Nous avons dû travailler un champ extrêmement vaste, à des fins de réalisation du rapport et de la proposition de résolution qui vous est soumise. Nous avons assumé des choix. Certains regretteront peut-être que nous ne soyons pas allés assez loin sur le droit d'auteur, d'autres nous reprocheront de ne pas avoir traité tel ou tel sujet. Compte tenu du nombre de personnes à auditionner pour aboutir à une position équilibrée entre sécurité et libertés individuelles, les propositions que nous formulons ce soir sont en droite ligne avec l'intention première qu'il faut rappeler : la nécessité de faire émerger le marché unique du numérique. Celui-ci permettrait de faire naître des acteurs européens de premier plan dans le monde du numérique.
Cette libre circulation doit notamment se traduire par une obligation aussi faible que possible de localiser les données dans des data center nationaux, sinon pour des raisons légitimes de sécurité nationale. Certains ont peut-être à l'esprit l'initiative française du cloud souverain, elle s'est traduite par des difficultés pour un certain nombre de directeurs de systèmes d'information, pour maintenir les données sur le territoire français.
À l'inverse, l'Allemagne vient de tenter une expérimentation avec un duo entre Deutsche Telekom et Microsoft pour l'hébergement de données en Allemagne et l'encapsulation de ces mêmes données rendues inaccessibles par ces deux entreprises. On le voit, les questions de libre circulation des données et de leur localisation ne doivent pas répondre au seul critère de la géographie, mais aussi à des dimensions technologiques et techniques. L'économie des nuages, en particulier, se soumet aussi peu aux frontières nationales que les nuages eux-mêmes, physiques ou numériques. En contrepoint, toutefois, les autorités nationales doivent pouvoir, par le biais d'une collaboration efficace, avoir accès aux données non-personnelles à tout moment, dès lors que cet accès est justifié par un intérêt public suffisant. De la même manière, les internautes doivent pouvoir bénéficier de cette libre circulation des données afin de récupérer les données générées par l'utilisation d'un service et les transférer facilement auprès d'autres prestataires. On a vu là aussi des initiatives nationales sur la portabilité des données et la possibilité de changer d'opérateur de manière totalement transparente. La proposition de règlement destinée à protéger les données personnelles échangées par le biais des télécommunications, dite « ePrivacy », constitue, quant à elle, ce que l'on pourrait appeler une lex specialis de l'ensemble plus large que constitue le Règlement Général de Protection des Données, ou RGPD. Celui-ci doit garantir le niveau le plus élevé au monde de protection des données personnelles dans tous les secteurs. Nos entretiens nous ont toutefois amenés à faire les constats suivants :
- la conformité au RGPD réclame de la part de nombreuses entreprises, mais aussi de collectivités publiques, un effort d'adaptation, qui n'est encore que trop rarement effectif. Or, l'application du RGPD est prévue au 25 mai 2018 : cette conformité s'avère naturellement plus difficile pour les petites entreprises que pour les grandes, qui ont à la fois la force de frappe juridique et le personnel formé pour mettre en oeuvre ces adaptations. Il va sans dire qu'un groupe de 500 personnes a toujours la possibilité de trouver quelque part quelqu'un à former pour devenir chief data officer. Pour une entreprise de dix, quinze ou trente salariés, dont le coeur d'activité n'est pas de se mettre en conformité avec tel ou tel type de règlement, mais de développer ses activités, qu'elles soient d'entreprise à entreprise ou d'entreprise à client, le temps et les ressources disponibles sont très difficiles à mobiliser.
- La succession d'un certain nombre de règlements qui s'appliquent, du RGPD à, demain, ePrivacy, suscite des interrogations, tant sur les ressources à y allouer pour se mettre en conformité que sur l'incertitude juridique issue des révisions successives. Il faut développer notre vigilance, pour améliorer la prévisibilité et la cohérence, loin des injonctions contradictoires entre diverses réglementations.
- Il devient de plus en plus urgent d'intégrer, comme le préconise la CNIL depuis un certain temps, les marges de manoeuvre contenues dans le RGPD pour les États membres dans un véhicule législatif adapté, qui doit produire ses pleins effets au 25 mai 2018.
N'ayons pas une vision trop pessimiste de ce que représente le RGPD. Après les auditions que nous avons menées, ainsi que les rencontres dans les territoires et les circonscriptions, avec des chefs d'entreprise et des acteurs économiques, tout le monde se félicite de l'orientation prise par l'Union européenne en faveur de la défense et la protection des données. Rien ne dit que la tendance dictée par d'autres opérateurs transcontinentaux sur le fonctionnement du traitement des données et de leur marchandisation représente l'avenir. Je suis pour ma part convaincu qu'avec le RGPD, on verra de plus en plus d'opérateurs, y compris extracontinentaux, se plier à ces règles. Des sensibilités comparables émergent aux États-Unis et à l'Est de la planète.
Plus largement, le consentement, tel qu'il est compris dans le RGPD, doit irriguer le règlement ePrivacy. C'est en ce sens que nous demandons à ce que le consentement de l'utilisateur ne soit pas présumé en amont par le paramétrage automatique du navigateur, mais qu'il soit recueilli, notamment pour ce qui est des « cookies tiers », après une information claire de l'utilisateur. Aujourd'hui, l'internaute est sollicité et informé du type d'information recueillie sur une page web. Il y a deux catégories d'utilisateurs : ceux qui cochent pour avoir accès à l'ensemble des services, sans trop savoir à quoi ils s'exposent et ceux qui, par habitude ou par conviction, ne souhaitent pas laisser de traces sur internet. Ils peuvent alors décider de ne pas aller plus loin ou ne pas accepter le traçage. Nous souhaitons, par nos propositions, déplacer le curseur, aujourd'hui très favorable à ceux qui savent, vers ceux qui ne savent pas, pour les informer, non pas des risques, mais des sujets auxquels ils s'exposent demain, tels que le profilage, ou la différence dans le traitement de l'information.
Nous aurions, en matière de cybersécurité, bien plus de réserves sur le texte proposé par la Commission européenne, au milieu d'un ensemble qui compose le « paquet cybersécurité ». La proposition de règlement accroît le mandat de l'ENISA, soit l'agence européenne de cybersécurité et lui confie notamment la gestion d'un système de certification européen. Ces deux points peuvent poser problème.
En premier lieu, les agences nationales comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France ont démontré depuis de nombreuses années leurs capacités à assurer la cybersécurité des citoyens dans les États membres. Dès lors, un accroissement du mandat de l'ENISA, qui ne dispose par ailleurs que d'un personnel limité, ne doit pas se faire au détriment de la capacité d'action de chacune des autorités nationales. L'ANSSI compte 500 agents, contre 80 à l'ENISA. Cela ne doit pas décourager non plus les États membres dépourvus d'une autorité comparable à l'ANSSI d'investir dans leur cybersécurité. De plus, les schémas de certification nationaux, tels que celui défini par l'ANSSI pour la France, sont déjà reconnus parmi les meilleurs standards mondiaux. Dès lors, une certification européenne doit viser un niveau ambitieux, tout en modulant le degré de certification en fonction du caractère stratégique des objets concernés.
Enfin, et nous en terminerons par-là, la fiscalité qui s'applique aux entreprises numériques doit viser une plus grande justice et une meilleure efficacité. Je ne reviendrai pas sur les nombreux cas qui ont émaillé l'actualité ni sur la définition toute récente par la Commission européenne d'une nouvelle liste de paradis fiscaux. Mais les caractéristiques de l'économie numérique sont propices aux risques d'érosion de la base fiscale et de transfert des bénéfices, en vertu de la légèreté des actifs engagés, de l'absence d'infrastructures physiques dans les pays dans lesquels la valeur ajoutée est créée ou encore de la possibilité de s'implanter dans des États tout en exerçant une majeure partie de son activité ailleurs. C'est cet état de fait que le Gouvernement français a souhaité corriger avec sa proposition d'une taxe d'égalisation, portant sur le chiffre d'affaires des entreprises du numérique dans chaque État membre. Le but est véritablement de taxer la valeur là où elle est créée, et ce d'autant plus que les acteurs du numérique ont besoin de biens publics, tels que des infrastructures de bonne qualité ou une main-d'oeuvre qualifiée. C'est à ce titre, entre autres, qu'une juste contribution nous paraît indispensable. Cette taxe ne sera toutefois qu'un premier pas avant la conclusion des travaux de l'OCDE en la matière, au printemps 2018. Mais des progrès rapides sur ces sujets permettront à l'Union européenne d'avoir une position commune et donc de peser d'autant plus dans les débats mondiaux à venir relatifs à l'impôt sur les sociétés.