Intervention de Pr Florence G'Sell

Votre propos emporte deux aspects. D'abord, nous souhaitons que même les entreprises extérieures à l'Union européenne, à qui nous achetons des services et qui sont installées chez nous via leurs filiales, respectent nos règles, ce qui n'est pas toujours le cas aujourd'hui encore, à bien des égards. Toutefois, certains éléments deviennent de plus en plus clairs dans les règlements européens. Ainsi, toutes les dernières propositions de règlements exigent qu'un représentant légal soit désigné, au sein de l'Union européenne, dès lors que vous offrez vos services sur son territoire. Cela peut sembler une évidence, mais ce n'est pas négligeable, vu que, dès que vous arrivez dans l'espace numérique, l'univers virtuel permet de se promener sur la toile indépendamment des assises et emprises nationales. Par conséquent, le fait de disposer de ces regulatory access points, c'est-à-dire des personnes qui, au sein de l'Union européenne, répondent des actes accomplis par des entreprises dont le siège se situe à l'extérieur, constitue déjà un point majeur.

Ensuite, le deuxième volet de votre propos a trait à ce que nous venons d'évoquer jusqu'à présent, c'est-à-dire au fait d'essayer quand même d'avoir, en tant que prestataires, non pas des entreprises étrangères dont nous avons envie qu'elles respectent nos règles, mais des entreprises établies en France ou en Europe, respectueuses de nos principes et de nos règles. Cette volonté nous amène à nous demander s'il ne faudrait pas réserver une part de la commande publique à ces entreprises, afin de favoriser leur développement, voire s'il ne faudrait pas déployer des stratégies encore plus agressives afin de les aider, par le biais de « bacs à sable réglementaires » par exemple. Il me semble que nous disposons désormais d'outils d'accompagnement des start-up et des PME dans le domaine du numérique plutôt positifs : nous aidons beaucoup le secteur du numérique, même si ce n'est peut-être pas encore suffisant.

Tels sont donc les deux volets que j'identifie dans votre question : d'un côté, soumettre des entreprises étrangères à notre réglementation et, de l'autre, favoriser nos propres entreprises, notamment celles qui sont vertueuses. De fait, je travaille plus sur le premier point, soit la question de la régulation et du respect de nos règles par ces entreprises étrangères, mais l'autre aspect revêt également de l'importance, au travers de la question du cloud souverain et du stockage des data. Nous allons donc développer des solutions de stockage souveraines.

Je souhaite toutefois mettre un bémol sur ces inquiétudes : dans le Cloud Act, nous partons de l'hypothèse qu'une entreprise américaine, qui a le contrôle de données pourtant stockées en Europe, ne sera sollicitée par les autorités fédérales américaines pour divulguer des data que dans le cadre d'une procédure bien spécifique. Dans la plupart des cas, l'agence fédérale américaine intéressée par ces data devra disposer d'un warrant, qui, par nature, peut être contesté par l'entreprise qui en fait l'objet. Il existe donc tout de même des garanties procédurales. Nous ne sommes pas dans un système où l'administration américaine pourrait venir se servir au prétexte que les données sont hébergées par Microsoft ou par Amazon.

C'est pourquoi, d'ailleurs, nous devons avancer sur les fameux Executive Agreements prévus par le Cloud Act. Pour le coup, le Royaume-Uni l'a fait, et, dès que nous aurons conclu avec les États-Unis un Executive Agreement, comme prévu par le Cloud Act, les fournisseurs de services qui sont destinataires des demandes de communication disposeront déjà de plus de facilités pour s'opposer à celles qui viennent des agences américaines.

Je n'ai pas sous les yeux toutes les données chiffrées relatives à ces demandes de communication. Selon des rumeurs, elles auraient explosé auprès d'Amazon ou de Microsoft, mais je ne dispose pas de chiffres précis. Néanmoins, à l'évidence, pour résoudre ce problème, il est certain qu'il convient d'en passer par un cloud souverain : j'ai par exemple eu l'occasion d'échanger avec la DGFiP qui dispose actuellement de systèmes de stockage très élaborés. Rien ne nous empêche donc d'avancer maintenant que GAIA-X est en place.

J'ai davantage étudié la question de la régulation des immenses plateformes et entreprises, dont nous avons l'impression qu'elles sont actuellement en train de tout capter, comme en atteste la spectaculaire réussite d'Amazon et son efficacité particulièrement impressionnante. Or nous avons tout de même largement avancé à cet égard au travers des derniers projets de textes, puisque les deux projets de règlements publiés par la Commission avant Noël s'avèrent extrêmement bien pensés et très complets.

Je souhaiterais d'ailleurs faire quelques remarques à leur propos. Tout d'abord, nous avons enfin compris qu'il nous faut réguler de manière asymétrique : le modèle d'affaires des très grandes plateformes s'avère en effet très particulier, au sens où non seulement elles fournissent l'architecture, mais elles interviennent sur celle-ci pour faire concurrence à des vendeurs professionnels (ce qui est le cas d'Amazon qui propose ses propres produits sur sa propre plateforme). Or nous sommes parvenus à aborder la spécificité de ce modèle d'affaires.

Ensuite, il me faut tout de même soulever une difficulté, à savoir la question des moyens humains. J'ai en effet eu la chance de participer à un petit projet de recherche, l'année dernière, au cours duquel nous avons interrogé un grand nombre de start-up du numérique. Toutes ont exprimé le reproche suivant : que ce soit en France à l'égard de la CNIL ou à l'égard de la Commission européenne, elles attendent trop pour connaître l'interprétation de telle ou telle nouvelle norme, de telle ou telle exigence du RGPD, et obtenir une réponse de la part de leur interlocuteur. Ce reproche pose donc la question des moyens humains et des compétences que peuvent mobiliser les autorités de régulation, au niveau national comme au niveau européen. Il s'avère donc extrêmement positif de disposer désormais de régulations bien pensées, mais encore faut-il les mettre en œuvre dans des délais raisonnables et d'une manière qui sécurise les acteurs.

Par ailleurs, nous avons besoin de préciser très rapidement le contenu des obligations mises en place : le Digital Market Act emporte ainsi des obligations dont il est dit qu'elles seront ultérieurement précisées par la Commission. Il s'agit vraiment d'un important enjeu de sécurité juridique.

La question des acquisitions est également évoquée dans le Digital Market Act. Or, dans le secteur du numérique, le scénario des killer acquisitions s'avère parfaitement connu : de jeunes pousses innovantes, disruptives et prometteuses, qui fonctionnent bien et font parler d'elles, sont rachetées à prix d'or par un géant de l'Internet. Il s'agit d'une énorme difficulté, car, bien entendu, de telles offres de rachat mirobolantes s'avèrent particulièrement tentantes. C'est pourquoi le Digital Market Act emporte, pour toute acquisition de cette nature, une obligation de notification à la Commission. Cependant, aucun mécanisme n'est ensuite prévu, si les seuils du droit antitrust n'ont pas été atteints. Il me semble donc que nous ne sommes pas allés jusqu'au bout de la logique, à moins que la Commission en tienne compte dans la définition des obligations qui pèseront sur les grandes plateformes. Ce problème me semble devoir être étudié, car il est important que nos jeunes pousses les plus prometteuses ne soient pas systématiquement rachetées par des géants technologiques.

Enfin, je souhaite évoquer la question de la coopération à l'échelle européenne. En effet, parce qu'il s'adresse aux très grandes plateformes, le Digital Market Act désigne la Commission en tant qu'autorité de contrôle, tandis que, dans le Digital Services Act, comme dans d'autres textes européens, les autorités nationales, réunies au sein d'un comité européen sur les services numériques, conservent la main. Ce comité de coordination répond bien entendu à d'importants enjeux politiques, mais comment l'articuler avec les autres autorités pour aboutir à un dispositif qui fonctionne mieux et plus vite ? Est-il complètement exclu de constituer une autorité de contrôle numérique à l'échelle européenne ? J'ai en effet le sentiment qu'en matière numérique, il convient de raisonner d'abord à l'échelle européenne.

Pour finir, un programme de commande publique dans le monde numérique s'impose selon moi pour aider nos entreprises, accompagné d'une vraie transformation numérique des administrations.