale de la propriété intellectuelle de 1996 a incité les États-Unis à prendre, en 1998, le Digital Millennium Copyright Act (DMCA). De même, en Europe, la directive sur le commerce, les directives sur le commerce électronique en 2000 et sur le droit d'auteur en 2001, ou la directive sur les données personnelles de 1995 ont eu des effets.

Cessons de nous lamenter sur une gouvernance d'Internet qui nous échapperait ; il est possible d'agir. Le modèle multipartite, s'il reste très présent, suscite des controverses, car le déséquilibre en faveur des États-Unis est fort. La Chine développe son propre standard pour échapper à cette gouvernance. Les sujets techniques comme la migration de l'Internet Protocol (IP) sont source d'évolutions. Un nouveau cadre est à définir. Il est possible de faire des propositions. Encore faut-il être présent ! Les Européens sont absents. Mme Revel, dans son rapport, le soulignait déjà. La conférence de Sao Paulo sera l'occasion de poser des jalons en vue d'une nouvelle gouvernance, pas seulement multipartite mais aussi intergouvernementale. L'idée défendue par la France et l'Allemagne d'une agence mondiale multipartite qui intégrerait toutes les composantes d'Internet est une piste intéressante. Nous ferons des propositions en ce sens.

M. Laurent Cytermann, rapporteur adjoint. - S'agissant de la territorialité de la norme, il importe tout d'abord de se défaire de plusieurs idées fausses mais profondément ancrées. Ainsi, Internet serait, par nature, a-territorial. Toutefois, dès qu'une entreprise et un particulier nouent des contacts sur la toile, des rapports de droit international privé se créent, même s'il faut définir le juge et le régime juridique applicable, celui du pays où est installé l'entreprise ou celui du pays de l'internaute. Comme beaucoup d'entreprises sont installées hors de l'Union européenne, elles sont susceptibles d'échapper à la compétence de nos juridictions. C'est parfois compliqué, mais le droit s'applique. Dans l'affaire des enchères d'objets nazis, Yahoo, qui avait été condamnée par la justice française, a été déboutée par la justice américaine qui a explicitement reconnu la compétence de la justice française pour prononcer des sanctions. De même, le juge français s'est reconnu compétent pour demander à Twitter de supprimer le hashtag « Un bon juif » ; Twitter a obtempéré et un mécanisme de signalement des insultes antisémites a été mis en place. Ces exemples montrent que le juge peut faire évoluer le droit.

Il convient ensuite de distinguer la responsabilité pénale ou civile délictuelle ou quasi-délictuelle et la responsabilité contractuelle. Dans le premier cas, l'enjeu est de déterminer la loi à appliquer, celle du pays de l'entreprise ou celle du pays de l'internaute. Les jurisprudences française et européenne ont évolué. Initialement le juge se déclarait compétent dès lors que le site était accessible depuis la France, ce qui lui donnait potentiellement une très large compétence. Désormais prévaut le critère de l'activité dirigée du site, appréciée selon un faisceau d'indices (langue du site, existence ou non d'une version française, monnaie utilisée, etc.).

En matière contractuelle, une grande liberté est reconnue aux parties pour choisir leur juge et le droit applicable. Les entreprises qui vendent des services sur Internet accompagnent souvent leurs prestations de clauses prévoyant la compétence de la législation américaine et à l'égard desquelles l'internaute est démuni. Toutefois, cette prédominance de la volonté des parties n'est pas sans limites. Les règlements européens Bruxelles I et Rome I empêchent une entreprise de priver un consommateur de la protection de sa législation nationale. La cour d'appel de Pau, dans un arrêt Sébastien R. contre Facebook, estimant que les clauses de Facebook n'étaient pas claires et que, dès lors, le consentement de l'internaute n'était pas valable, s'est reconnue compétente et a écarté la compétence de la justice américaine. Le règlement Bruxelles I bis, qui remplacera en janvier 2015 Bruxelles I, élargit le régime, puisqu'il s'appliquera aux consommateurs, même si l'entreprise est située hors de l'Union européenne. En outre, le projet de règlement sur les données personnelles, déjà voté par le Parlement européen, sera applicable aux responsables de traitement établis hors de l'Union européenne qui vendent leurs services à des consommateurs européens ou observent le comportement d'internautes européens - c'est l'application du critère de l'activité dirigée. Il apparaît important que les États de destination fassent prévaloir leurs normes.

M. Gaëtan Gorce, président. - En matière de protection des données personnelles, les règles françaises et européennes s'appliquent ; la CNIL et la justice française sont compétentes. Mais que se passe-t-il si les violations des règles ne sont révélées qu'indirectement, par exemple en cas de transfert de données à des fins d'espionnage ? Comment le citoyen français peut-il faire respecter ses droits à l'égard d'une entreprise américaine qui aurait transmis des données personnelles à son gouvernement, comme dans le cas de l'affaire Prism ? Comment la France peut-elle faire respecter sa souveraineté et sa sécurité ?

M. Laurent Cytermann. - La question de la territorialisation de la loi se traite dans le cadre du Safe Harbor auquel est annexé un mécanisme de règlement des conflits : chaque entreprise qui y adhère doit proposer un mode alternatif de règlement des différends non juridictionnel. Des instances existent comme le panel de protection des données de l'Union européenne. La Commission européenne et le Parlement européen ont dressé un bilan de ce dispositif. Ces mécanismes de résolution des conflits sont très peu utilisés. La Federal Trade Commission américaine est très peu saisie par les autorités nationales de protection des données européennes. Il y a des mécanismes, mais ils restent peu utilisés.

M. Gaëtan Gorce, président. - Un citoyen européen qui considère que ses données personnelles ont été divulguées sans son accord doit-il faire jouer ces mécanismes ou saisir la justice ?

M. Laurent Cytermann. - Ces mécanismes ne sont pas exclusifs des recours juridictionnels. La hiérarchie des normes s'y oppose. Le régime varie toutefois selon qu'il s'agit de responsabilité délictuelle ou contractuelle. 

M. Gaëtan Gorce, président. - Comment un État peut-il réagir, d'un point de vue juridique, s'il constate qu'une entreprise collecte et divulgue à des fins d'espionnage des données susceptibles de mettre en danger sa sécurité nationale ?

M. Laurent Cytermann. - Le Safe Harbor contient une clause de sauvegarde qui autorise les États, en cas d'atteinte grave à un droit fondamental, ou si une autorité nationale, chargée de contrôler les entreprises de son pays, n'a pas donné suite aux demandes qui lui ont été adressées, à enjoindre la suspension du transfert de données.

Mme Catherine Morin-Desailly, rapporteure. - Avez-vous réfléchi à une modification du statut des données à caractère personnel pour mieux les protéger dans le contexte du big data ? Les données biométriques doivent-elles faire l'objet d'un sort particulier ? Quid d'un droit de propriété sur les données personnelles ?

M. Jacky Richard. - Il faut définir avec attention la notion de données. Une trace, par exemple, est-elle une donnée ? Il est également nécessaire de distinguer les données publiques et les données privées. Les big data posent la question des données privées en des termes différents des données collectées par la voie des réseaux sociaux. L'anonymisation des données est au coeur des réflexions. Le législateur devra réaliser des choix. Les données de santé ou les fichiers de sécurité sociale, par exemple, sont susceptibles d'être utilisées à des fins de santé publique, mais leur exploitation renforce aussi le risque de traçage des individus. Il revient au législateur de fixer la frontière entre les données privées dont la confidentialité doit être préservée et celles qui peuvent servir de base, grâce à des mécanismes d'agrégation sous réserve de précautions, à une économie fondée sur la valeur liée à l'exploitation de ces données.

Notre rapport consacrera à la question de la propriété des données une large analyse. Il peut sembler tentant de les faire bénéficier d'un régime de propriété. Cependant, après de multiples échanges, il ne nous semble pas que cette voie soit féconde. En effet, la propriété implique le droit de vendre et cette conception patrimoniale des données présente des dangers. Nous sommes prudents.

M. Laurent Cytermann. - Entre les big data, le principe de finalité de la collecte des données et celui de proportionnalité, rebaptisé par le Parlement européen principe de minimisation, il y a un écart qui n'est pas que sémantique : en effet les big data impliquent l'accumulation sans cesse croissante de données afin d'augmenter toujours les potentialités d'exploitation et de faciliter l'apparition d'usages imprévus lors de la collecte. Les principe de finalité et de proportionnalité constituent le socle de la convention 108 du Conseil de l'Europe ou de la Charte des droits fondamentaux et ont été réaffirmés avec éclat par le Parlement européen dans son vote de mars à une très large majorité.

Les big data concernent peu les données personnelles. Lorsque c'est le cas, les données qu'il fournit sont des corrélations et des déductions fondées sur l'exploitation collective et l'agrégation des données. Le chemin de crête est étroit. Le Parlement européen privilégie la notion de données pseudonymes, qui ne permettent pas d'identifier les individus. Mais les capacités de réidentification ne cessent de se développer, ce qui soulève de nombreuses difficultés avec l'open data, d'autant plus que ces données sont mises en ligne. Dans le cadre de big data, les données personnelles sont mises à dispositions d'acteurs qui les retraitent. Il faut alors prévoir des garanties suffisantes d'anonymisation. Le Conseil d'Etat y réfléchit. C'est un sujet difficile.

M. Jacky Richard. - Il faut aussi déterminer si les principes de finalité et de proportionnalité doivent s'appliquer lors de la collecte ou lors de l'utilisation des données. Les conséquences pour la protection des données sont importantes. La Cour de justice de l'Union européenne inclinerait vers la première solution, plus protectrice des données individuelles.

M. Gaëtan Gorce, président. - Internet est fondé sur le droit privé et contractuel. Pourtant, Internet s'apparente de plus en plus à un service public. Cela ne constitue-t-il pas une base pour renforcer l'intervention des pouvoirs publics ?

M. Jacky Richard. - En effet, à la suite de l'affaire Prism, de nombreux signaux évoquent une intervention accrue des États voire de l'Europe, mais le chemin reste long pour trouver des positions communes comme la discussion du règlement sur les données personnelles l'a montré. Sur la gouvernance d'Internet ou sur l'articulation des législations entre le pays d'origine et le pays de destination, les travaux du Parlement européen confèrent à l'ensemble du droit de l'Internet des caractéristiques qui renforcent la souveraineté, non plus définie dans un cadre étroitement national, mais autour de communautés de valeurs. La conférence de Sao Paulo ou les initiatives prises par le Parlement brésilien récemment en sont une autre illustration, tout comme les réflexions sur le cloud européen. La route reste longue, mais les autorités peuvent prendre des positions plus fortes. D'ailleurs, les responsables de Google s'y attendent ! D'ici là, ils profitent des flous et des lacunes de la législation.

M. Gaëtan Gorce, président. - Serait-il pertinent de définir un statut juridique de l'hébergeur, comparable à celui des opérateurs ? Faut-il instaurer un régime d'agrément préalable?

M. Laurent Cytermann. - Il existe déjà un statut, sans doute insuffisant, des hébergeurs qui les soumet à certaines obligations en matière de suppression des contenus illicites. Les opérateurs ne sont pas soumis à agrément, mais seulement à l'exigence d'une déclaration préalable. La différence est grande avec l'agrément ! Il est difficile d'envisager de passer de l'absence de déclaration à l'autorisation préalable. Cela ne signifie pas qu'aucune obligation ne doive s'appliquer. Il est possible de concilier liberté pour la création de l'activité d'hébergeur et renforcement des obligations.

M. Jacky Richard. - Internet est en évolution permanente. Imaginer que le droit dur puisse le réguler durablement est un leurre - songez à Hadopi... Le Conseil d'État a consacré l'an passé un rapport au droit souple. Le droit souple, c'est du droit ! Le juge peut s'appuyer dessus. Il est fondé sur des adhésions, des recommandations, des lignes de conduite, non sur des sanctions. Ces approches sont préférables à la fixation d'un statut immuable borné par des sanctions, qui constituerait un leurre. L'article 6 de la loi pour la confiance dans l'économie numérique fixe à cet égard des obligations précises.

M. Gaëtan Gorce, président. - Ne faut-il pas alors redéfinir totalement la protection de la vie privée ?

M. Jacky Richard. - Absolument ! Lorsque nous avons adopté en assemblée générale notre plan détaillé, des points de vue très différents sont apparus sur ce sujet. La conception de la vie privée comme une sphère de l'intime, du caché, évolue. Le chercheur Antonio Casilli définit la vie privée comme un ensemble relationnel constitué d'interactions entre ce que l'individu laisse paraître de lui et ce que les autres lui renvoient, le tout articulé autour de différents cercles. Légiférer sur ce sujet n'est pas la meilleure solution.

M. Laurent Cytermann. - La droit à la protection de la vie privée est un droit fondamental et, en tant que tel, il s'applique sur Internet. Reste qu'il ne peut plus être seulement conçu comme le droit de cacher le plus de données possibles car de plus en plus les individus souhaitent s'exposer. Il s'agit moins du droit « d'être laissé en paix », comme le disait Louis Brandeis, juge à la Cour suprême des États-Unis, que celui de disposer de la maîtrise de ce que l'on expose, sans être la victime d'un processus de divulgation non contrôlé. La jurisprudence de la Cour constitutionnelle allemande a d'ailleurs défini le droit à l'autodétermination informationnelle. Il faut en décliner les garanties et les modalités pratiques.

M. Jacky Richard. - A cette question sont liées celles du droit à l'oubli, au déréférencement, une nouvelle définition du consentement. Il nous appartient de trouver l'équilibre subtil, mais à notre portée, entre le cadre fixé par la loi, la responsabilité des individus et la possibilité d'appréciation du juge comme arbitre.

M. Gaëtan Gorce, président. - Ainsi la vie privée cessera d'être le droit de garder des choses secrètes pour devenir celui de définir dans quelle mesure elles sont publiques. Je conserve la nostalgie de l'idée d'un secret intime...

Je vous remercie pour votre contribution.

La réunion est levée à 19 heures.

Jeudi 10 avril 2014

- Présidence de M. Gaëtan Gorce, président -

Audition de M. Vincent Champain, directeur des opérations de General Electric France

La réunion est ouverte à 9 heures.

M. Gaëtan Gorce, président. - Je vous remercie d'avoir répondu à notre invitation. Vous menez une réflexion prospective sur l'influence des technologies numériques sur l'économie, et c'est pourquoi nous avons souhaité vous entendre dans le cadre de notre mission commune d'information sur la gouvernance de l'Internet.

M. Vincent Champain, directeur des opérations de General Electric France. - Les usages de l'Internet sont multiples, ce qui complique la tâche en matière de régulation. Il y a bien sûr les usages grand public que tout le monde connaît, mais il en est également d'autres, dont on entend moins parler. Le récent crash de l'avion Malaisien en a donné un aperçu, puisque l'on a appris, à cette occasion, que les dernières informations envoyées au sol étaient celles qui provenaient du moteur, que les fabricants équipent de capteurs pour savoir comment il se comporte selon la température et l'altitude, afin d'en optimiser le fonctionnement. Et ces informations passent par Internet. Il s'agit là de données qui n'ont aucun caractère individuel, mais dont la collecte et l'utilisation génèrent de la valeur et du progrès technique.

Si j'ai cité cet exemple, c'est pour illustrer combien il importe de distinguer les usages, pour trouver, sur chaque segment, le bon équilibre entre les exigences du progrès technique et de l'efficacité et le droit à la protection de la vie privée. Le segment de l'Internet industriel est peu connu, mais c'est pourtant sur ce relai que le combat industriel va se mener.

Les géants qui brassent de gros volumes de données individuelles se sont développés parce qu'ils pouvaient s'appuyer sur des masses critiques linguistiques. Avant que n'apparaisse un acteur de la taille de Google, les initiatives ont été nombreuses, tant en Europe qu'aux États-Unis. Je pense à celle de François Bourdoncle, qui, après avoir travaillé dans la Silicon Valley, pour affiner les résultats renvoyés par le moteur Alta Vista, a créé un moteur de recherche français, Exalead, dont le développement a certainement souffert de ce défaut de masse critique. Aux États-Unis, en revanche, les entreprises ont pu s'appuyer sur une communauté linguistique de 300 millions de locuteurs, qui leur a donné l'avantage. Nous aurions pu gagner la bataille si nous avions raisonné non à l'échelle nationale mais à celle de la francophonie, pour gagner en masse critique.

Il en va de même en matière de gouvernance, ou dans les accords de libre-échange : nous ne valorisons pas cette plaque francophone. On gagnerait à faire pencher le curseur du côté de la francophonie numérique, sans donner l'exclusive aux questions culturelles, car certaines applications du big data en font aussi un sujet industriel. Je pense notamment aux analyses qui peuvent être conduites sur ce qui se dit des marques dans les blogs en français : il est plus facile de se développer autour d'une clientèle qui parle la même langue que d'avoir à franchir des barrières linguistiques. Joël Rubino, un ancien d'IBM, a créé une start-up, Apicube, qui travaille là-dessus, avec l'idée que les technologies qui fonctionnent en français peuvent se développer en s'appuyant sur la francophonie.

Le deuxième enjeu industriel concerne ce que l'on appelle, en bon français, la data competitiveness. S'il est plus facile d'être localisé à Gibraltar qu'en France, cela suscitera rapidement des difficultés... Ceci pour dire combien il importe de prendre en compte, dans le débat sur la sécurité des données personnelles, les enjeux industriels, et par conséquent de mener un dialogue dynamique avec tous les acteurs, y compris avec le monde français des hackers. En matière de régulation législative, on ne peut pas partir de l'idée que ce que l'on va édicter vaudra pour cent ans... Jusqu'à présent, dans les organes de consultation appelés à se prononcer sur le web, sur le web 2.0, on a largement privilégié l'architecture institutionnelle, sans donner assez de place au monde industriel. Un rééquilibrage serait bienvenu.

S'agissant de la protection des données personnelles, les choses sont plus complexes qu'on ne le croit. Il y a quelques années, des packs énormes de requêtes effectuées sur Yahoo se sont retrouvées sur Internet. Il a été démontré que ces données, quand bien même elles ne comportaient aucune indication personnelle, permettaient d'identifier des individus, parce qu'il s'agissait de données très intimes. Peut-être certains sites miroirs autorisent-ils encore aujourd'hui de telles explorations.

Quelles solutions ? Je crois qu'au-delà des modes de régulation classiques, on gagnerait à être plus humbles et plus dynamiques dans le dialogue, car les innovations industrielles deviennent vite caduques. Les technologies n'apportent pas que des menaces, elles peuvent aussi apporter des solutions pour protéger le partage de l'information.

N'oublions pas que nous sommes dans un cadre mondial, où les effets d'échelle sont très rapides. Voyez comment WhatsApp, démarrée avec quarante personnes, est devenue, en quelques trimestres, aussi puissante que nos champions de l'automobile.

L'Europe souffre d'un petit retard, pour deux raisons. L'une est positive, elle tient à notre souci de la protection des données individuelles et du droit à l'intimité numérique, mais l'autre ne l'est pas, et c'est le manque de coordination entre États membres. Certes, les textes en préparation visent à faire face à cet enjeu mais pour l'heure, une start-up qui cherche à grossir se trouve confrontée à vingt-sept droits différents.

Mme Catherine Morin-Desailly, rapporteure. - Si je vous comprends bien, le projet de règlement sur la protection des données ne vous semble pas satisfaisant ?

M. Vincent Champain. - L'harmonisation est toujours bienvenue, car elle clarifie les choses. Mais il importe que les parlementaires reçoivent une information équilibrée. Or, à l'heure actuelle, les débats se focalisent sur la protection des données, au détriment des questions de stratégie industrielle. En matière de protection des libertés individuelles, il existe des structures institutionnelles, ce qui n'est pas le cas pour les questions industrielles, où l'on manque de smart regulation, de régulation par les normes. Nous avons certes connu des réussites, comme la norme GSM, qui a su s'imposer à nos 500 millions d'utilisateurs, quand les choses étaient plus complexes aux États-Unis, mais ces succès sont imputables à nos ingénieurs. A présent, ce sont plutôt les juristes qui mènent le jeu, et l'on peut craindre qu'ils ne sous-estiment les enjeux industriels, au détriment de nos start up, nos PME, qui ont, par définition, plus de mal à faire entendre leur voix.

M. Gaëtan Gorce, président. - Sur ce terrain industriel, où se trouve, à votre sens, le pouvoir sur l'Internet ?

M. Vincent Champain. - Pour ce qui est des infrastructures, il est entre les mains des entreprises de télécoms nationales et européennes et des instances de régulation mondiales qui régissent les noms de domaine, les protocoles... Le W3C, par exemple, est plutôt d'origine scientifique ; le protocole html a d'ailleurs été créé par l'Organisation européenne pour la recherche nucléaire, le Cern. La difficulté, c'est que ce sont des modes de pouvoir très décentralisés. L'écart est un peu de même ordre qu'entre une banque centrale et le bitcoin : il n'y a pas, sur Internet, de lieu central du pouvoir. Une fois créé, il est difficile à saisir, évanescent, ce qui complique la tâche de régulation. Quand une entreprise réussit, cela peut conduire à créer de quasi protocoles, je pense par exemple au logiciel Catia, devenu un standard pour l'imagerie 3D. De même, l'arrivée du standard Androïd dans la téléphonie mobile a redistribué les pouvoirs, en en rendant une part au consommateur. L'équivalent chinois d'un téléphone mobile Samsung vaut 110 euros au lieu de 650... L'Europe aurait pu décider de lancer son standard pour l'échange de fichier, son système d'exploitation, comme l'a fait la Chine pour le téléphone mobile.

M. Gaëtan Gorce, président. - Le pouvoir est difficile à saisir, dites-vous, mais où est la richesse ? Qui profite, économiquement, de la valeur ajoutée ? L'Europe a-t-elle, de ce point de vue, un retard à rattraper ?

M. Vincent Champain. - Il y a deux types de richesse économique, la valeur ajoutée, et le surprofit, c'est à dire la rente, en cas de monopole. Clairement, la rente n'est pas du côté de l'Europe. Hormis dans quelques domaines, grâce aux brevets. Ainsi, dans le prix de l'Iphone, la valeur ajoutée est supérieure pour les Allemands à ce qu'elle est pour les Chinois, parce que les Allemands détiennent des brevets, notamment sur les puces ISM. Cela dit, sur les téléphones mobiles, après l'épisode Apple, tout a basculé du côté de Google - avec cette différence que le système d'exploitation, Androïd, étant gratuit, une partie de la valeur ajoutée a été transférée au consommateur.

L'Europe est performante en matière d'innovation - j'ai cité l'exemple du Cern  - mais elle n'a pas su rechercher la masse critique.

M. Gaëtan Gorce, président. - Y a-t-il là un risque appauvrissement pour l'Europe ?

M. Vincent Champain. - Elle risque de perdre des opportunités.

M. Gaëtan Gorce, président. - Existe-t-il des carrefours qui nous permettraient de combler le retard, des rendez-vous à ne pas manquer ?

M. Vincent Champain. - L'avantage de l'innovation, c'est qu'elle multiplie les carrefours. Sur les systèmes d'exploitation, on pensait que Microsoft resterait imbattable, or, en très peu de temps, une brèche s'est ouverte sur les téléphones mobiles, qui a redistribué les cartes. Si l'Europe avait alors lancé son propre système d'exploitation...

M. Gaëtan Gorce, président. - Quels sont les grands sujets dont nous devons nous emparer si nous ne voulons pas perdre la maîtrise de notre destin économique ?

M. Vincent Champain. - Les profits, je l'ai dit, sont de deux types. Si la rente nous échappe, il faut au moins que nous sachions créer de la valeur ajoutée. Il ne faut pas laisser celle qui est attachée au big data nous échapper. Or, sur le sujet, il y a interaction entre régulateurs, parlementaires et sensibilités à l'oeuvre dans la société civile. Les projets qui visent à mettre des barrières sur les flux de données sont, à mon sens, néfastes pour les entreprises. Il est vrai que l'affaire Snowden a aiguisé les sensibilités, mais il ne faudrait pas que l'exigence de protection trouve à s'accomplir au détriment de notre potentiel industriel.

Mme Catherine Morin-Desailly, rapporteure. - Mais il mérite lui aussi d'être protégé, surtout dans le contexte de guerre économique que nous connaissons.

M. Vincent Champain. - Les secteurs du numérique sont si mobiles que la logique du secteur protégé manque sa cible. Je crois plutôt à la smart regulation. Il s'agit de faire en sorte que le terreau soit très fertile. Mieux vaut jouer la carte de la masse critique linguistique. Il y a d'excellents informaticiens en Tunisie, au Maroc... J'ajoute que dans l'industrie du big data, il faut trouver, sur la question des flux de données, le bon équilibre.

La rente est venue des plates-formes, avec leur système d'exploitation et leurs normes d'échange de fichiers. Il serait bon de mener en Europe, et concomitamment dans la francophonie pour le web linguistique, à échéance régulière, tous les deux ou trois ans, une réflexion sur ce sujet. Si nous l'avions fait il y a dix ans, la valeur ajoutée serait aujourd'hui mieux répartie. Désormais, Androïd est partout et sera présent jusque dans les objets connectés. Mais dans un domaine comme celui de l'identité numérique, nous avons notre carte à jouer. J'ai participé au projet IDéNum, qui vise à retenir une norme d'authentification pour les usages commerciaux. J'observe qu'en matière d'identité numérique, on s'attache beaucoup plus, en Europe, aux questions qui touchent à Schengen qu'aux questions industrielles. Or, l'identité numérique, c'est aussi l'accès à différents usages, comme la banque, avec le cryptage que cela suppose.

M. Gaëtan Gorce, président. - Vous préconisez le lancement d'un Airbus du numérique, en somme.

M. Vincent Champain. - Il suffirait de le vouloir, et de faire valoir que l'enjeu n'est pas seulement lié à Schengen, mais qu'il s'agit aussi de créer une norme industrielle commune.

M. Gaëtan Gorce, président. - Quels doivent être nos interlocuteurs, en Europe, sur ce sujet, et plus globalement sur la veille et l'accompagnement de la constitution de plates-formes - où Henri Verdier et Nicolas Collin voient l'avenir, ainsi qu'ils l'expliquent dans L'âge de la multitude ?

M. Vincent Champain. - Mieux vaut distinguer les enjeux : les ministères de l'intérieur n'ont guère de culture industrielle. Il faudrait susciter une initiative, comme on a su le faire, pour Airbus, avec Eureka. C'est un partenariat entre General Electric et Snecma qui a créé, il y a quarante ans, le moteur d'Airbus. Tout a démarré avec un coup de fil de notre ambassade de France aux États-Unis, et c'est ainsi que l'on a édifié une task force, pour créer notre avion en partenariat. De même, quand l'Europe et les États-Unis ont décidé de se lancer dans l'aventure spatiale, personne n'a attendu que l'on ponde un rapport expliquant comment il fallait s'y prendre. L'ambition a précédé l'organisation et l'a structurée. C'est de cette manière qu'il faut, à mon sens, procéder, tout en se gardant d'une planification trop rigide, pour rester sensibles aux évolutions, et éviter de s'engager dans une impasse : il est bon de réinterroger régulièrement la pertinence technologique de nos initiatives.

Autre exemple, l'imagerie numérique. Nous avons, en France, des entreprises très performantes. La première plate-forme d'échange au monde a été lancée en Ile-de-France par General Electric et Orange : elle permet aux médecins d'échanger toute l'imagerie médicale concernant leurs patients. C'est bien une logique de plate-forme, certes plus sectorielle, mais susceptible de nous faire atteindre la masse critique.

Mme Catherine Morin-Desailly, rapporteure. - Le modèle fabs, labs and advice, porté par General Electric, est-il applicable à la filière numérique ?

M. Vincent Champain. - Nous ne vendons pas tant, chez General Electric, des produits qu'un service global. Les produits devenant de plus en plus sophistiqués, il s'agit de vendre au client tout ce qui peut lui permettre d'en tirer de la valeur ajoutée. J'aime à citer l'exemple des turbines à gaz destinées à générer l'énergie, toutes connectées, pour connaître précisément et dans des conditions d'utilisation variées les limites physiques d'utilisation de l'équipement, afin de les optimiser. Nous disposons ainsi des données de 1000 turbines, dans des conditions que l'on ne saurait simuler en laboratoire. Nous sommes en bonne place, en Europe, pour l'équipement industriel comme en matière de conseil et d'ingénierie mais encore une fois, sur le numérique, il importe de bien distinguer le segment qui relève du domaine industriel, pour que l'arbitrage entre protection des données et innovation se fasse différemment. Évitons d'édicter des régulations trop monolithiques.

Régulation appropriée, donc, mais aussi recherche de la masse critique : tels sont les deux enjeux en matière industrielle. Or, notre tropisme, en Europe, nous porte trop souvent à rechercher des solutions nationales, ainsi que je le faisais observer au conseiller de M. Cameron, auteur d'un rapport sur le sujet. Ainsi, les pôles de compétitivité sont beaucoup plus petits en Europe qu'aux États-Unis ou au Japon, parce qu'ils sont disséminés dans de nombreux États membres. Nous manquons, de ce point de vue, d'une véritable stratégie industrielle à l'échelle européenne. Des pôles d'échelle européenne seraient, au reste, les interlocuteurs adéquats dans la recherche de l'équilibre entre protection des libertés publiques et capacité de développement de nos industries. Si, dans la chaine de valeur industrielle, existe une faiblesse en matière d'analyse des données, cela tirera tout le reste vers le bas. C'est une chose qu'il faut garder présente à l'esprit.

M. Gaëtan Gorce, président. - Le ministre de l'économie n'a-t-il pas, avec les pistes qu'il a annoncées, laissé espérer des évolutions ?

M. Vincent Champain. - L'intérêt pour le sujet est manifeste, ainsi qu'en témoigne la nomination d'une secrétaire d'État au numérique. Mais c'est un sujet à la dimension de l'Europe et de ce point de vue, la route reste longue... Elle a connu de grandes réussites, comme celle du Cern, inventeur, ainsi que je l'ai rappelé, du langage html. C'est que la communauté scientifique a davantage l'habitude de raisonner au niveau mondial, ce qui n'est pas le cas des régulateurs, de l'administration, voire des parlementaires, qui en restent à une logique plus nationale.

Mme Catherine Morin-Desailly, rapporteure. - Nous avons rencontré nos homologues allemands...

M. Gaëtan Gorce, président. - Une commission numérique a été créée au Bundestag. Nous leur avons proposé de travailler ensemble. Nous verrons ce que cela donnera.

M. Vincent Champain. - Il serait bon que de tels échanges montent en puissance. Y compris au niveau des partis politiques. Les échéances électorales sont autant d'occasions de débats sur des programmes qui gagneraient à n'être pas vécus que nationalement.

M. Gaëtan Gorce, président. - Quand ils le sont...

Mme Catherine Morin-Desailly, rapporteure. - Dans l'agenda numérique européen à venir, y a-t-il des rendez-vous plus aigus que d'autres ? Cet agenda satisfait-il l'ambition que vous appelez de vos voeux ?

M. Vincent Champain. - En matière de libertés individuelles, je ne suis pas un spécialiste. Sur ce sujet, il est des initiatives qui me paraissent utiles, comme celle qui vise à créer des pans de droit uniformisés. Pour ce qui concerne la gouvernance, en revanche, j'estime qu'il manque un support susceptible de porter le dialogue avec l'industrie. On pourrait mettre davantage l'accent, enfin, sur la data competitiveness.

Mme Catherine Morin-Desailly, rapporteure. - Le concept d'« intrapreneur » que vous avez développé pourrait-il être dupliqué ?

M. Vincent Champain. - L'innovation comporte quatre phases. Il faut, d'abord, passer du concept à l'idée, via la recherche. Elle seule peut dire, par exemple, comment, techniquement, mettre de l'éolien en mer. Puis, on passe au premier prototype. Dans le numérique, il n'y a, pour cela, guère de barrières à l'entrée : cela peut passer par des start up. Il n'en va pas de même dans l'industrie : quand on veut créer une turbine à gaz, les pièces coûtent entre 50 et 100 millions. On ne trouve pas de start-up dans le domaine du nucléaire... Enfin, il faut transformer l'essai, en parvenant à réussir sur le marché mondial. La France est performante en matière de recherche fondamentale ; elle a de bons entrepreneurs ; mais ses entreprises ne parviennent pas à grossir, c'est là que le bât blesse. Ce point a reçu moins d'attention que les autres. Ce n'est le plus souvent qu'à l'intérieur de grandes structures que l'on trouve ce que j'ai ainsi appelé des intrapreneurs, des gens qui ont une logique entrepreneuriale. Mais il se pose un problème de justice fiscale. Un exemple. Quelqu'un qui crée un site pornographique en ligne peut, grâce à une fiscalité favorable, faire de gros bénéfices en revendant ensuite ses parts, mais en revanche, un chercheur qui reçoit un gros bonus pour avoir inventé un médicament contre la malaria, susceptible de sauver des millions de personnes, est taxé à 75%. On m'objectera que dans le numérique, il y a moins de barrières à l'entrée. Mais dans certains domaines, il faut tout de même s'appuyer sur de grosses structures. Je pense, notamment, à l'identité numérique. La fiscalité envoie des signaux aux acteurs. Il faut qu'ils aillent dans le sens de l'innovation.

M. Gaëtan Gorce, président. - Vous appelez à une coopération européenne. Mais comment expliquer que de grandes entreprises françaises, dans le domaine de la banque ou de l'assurance, ne s'investissent pas, alors qu'elles ont la puissance financière qui leur permettrait de le faire ?

M. Vincent Champain. - Elles l'ont fait, avec les systèmes de paiement. Il y a eu des groupements autour de la carte bancaire. Sur la carte à puce, elles ont été pionnières. Mais sur l'identité numérique, il pourrait y avoir concurrence avec le système de la carte bancaire. On ne peut pas demander à des entreprises de détruire leurs actifs... Il faut trouver le moyen de donner voix à des acteurs non installés.

M. Gaëtan Gorce, président. - Je pense à l'exemple des compteurs intelligents d'EDF. L'entreprise n'a pas manifesté la volonté de constituer une plate-forme qui puisse être utilisée par d'autres partenaires.

M. Vincent Champain. - C'est un très bon exemple. La régulation, au niveau européen, n'est pas homogène. Il existe autant de spécifications que de pays. En matière de normes, on a raté le coche. C'est un enjeu important du TTIP. Nous sommes 500 millions en Europe, il ne s'agit pas de diviser ce chiffre par vingt-sept. Nos normes ne s'imposeront pas si nous jouons seuls. C'est là un enjeu largement sous-estimé. Beaucoup d'ONG insistent, au sujet de ces négociations, sur le thème du libre-échange. Mais il s'agit d'un traité entre pays développés ! L'enjeu central est bien plutôt d'avoir, en copropriété avec les Américains, des normes susceptibles de s'imposer par la masse critique.

M. Gaëtan Gorce, président. - Il me reste à vous remercier.

Audition de Mme Anne Thida Norodom, professeur à l'université de Rouen, codirectrice du centre universitaire rouennais d'études juridiques

M. Gaëtan Gorce, président. - Vous travaillez sur des sujets liés à la gouvernance d'Internet, et c'est à ce titre que nous avons souhaité vous entendre.

Mme Anne Thida Norodom, professeur à l'université de Rouen. - Je vous remercie de votre invitation. Étant spécialiste de droit international, je me suis, en effet, intéressée à la gouvernance mondiale de l'Internet, qui ne touche qu'un aspect de vos préoccupations : mes collègues spécialistes du droit communautaire seraient mieux placés que moi pour parler de la place de l'Europe dans la gouvernance.

C'est le sommet mondial sur la société de l'information qui a donné sa définition à la gouvernance mondiale de l'Internet, conçue comme « l'élaboration et l'application par les Etats, le secteur privé et la société civile, dans le cadre de leurs rôles respectifs, de principes, normes, règles, procédures de prise de décisions et programmes communs propres à modeler l'évolution et l'utilisation de l'Internet. » La gouvernance de l'Internet, tant technique que politique, ne saurait être placée sous le contrôle d'un seul État - d'où les critiques à l'encontre de l'ICANN. Elle doit être multilatérale, transparente, démocratique, et par conséquent comporter des mécanismes de redevabilité - au sens de l'anglais accountability. Sur les questions de politique générale, les États sont censés travailler sur un pied d'égalité avec les autres parties, ce qui n'est pas forcément le cas pour ce qui est des questions techniques et économiques.

En tout état de cause, réfléchir sur la gouvernance suppose de clarifier la conception que l'on a de l'Internet et de lui donner une qualification juridique. Faut-il n'y voir qu'une infrastructure ou au contraire un espace à part entière et un bien commun ? Si l'on considère Internet comme un bien commun, il est clair que sa gouvernance doit être multipartite, quand n'y voir qu'une infrastructure vise à l'inscrire, à l'inverse, dans le champ de compétence territoriale des États.

Dès lors que la gouvernance de l'Internet se définit comme un modèle multipartite, se pose la question de l'égalité entre parties prenantes. Mais elle se pose différemment en fonction des domaines. D'où une autre question : la gouvernance doit-elle répondre à des principes identiques selon que les problèmes en jeu sont d'ordre technique ou politique ? Voilà qui influe sur le type de norme à adopter - traité ou acte non contraignant - et leur contenu - libertés individuelles, neutralité, etc. La gouvernance est donc modulable et l'équilibre entre les institutions impliquées - conçues non comme lieux d'exercice d'un pouvoir de contrôle mais plutôt comme instances de coordination des compétences - peut varier.

Quelles institutions internationales sont impliquées dans la gouvernance de l'Internet ? En 2011, l'OCDE se félicitait de la réussite d'un modèle originaire ayant su préserver, malgré la poussée des interventions publiques, une gouvernance spontanée, informelle et efficace. De fait, un certain consensus s'est dessiné, autour des années 2003-2005, depuis le sommet mondial sur la société de l'information, autour du modèle multipartite. Cependant, les Etats et les organisations internationales cherchent à y trouver leur place, aux côtés des acteurs privés. Le sommet de Dubaï, en décembre 2012, a cristallisé les désaccords.

Dans la gestion des ressources critiques, soit la gestion du réseau et des services de base, les institutions privées à but non lucratif jouissent d'un avantage historique. Il s'agit des institutions de standardisation technique, d'une part, comme l'Internet Society, l'IETF (Internet Engineering Task Force), le W3C (World Wide Web Consortium), dont le pouvoir normatif s'exprime via des protocoles techniques qui évoluent selon un modèle ascendant dit « bottom up » et participatif ; des institutions à pouvoir normatif et opérationnel, d'autre part, comme l'ICANN, société de droit californien à but non lucratif au sein de laquelle se pose, avec la création du GAC (Governmental Advisory Committee), la question de l'interétatisation, ou d'autres acteurs comme Verisign, opérateur technique du serveur qui tient également les registres du « .com » et du « .net ».

Dans la gestion des usages et des contenus, les institutions publiques prédominent et revendiquent le monopole de la régulation. Parmi ces institutions internationales, on trouve l'Union internationale des télécommunications (UIT), mais aussi l'Organisation mondiale de la propriété intellectuelle (OMPI), qui élabore de nouveaux critères de définition de ces droits dans le cyberespace ; Interpol, pour les questions touchant à la sécurité et à la cybercriminalité ; le Conseil de l'Europe, à l'origine de nombreux travaux autour de la question des droits de l'homme sur Internet, de la Convention sur la cybercriminalité de 2001, ainsi que d'une déclaration du comité des ministres qui pose dix principes sur la gouvernance de l'Internet ; l'OCDE, qui a pris position pour le modèle multipartite ; à quoi s'ajoutent quelques mécanismes de coordination comme le groupe des Nations Unies sur la société de l'information, qui vise à rassembler, autour de ce sujet, toutes les organisations du système des Nations Unies.

Les forums de débat, enfin, constituent une troisième catégorie d'institutions. La gouvernance est un processus réflexif qui anime toutes les institutions : depuis la fin des années 1990, le débat est permanent, via de tels forums, parmi lesquels prédominent le Forum pour la gouvernance de l'Internet, sous l'égide de l'ONU, et l'UIT.

Le Forum pour la gouvernance de l'Internet a montré les limites du modèle multipartite. De fait, le bilan de ce forum, institué en 2005, est médiocre. Reposant sur des financements volontaires, il a été largement délaissé et il faudrait, pour parvenir à le ranimer, trouver les voies d'un renforcement de la coopération en son sein.

L'UIT défend, quant à elle, un schéma intergouvernemental de gouvernance. Sous couvert de faire adopter des règlements techniques, elle cherche à ramener le pouvoir de contrôle du côté des États. Mais elle souffre d'un problème de légitimité, certains États membres jugeant qu'elle dépasse son mandat, tandis qu'elle est en butte aux critiques de la société civile et des ONG sur la question des droits de l'homme ainsi qu'à celles de la société technique de l'Internet. En dépit du peu de place que l'UIT entend reconnaître aux acteurs privés, le Brésil a proposé de renforcer son rôle dans la gouvernance de l'Internet.

Des mécanismes de redevabilité (accountability) existent dans la gouvernance de l'Internet, qui pourraient être renforcés. Il s'agit de passer d'une légitimité reposant sur la représentativité à une légitimité par la responsabilité. L'ICANN, société privée régie par le droit californien est, de ce point de vue, très controversée. Il existe pourtant, en son sein, des mécanismes de redevabilité. Ainsi de l'accord passé en 2009 avec le département du commerce américain, qui l'oblige à rendre compte au public de ses décisions. D'autres dispositions existent, qui visent à garantir que l'ICANN est bien au service de la communauté de l'Internet et agit dans l'intérêt public. Ainsi, des organes de contrôle interne ont été créés, dont l'un est chargé de formuler des recommandations en matière de transparence et de responsabilité. L'ICANN doit également se soumettre à des auditions du Congrès américain et rendre compte de ses positions aux États.

Se pose, cependant, la question de la revalorisation du rôle du GAC. Le système, dans lequel le GAC n'avait jusqu'à présent que voix consultative, le conseil d'administration disposant seul du pouvoir de décision, évolue vers un processus de quasi codécision, mais selon une procédure assez fermée, contraire à la culture de l'Internet, et qui pose un problème au regard des prérogatives reconnues, au plan juridique, au conseil d'administration. Valoriser le rôle du GAC, n'est-ce pas, de fait, donner aux États plus de poids qu'aux autres parties prenantes, au risque d'un déséquilibre dans les intérêts représentés ?

Il est un autre mécanisme de responsabilité au sein de l'ICANN, celui de l'objecteur indépendant, garant de l'ordre public international en matière d'attribution de noms de domaines. Il fonctionne selon une procédure d'arbitrage, avec des modalités spécifiques pour les organisations internationales et les États. Si bien que certains considèrent, du point de vue de l'objecteur indépendant, que l'ICANN est peut-être le moins mauvais des modèles.

Au regard de cet état des lieux, quelles pistes d'évolution peuvent-elles être envisagées ? Au plan institutionnel, se pose la question de la revalorisation du rôle des États face aux acteurs historiques. Dans la plupart des propositions envisagées, le modèle multipartite reste privilégié, mais enchâssé dans un cadre intergouvernemental.

Les hypothèses que l'on voit apparaître recoupent l'opposition traditionnelle entre le modèle de l'ICANN et celui de l'UIT. Elles vont soit à un conseil mondial de l'Internet, se substituant au gouvernement américain et au GAC pour exercer une tutelle intergouvernementale sur l'ICANN, mais reléguant du même coup le secteur privé et la société civile à un rôle consultatif, soit à un renforcement du GAC, soit à la création d'une organisation internationale à compétences restreintes telles que celles qu'assure l'ICANN, soit à un modèle tripode, avec un conseil des politiques internet mondiales chargé de définir les orientations publiques, un ICANN internationalisé, relié à l'ONU et contrôlé de l'intérieur par les Etats, et le forum pour la gouvernance de l'Internet.

Il paraît difficile, alors que les institutions sont déjà foisonnantes, d'en créer encore de nouvelles. La solution passe-t-elle par une parlementarisation de la représentation au sein des organisations internationales, via une assemblée parlementaire internationale, ou une assemblée interparlementaire ? Mais un tel modèle semble plus efficient au niveau régional que mondial, où il serait fort difficile à mettre en place. Mieux vaut peut-être chercher à améliorer la légitimité du système grâce à une plus grande efficacité managériale, via une politique de résultats, et transinstitutionnelle, en favorisant les mécanismes de coopération, vers une gouvernance en réseau.

Peut-on établir une Constitution de l'Internet ? Quel pourrait en être, tout d'abord, l'instrument ? Il semble difficile de passer par une convention internationale contraignante. Peut-il exister un droit international spécifique au cyberespace ? Il est six principes que l'on voit fréquemment énoncés : liberté, protection de la vie privée, coopération interétatique, égalité d'accès aux technologies, pour éviter la fracture numérique, coopération civile et neutralité du net, enfin. Mais tous ces principes, hormis les deux derniers, n'étant pas spécifiques à l'Internet, il n'est pas sûr qu'ils puissent donner lieu à un jus communicationis.

Mieux vaut donc s'employer à renforcer la cohérence, pour une gouvernance véritablement en réseau, avec des mécanismes de coordination, des processus de codécision, en faisant prendre conscience aux acteurs qu'eu égard au rôle changeant et à l'importance relative de chaque partie dans le processus décisionnel, tout ne peut pas venir d'une même institution. En matière de gouvernance de l'Internet, il n'est pas de solution unique, parfaite, optimale, mais il y a, en revanche, un choix à faire sur la conception de l'Internet que l'on souhaite défendre, afin d'établir les instruments techniques et politiques adéquats.

Mme Catherine Morin-Desailly, rapporteure. - Vous vous déclarez réservée sur l'idée d'une Constitution, en faveur de laquelle beaucoup de voix se sont élevées. Il est pourtant des principes saillants, comme l'égalité d'accès et la neutralité, qui pourraient en constituer le socle. Voyez-vous des écueils dans l'élaboration de leur définition ?

Mme Anne Thida Norodom. - Un principe historique, de définition large, veut que soit garantie l'égalité de traitement des flux quelles que soient les données, en excluant toute discrimination à la source. Mais dans la pratique, certains contenus ont déjà priorité sur d'autres, ne serait-ce que pour des raisons d'efficacité. Ainsi de la vidéo, qui demande plus de ressource que l'envoi de mails, par exemple.

La neutralité fait la cohérence du net, et c'est là, peut-être, un principe spécifique à l'Internet. Mais il n'en va pas de même pour les autres. En matière d'égalité d'accès, par exemple, il existe déjà des instruments. Je pense à la Convention de l'Unesco relative à la protection du patrimoine immatériel ou à celle sur la protection de la diversité culturelle, qui comportent des dispositions contraignantes visant à la réduction de la fracture numérique.

Mme Catherine Morin-Desailly, rapporteure. - Vous avez rappelé que le fonctionnement de l'ICANN est contesté. Quels dysfonctionnements mériteraient d'être corrigés ? Je pense, notamment, à la question de la redevabilité vis à vis du public.

Mme Anne Thida Norodom. - Les récentes déclarations de l'administration Obama, qui s'est dite prête à lâcher prise sur l'ICANN, changent la donne. Les reproches majeurs adressés à l'ICANN sont de deux sortes. Chargée, avec l'attribution des noms de domaine, de la gestion de l'ordre public international, c'est une société privée, de droit américain, en relation étroite avec le département du Commerce qui permet au gouvernement américain de modifier l'instrument contractuel comme bon lui semble. Des moyens de contrôle ont cependant été mis en place, comme l'obligation de rendre des comptes au Congrès, mais le fait est que les États-Unis restent très prégnants... Néanmoins, les déclarations d'Obama remettent tout en question. Va-t-on s'acheminer vers un statut hybride à l'image de celui du CICR (Comité international de la croix rouge) ? Les Américains sont-ils prêts à donner à l'ICANN les garanties d'indépendance nécessaires pour asseoir sa légitimité ? Reste que l'ICANN ne concentre qu'une partie de la gouvernance de l'Internet. Les questions relatives à la protection des données et à la sécurité ne relèvent pas d'elle.

Parmi les mécanismes de redevabilité, la procédure de l'objecteur indépendant me semble intéressante. Il peut formuler des objections aux candidats qui souhaitent acquérir un nom de domaine sous deux motifs : un intérêt public limité et les oppositions de la communauté. Leur dépôt se fait auprès de la cour d'arbitrage de la chambre de commerce internationale, qui désigne des experts - un seul pour les objections communautaires, un panel de trois pour celles qui sont fondées sur l'intérêt public limité - chargés de se prononcer sur le bien-fondé des objections. Les décisions - determinations, en anglais - des panels n'ont pas valeur contraignante pour l'ICANN, qui garde latitude de décider, in fine, du sort à réserver à la candidature à un nom de domaine, mais il est clair qu'il lui est difficile de passer outre.

La procédure de l'alerte précoce (early warning) permet aux États de signaler une candidature jugée problématique au regard de leur législation nationale ou de leurs intérêts - comme, par exemple, le dépôt d'un nom de domaine susceptible de donner lieu à polémique. Il existe également une procédure spécifique pour les organisations internationales, destinée à éviter le cybersquatting, soit l'acquisition par des tiers de noms de domaines les intéressant à seule fin de les leur revendre moyennant finances. Enfin, les utilisateurs sont associés à la gouvernance, grâce à des procédures qui les invitent à rejoindre la communauté « at large », dont le comité consultatif est chargé de rendre des avis afin de refléter le point de vue des internautes. On est donc bien dans la culture américaine de l'accountability, rendue néanmoins problématique en raison des liens entre l'ICANN et le gouvernement américain.

Mme Catherine Morin-Desailly, rapporteure. - Comment se déterminent les acteurs face aux pistes d'évolution que vous avez évoquées ?

Mme Anne Thida Norodom. - Chacun défend un modèle qui lui est favorable. Dans le secteur privé, il est de fervents défenseurs du modèle multiacteurs. Les fondateurs de l'Internet, comme Vinton Cerf ou Tim Berners-Lee, sont clairement opposés à un modèle qui laisserait plus de place aux États. Internet est pour eux un espace de liberté échappant à la compétence des États.

Les États, quant à eux, veulent revaloriser leur rôle. L'idéal serait pour eux d'aller vers un modèle d'organisation internationale soit hybride, mais leur laissant plus de marge de manoeuvre, soit classique, mais ils ont conscience que le plus facile sera sans doute de renforcer le rôle du GAC. Certains Etats, comme la Russie ou la Chine, penchent nettement vers le modèle intergouvernemental de l'UIT. Le Brésil aussi semble-t-il. Nous verrons ce qu'il ressortira du sommet qui doit s'y tenir et quelle légitimité sera reconnue aux États...

Mme Catherine Morin-Desailly, rapporteure. - Quelle vision avez-vous du Safe Harbor ? Comment faire pour que les Américains se conforment au droit européen en matière de protection des données ?

Mme Anne Thida Norodom. - Le mécanisme du Safe Harbor pose, semble-t-il, des problèmes d'application. La gouvernance de l'Internet est un système hybride, auquel participent des acteurs privés. Le problème majeur du Safe Harbor tient au fait qu'il ne s'agit pas d'un instrument classique, de type convention internationale. La protection des données exige une collaboration internationale, et transnationale. Beaucoup d'États veulent plus de garanties de droit, plus de précision en matière de protection des données. Je ne partage pas cette analyse. Les spécialistes du droit privé ou du droit européen veulent davantage de régulation par le droit, tel n'est pas le cas des spécialistes du droit international public, dont je suis. Car nous craignons une rapide obsolescence du droit au regard de l'évolution très rapide des techniques. Pousser vers toujours plus de droit pourrait décrédibiliser les règles de droit. Mieux vaut, à mon sens, s'appuyer sur des principes généraux existants, comme le principe de protection de la vie privée, et des instruments contraignants qui ont déjà été adoptés. Une collègue européaniste vous dirait sans doute le contraire, mais n'en reconnaît pas moins que le règlement devient très complexe, très technique, au risque de mettre en cause sa crédibilité juridique.

M. Gaëtan Gorce, président. - Nous vous remercions de ces éclairages.

La réunion est levée à 10 h 35.