N° 7

SÉNAT

SESSION ORDINAIRE DE 2019-2020

Rapport remis à M. le Président du Sénat le 1 er octobre 2019

Enregistré à la Présidence du Sénat le 1 er octobre 2019

RAPPORT

FAIT

au nom de la commission d'enquête (1) sur la souveraineté numérique ,

Président

M. Franck MONTAUGÉ,

Rapporteur

M. Gérard LONGUET,

Sénateurs

Tome I : Rapport

(1) Cette commission est composée de : M. Franck Montaugé, président ; M. Gérard Longuet, rapporteur ; M. Patrick Chaize, Mmes Sylvie Robert, Catherine Morin-Desailly, MM. Yvon Collin, M. André Gattolin, MM. Pierre Ouzoulias et Jérôme Bignon, vice-présidents ; Mme Viviane Artigalas, MM. Jérôme Bascher, Bernard Bonne, Mme Martine Filleul, MM. Christophe-André Frassa, Loïc Hervé, Laurent Lafon, Rachel Mazuir, Stéphane Piednoir, Mmes Sophie Primas, Frédérique Puissat et M. Hugues Saury.

PRINCIPALES RECOMMANDATIONS

La souveraineté nationale fonde le pacte républicain, pacte par lequel le citoyen accepte une discipline collective fondée sur la loi, en contrepartie d'une protection.

La souveraineté nationale, pour ne remonter qu'à la fondation de la République en septembre 1792, n'a jamais été certaine, quelle que soit la nature des défis qu'elle devait affronter.

Aujourd'hui, la question de la souveraineté numérique est totalement actuelle, car si l'ère numérique est à la fois une chance et une certitude partagée dans le monde entier, elle constitue pour la France, comme pour les pays de l'Europe, un triple défi éthique, de sécurité et de liberté économique.

D'abord, en effet nos sociétés sont confrontées à une mise en cause sourde de leurs valeurs : l'homme est moins un citoyen et un sujet de droit, mais de plus en plus une somme de données à exploiter. Ce n'est pas notre conception de la personne humaine, ce n'est pas non plus le modèle de société que nous portons et dans lequel s'incarnent nos valeurs de respect de tous et de chacun. La souveraineté numérique est donc la condition nécessaire et indispensable à la préservation de ces valeurs.

Des actions ont été entreprises depuis plus de 15 ans pour la restaurer ou la préserver. Point cependant de stratégie globale lisible qui fédèrerait les énergies et les efforts. Votre commission d'enquête souhaite y remédier en proposant :

- un principe et une méthode :

o le principe est que la souveraineté numérique est un devoir national et, à ce titre, engage nos compatriotes, toutes responsabilités confondues ; aussi serait mis en place un « Forum national du numérique », structure temporaire qui permettrait de donner le coup de collier nécessaire pour sortir de la situation peu satisfaisante dans laquelle les attributs traditionnels de la souveraineté nationale et nos valeurs démocratiques sont malmenés ;

o la méthode serait la présentation par le Gouvernement et l'adoption par le Parlement d'une loi d'orientation et de suivi de la souveraineté numérique (LOSSN). La discussion parlementaire et le vote d'une loi d'orientation triennale permettront au Parlement d'exercer pleinement son rôle de gardien de la souveraineté numérique nationale.

Cependant, dès maintenant, des mesures précises et urgentes dans le domaine de la protection des données, une réforme de la réglementation visant le renforcement de notre souveraineté numérique et une action sur les leviers de l'innovation et du multilatéralisme doivent être menées.

1. Définir une stratégie nationale numérique au sein d'un Forum institutionnel temporaire du numérique

La stratégie gouvernementale pour la défense de la souveraineté numérique est dispersée entre souveraineté et libertés publiques, sécurité et défense, et présence économique effective sur un marché nécessairement mondial, ce qui la rend peu lisible. Les ministères et grands opérateurs publics doivent impérativement mieux articuler leurs efforts et leurs actions en faveur de la souveraineté numérique, posée comme un enjeu fédérateur. Il convient d'associer à cette réflexion les collectivités territoriales, responsables de l'aménagement numérique du territoire, la recherche et l'industrie, le public et le privé.

Nous avons, au cours de nos travaux, constaté qu'il manquait, au-delà des actions menées, engagées ou projetées, une impulsion fédératrice. Ce n'est ni un secrétaire d'État au numérique, ni le Gouvernement, ni l'industrie, ni les prestataires de service qui peuvent seuls définir la stratégie nationale numérique dont notre pays a besoin. C'est grâce à un travail collectif, alliant les forces et expériences de chacun, et s'appuyant sur l'excellence de la recherche française, sur l'inventivité de nos territoires, sur l'exigence des associations de défense des citoyens, sur le dynamisme des fleurons économiques français, qu'il sera possible de mobiliser nos forces, et elles sont réelles, au service de notre souveraineté numérique.

Nous proposons la transformation du Conseil national du numérique en un Forum de concertation temporaire, force de propositions et d'impulsions fédératrices, pour renforcer l'approche transversale et interministérielle du numérique. D'une durée de vie limitée à deux ans, il permettrait au Gouvernement et au Parlement de réaliser les arbitrages nécessaires à la défense de notre souveraineté numérique.

2. Inscrire l'effort pour la souveraineté numérique dans le temps en votant une loi d'orientation et de suivi de la souveraineté numérique (LOSSN)

Une loi d'orientation et de suivi de la souveraineté numérique devrait découler des travaux du Forum : à l'image de la loi de programmation militaire, elle garantirait davantage de lisibilité et de stabilité aux entreprises, et mettrait en oeuvre un pilotage public plus rigoureux des innovations dans les secteurs et technologies essentiels à la défense de la souveraineté numérique française. Le suivi de l'exécution de la LOSSN par le Parlement garantirait la gestion politique de ces choix stratégiques. Le Parlement s'exprimerait à cet effet de manière régulière.

Cette loi, triennale, définirait une stratégie claire sur les infrastructures du numérique avec deux piliers urgents : l'attractivité de notre territoire pour les câbles sous-marins, les centres de données et la fibre optique, et l'accélération de la couverture numérique du territoire. Elle favoriserait également les technologies numériques d'avenir et les domaines dans lesquels la France a une carte à jouer pour devenir un leader européen et mondial. Ces domaines, définis dans le cadre du Forum, ne se résumeraient pas aux seules technologies de rupture, mais viseraient également le développement des hautes technologies dans lesquels le savoir-faire français est déjà reconnu et incarné par de grandes entreprises françaises dont le rachat, qui plus est, est peu envisageable contrairement à celui de start-up innovantes.

Cette loi inclurait le financement de solutions répondant aux attaques qui visent notre modèle de société et qui fragilisent notre souveraineté : fournir une carte d'identité électronique ; élaborer une cryptomonnaie publique sous l'égide de la Banque centrale européenne et à laquelle pourraient collaborer les banques centrales des pays non membres de la zone euro (ex. Suisse, Royaume-Uni, Suède, Danemark) ; obtenir au sein de l'OCDE une taxation commune des multinationales du numérique, avec un principe d'imposition fondé sur le lieu de consommation ; généraliser la solution de la banque centrale européenne pour les paiements transfrontières.

3. Protéger les données personnelles et les données économiques stratégiques

Cet objectif se déclinerait en deux grands axes :

Restituer à chacun la maîtrise de ses données

Sur la base d'un premier bilan du droit à la portabilité des données personnelles (existant depuis la loi « République numérique » et consacré par le RGPD), il conviendrait de soutenir et d'étudier la faisabilité technique et opérationnelle d'une obligation d'interopérabilité (bénéfices, coûts, impact sur le consommateur et l'innovation), y compris comme mesure de régulation asymétrique imposée aux grandes plateformes systémiques, le Gouvernement associant les régulateurs nationaux (ADLC, CNIL) et présentant au Parlement la position qu'il compte défendre au niveau européen sur ce sujet central pour nos concitoyens.

Défendre les données stratégiques de nos entreprises contre l'application de lois à portée extraterritoriales

Une obligation de localisation des données sur le territoire national peut être justifiée par des motifs de sécurité publique, mais ce n'est qu'une solution imparfaite ; il convient de cartographier et de faire émerger des solutions pour l'hébergement et le stockage des données sensibles autour de prestataires français et européens non soumis aux législations étrangères à portée extraterritoriale.

Parallèlement, il est essentiel d'opposer fermement notre législation nationale et européenne au Cloud Act ou à toutes autres normes se voulant porteuse d'un ordre juridique extraterritorial. La loi dite de « blocage» doit être renforcée, sur la base de rapport du notre collègue député Raphaël Gauvain afin que les entreprises françaises ne soient plus démunies face aux procédures américaines, notamment (mise en place d'une déclaration aux autorités françaises, accompagnement par une administration dédiée et durcissement des sanctions encourues).

S'il convient d'encourager la conclusion rapide d'accords de coopération entre l'Union européenne, ses États membres et les États-Unis dans le cadre du Cloud Act , il faut aussi réfléchir à l'opportunité d'étendre les sanctions prévues par le RGPD aux données non personnelles stratégiques des personnes morales, pour sanctionner les intermédiaires qui transmettraient aux autorités étrangères des données en dehors de ce mécanisme d'entraide administrative ou judiciaire.

4. Adapter la réglementation aux défis numériques

Cet objectif se déclinerait en quatre grands axes :

Muscler le droit de la concurrence aux niveaux national et européen

Le droit de la concurrence n'est plus adapté aux spécificités de l'économie numérique et devrait, par conséquent, être amendé. Il faut faciliter le recours à des mesures conservatoires, lorsque l'urgence le justifie, et réviser le champ de contrôle des concentrations, par exemple en introduisant un nouveau seuil basé sur la valeur de rachat. Enfin, la France doit transposer au plus vite la directive ECN +, qui permet aux autorités de prononcer des injonctions structurelles (ex. cession d'une branche) dans le cadre des sanctions en cas de pratiques anticoncurrentielles.

Utiliser l'information : la « régulation par la donnée »

Les autorités de régulation souhaitent réguler par la donnée, c'est-à-dire s'appuyer sur la puissance de l'information pour réguler le marché. Il s'agit de collecter les informations de toute origine, y compris citoyenne, pour détecter les signaux faibles et les risques systémiques. L'analyse de ces données permet ensuite de mieux éclairer les choix des acteurs publics et des utilisateurs, et d'anticiper les réactions négatives de ces derniers. Le but de cette approche est moins de sanctionner les entreprises concernées que d'orienter le marché. Pour ce faire, les autorités de régulation doivent se doter des compétences, humaines et technologiques, nécessaires. La démarche concertée présentée le 8 juillet 2019, de plusieurs régulateurs (l'Autorité de la concurrence, l'AMF, l'Arafer, l'Arcep, la CNIL, la CRE et le CSA) en ce sens est un premier pas décisif qui doit être soutenu.

Étudier la faisabilité de nouvelles régulations sectorielles...

Ces nouvelles régulations sectorielles incluraient, après étude d'impact et de faisabilité, la neutralité des terminaux, l'accès sous le contrôle du régulateur aux données essentielles à l'exercice d'une activité, la transmission des informations pertinentes des plateformes aux autorités publiques ou encore l'accès aux méthodes et données sous-jacentes des algorithmes.

Donner accès à certaines données permet en effet de favoriser la concurrence et l'innovation. Dans ce cadre, les entreprises devraient être incitées à partager et à mutualiser leurs données privées, avec l'État comme tiers de confiance. Sur l'ouverture des données, l'approche ne peut être globale et la décision doit être prise au cas par cas.

...voire d'obligations proactives, spécifiques et multisectorielles pour les acteurs systémiques du numérique : la régulation « ex-ante ».

Identifier les acteurs essentiels du numérique pourrait se faire grâce à un faisceau d'indices permettant de définir leur caractère « systémique » 1 ( * ) . De nouvelles obligations applicables à ces acteurs numériques systémiques pourraient être définies de façon proactive. Les pistes retenues par votre commission d'enquête portent sur la mise en oeuvre d'une obligation de transparence de l'activité et d'une obligation de ménager dans des conditions équitables l'accès d'autres acteurs pour certains types de données. De même, le renforcement de la portabilité des données et de l'interopérabilité des plateformes doit être recherché. L'auditabilité et la redevabilité 2 ( * ) des algorithmes utilisés doivent être des objectifs du législateur. Cela suppose de permettre l'accès des chercheurs ou d'organismes publics à ces algorithmes pour évaluer et garantir leur transparence, leur intelligibilité, leur conformité à la loi, la non-discrimination, et leur loyauté.

5. Utiliser les leviers de l'innovation et du multilatéralisme

Cet objectif se déclinerait en deux grands axes :

Encourager les innovations aux niveaux national et européen

Sans innovation, pas de souveraineté numérique. Des pistes existent pourtant pour améliorer notre pilotage des innovations, pour attirer le capital financier nécessaire et pour favoriser les liens entre entreprises et recherche privée : revoir, au niveau européen, le régime des aides d'État ; utiliser le levier de l'achat public; élargir la dépense fiscale IR-PME pour soutenir le capital-risque ; clarifier les conditions du crédit d'impôt recherche pour les entreprises du secteur numérique ; créer un portail unique permettant aux entreprises de visualiser l'ensemble des dispositifs existants ; renforcer la place des entreprises au sein des centres de recherche publics.

Porter la vision française de la souveraineté numérique dans les enceintes multilatérales

Alors que sa souveraineté est concurrencée, la France doit défendre sa présence au sein des organismes internationaux. À ce titre, renforcer la mobilisation des acteurs français et européens du numérique dans les organismes de normalisation multilatéraux est une action prioritaire. Les désengagements récents, qui semblent presque fortuits, sont signes de l'absence de pilotage d'une stratégie nationale de préservation de la souveraineté numérique nationale. Le réinvestissement des agoras de normalisation est indispensable.

De même, la promotion à l'international de la vision française de cybersécurité se décompose en deux items : le droit international est applicable au cyberespace, et l'attribution d'une cyberattaque est une décision politique souveraine et ne peut être faite par une structure multinationale, qu'elle soit interalliée comme l'OTAN ou autre. La défense de ce principe est essentielle à la pleine restauration de notre souveraineté numérique.


* 1 Existence d'effets de réseaux massifs ; maîtrise d'un volume considérable de données non réplicables ; situation incontournable sur un marché multi-faces ou capacité de l'acteur à définir lui-même les règles de marché ; aptitude de l'acteur à placer le régulateur en forte position d'asymétrie d'information ; effets globaux sur la collectivité hors champ économique et pouvoir d'influence sur des pans sensibles du lien social - discours haineux, fake news , protection des données personnelles, cybersécurité, etc.

* 2 La redevabilité des algorithmes est entendue comme un « devoir de rendre compte », qui inclut deux composantes : le respect de règles, notamment juridiques ou éthiques, d'une part ; la nécessité de rendre intelligible la logique sous-jacente au traitement des données, d'autre part.

Page mise à jour le

Partager cette page