Commission des affaires européennes

Réunion du mercredi 6 décembre 2017 à 16h40

Résumé de la réunion

Les mots clés de cette réunion

  • donnée
  • harmonisation
  • libre
  • libre circulation
  • numérique
  • protection
  • règlement

La réunion

Source

COMMISSION DES AFFAIRES EUROPÉENNES

Mercredi 6 décembre 2017

Présidence de Mme Sabine Thillaye, Présidente de la Commission

La séance est ouverte à 16 heures 40.

I. Présentation du rapport d'information et examen de la proposition de résolution européenne sur le marché unique du numérique

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Mes chers collègues, le marché unique du numérique constitue l'une des priorités majeure de la présidence estonienne. Il s'agit également pour la France d'une priorité de premier ordre. Je souhaite que la question du numérique imprègne l'ensemble de nos travaux dans une logique prospective. La révolution numérique modifie de fond en comble les manières de penser, de communiquer, de produire. Notre plus grand défi est de penser le monde qui vient et d'anticiper les innovations de rupture que sont la transformation numérique et l'intelligence artificielle. Si elle a manqué la première révolution numérique au profit de compagnies presque exclusivement américaines et asiatiques, l'Europe doit se positionner à l'avant-garde des innovations technologiques. Plutôt que de subir ces transformations, impassibles, nous devons affirmer un « modèle européen » qui nous soit propre. Notre diversité de perceptions, de cultures et d'approches doit être mise au profit d'une Europe de l'innovation. L'interculturalité doit constituer un vecteur d'innovation et de progrès, afin de nous permettre d'être à l'avant-garde de la révolution numérique. Je vous rappelle qu'une Conférence sur ce sujet sera organisée à l'Hôtel de Lassay demain de 14 h 30 à 18 h 30 en présence du Vice-président de la Commission européenne en charge du numérique, M. Ansip, et du secrétaire d'État chargé du numérique, M. Mahjoubi, ainsi que de représentants de la société civile et d'entrepreneurs du numérique. Nos deux co-rapporteurs y présenteront leurs travaux. Vous y êtes les bienvenus.

Je passe la parole à M. Éric Bothorel et à Mme Constance Le Grip pour présenter leur rapport, ainsi que leur proposition de résolution.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Nous avons le plaisir de vous présenter le fruit de notre travail commun sur le marché unique du numérique. La proposition de résolution européenne qui vous est soumise aujourd'hui traite du marché unique du numérique. Il s'agit en effet d'un effort de longue date que mène la Commission Juncker, qui avait fait du numérique l'un des dix grands chantiers de la période 2014-2019. L'objectif de la Commission était de libérer le potentiel de croissance, de recherche, d'intelligence collective de l'Union européenne en la matière et de faire de l'Union européenne un champion du numérique. Nous avons souhaité, avec M. Bothorel, vous rendre compte de l'avancée des travaux au sein des institutions européennes, sur les différents aspects de la législation européenne en cours d'élaboration. Sous la précédente mandature, la Commission des affaires européennes de l'Assemblée nationale avait déjà eu l'occasion de traiter des aspects essentiels de la révolution numérique en cours et de ses incidences sur un certain nombre de politiques publiques. Devant l'ampleur de la tâche, nous avons souhaité nous concentrer sur quatre aspects saillants de l'ensemble de la stratégie de la Commission européenne en vue de l'établissement d'un marché unique du numérique. Nous voulons apporter des éléments d'information que nous espérons nouveaux et surtout utiles dans la perspective des travaux que nous serons amenés à mener au sein de l'Assemblée nationale.

La plus grande partie de cet effort a d'abord été réservée à la suppression des obstacles nationaux, réglementaires ou techniques, dont il était estimé qu'ils contrevenaient au bon fonctionnement du marché intérieur dans le secteur du numérique. La Commission européenne a pris conscience d'un ensemble de facteurs, tels que le poids des plateformes dans l'économie actuelle, qui confine parfois à la formation de monopoles, ou la capacité des entreprises numériques, en vertu de la légèreté de leurs structures, à profiter des écarts en matière d'impôt sur les sociétés entre les différents États membres. À côté des efforts pour aplanir les obstacles à la création d'un véritable marché européen du numérique est apparue la nécessité d'avoir une activité régulatrice pour accompagner et si possible prévenir un certain nombre de ces phénomènes mondiaux, auxquels je fais référence. Il s'agit de garantir des libertés fondamentales, telles que la protection de la vie privée, la protection des données personnelles et du caractère privé des correspondances. Cette activité de régulation s'est ajoutée à la suppression des obstacles nationaux à la réalisation du marché intérieur.

Ce double prisme ressort des textes que nous avons examinés au cours de cette mission, pendant laquelle nous avons eu l'occasion de prendre en compte les avis de nombreux acteurs privés et publics, à Paris comme à Bruxelles. Nous nous sommes penchés sur la proposition de règlement relative à la libre circulation des données non-personnelles (ou Free flow of Data). C'est un élément de législation très important, actuellement en cours d'examen au sein des instances européennes. Nous allons également – et c'est sur ces sujets que nous avons bâti nos propositions au sein de la résolution européenne – aborder la question de l'encadrement des données personnelles. Le troisième sujet que nous traitons est essentiel, d'une importance vitale pour nos économies et nos modèles de société : la cybersécurité pour les services numériques sur le continent européen et les échanges entre acteurs numériques sur le continent. Dernier axe de travail : l'initiative de la France et d'autres pays de l'Union européenne pour une fiscalité numérique juste.

Le projet de règlement sur la libre circulation des données non-personnelles est le premier objet dont nous nous sommes emparés. Quand on parle de marché européen du numérique, on pense assez rapidement à la libre circulation. C'est en effet avec la suppression d'obstacles nationaux injustifiés que les entreprises européennes peuvent disposer d'un ensemble de données propice à leur croissance, permettant de soutenir la concurrence féroce des entreprises américaines et chinoises. Nous avons besoin que la croissance d'un certain nombre de nos petits, moyens et grands acteurs économiques puisse se faire en disposant d'ensembles de données pertinents, importants, ainsi que des algorithmes adéquats. Il faut parachever le dispositif européen, en mesure tous les tenants et aboutissants avant que de songer à intégrer les données non-personnelles au sein des accords commerciaux avec d'autres zones du monde actuellement en projet.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Nous avons dû travailler un champ extrêmement vaste, à des fins de réalisation du rapport et de la proposition de résolution qui vous est soumise. Nous avons assumé des choix. Certains regretteront peut-être que nous ne soyons pas allés assez loin sur le droit d'auteur, d'autres nous reprocheront de ne pas avoir traité tel ou tel sujet. Compte tenu du nombre de personnes à auditionner pour aboutir à une position équilibrée entre sécurité et libertés individuelles, les propositions que nous formulons ce soir sont en droite ligne avec l'intention première qu'il faut rappeler : la nécessité de faire émerger le marché unique du numérique. Celui-ci permettrait de faire naître des acteurs européens de premier plan dans le monde du numérique.

Cette libre circulation doit notamment se traduire par une obligation aussi faible que possible de localiser les données dans des data center nationaux, sinon pour des raisons légitimes de sécurité nationale. Certains ont peut-être à l'esprit l'initiative française du cloud souverain, elle s'est traduite par des difficultés pour un certain nombre de directeurs de systèmes d'information, pour maintenir les données sur le territoire français.

À l'inverse, l'Allemagne vient de tenter une expérimentation avec un duo entre Deutsche Telekom et Microsoft pour l'hébergement de données en Allemagne et l'encapsulation de ces mêmes données rendues inaccessibles par ces deux entreprises. On le voit, les questions de libre circulation des données et de leur localisation ne doivent pas répondre au seul critère de la géographie, mais aussi à des dimensions technologiques et techniques. L'économie des nuages, en particulier, se soumet aussi peu aux frontières nationales que les nuages eux-mêmes, physiques ou numériques. En contrepoint, toutefois, les autorités nationales doivent pouvoir, par le biais d'une collaboration efficace, avoir accès aux données non-personnelles à tout moment, dès lors que cet accès est justifié par un intérêt public suffisant. De la même manière, les internautes doivent pouvoir bénéficier de cette libre circulation des données afin de récupérer les données générées par l'utilisation d'un service et les transférer facilement auprès d'autres prestataires. On a vu là aussi des initiatives nationales sur la portabilité des données et la possibilité de changer d'opérateur de manière totalement transparente. La proposition de règlement destinée à protéger les données personnelles échangées par le biais des télécommunications, dite « ePrivacy », constitue, quant à elle, ce que l'on pourrait appeler une lex specialis de l'ensemble plus large que constitue le Règlement Général de Protection des Données, ou RGPD. Celui-ci doit garantir le niveau le plus élevé au monde de protection des données personnelles dans tous les secteurs. Nos entretiens nous ont toutefois amenés à faire les constats suivants :

- la conformité au RGPD réclame de la part de nombreuses entreprises, mais aussi de collectivités publiques, un effort d'adaptation, qui n'est encore que trop rarement effectif. Or, l'application du RGPD est prévue au 25 mai 2018 : cette conformité s'avère naturellement plus difficile pour les petites entreprises que pour les grandes, qui ont à la fois la force de frappe juridique et le personnel formé pour mettre en oeuvre ces adaptations. Il va sans dire qu'un groupe de 500 personnes a toujours la possibilité de trouver quelque part quelqu'un à former pour devenir chief data officer. Pour une entreprise de dix, quinze ou trente salariés, dont le coeur d'activité n'est pas de se mettre en conformité avec tel ou tel type de règlement, mais de développer ses activités, qu'elles soient d'entreprise à entreprise ou d'entreprise à client, le temps et les ressources disponibles sont très difficiles à mobiliser.

- La succession d'un certain nombre de règlements qui s'appliquent, du RGPD à, demain, ePrivacy, suscite des interrogations, tant sur les ressources à y allouer pour se mettre en conformité que sur l'incertitude juridique issue des révisions successives. Il faut développer notre vigilance, pour améliorer la prévisibilité et la cohérence, loin des injonctions contradictoires entre diverses réglementations.

- Il devient de plus en plus urgent d'intégrer, comme le préconise la CNIL depuis un certain temps, les marges de manoeuvre contenues dans le RGPD pour les États membres dans un véhicule législatif adapté, qui doit produire ses pleins effets au 25 mai 2018.

N'ayons pas une vision trop pessimiste de ce que représente le RGPD. Après les auditions que nous avons menées, ainsi que les rencontres dans les territoires et les circonscriptions, avec des chefs d'entreprise et des acteurs économiques, tout le monde se félicite de l'orientation prise par l'Union européenne en faveur de la défense et la protection des données. Rien ne dit que la tendance dictée par d'autres opérateurs transcontinentaux sur le fonctionnement du traitement des données et de leur marchandisation représente l'avenir. Je suis pour ma part convaincu qu'avec le RGPD, on verra de plus en plus d'opérateurs, y compris extracontinentaux, se plier à ces règles. Des sensibilités comparables émergent aux États-Unis et à l'Est de la planète.

Plus largement, le consentement, tel qu'il est compris dans le RGPD, doit irriguer le règlement ePrivacy. C'est en ce sens que nous demandons à ce que le consentement de l'utilisateur ne soit pas présumé en amont par le paramétrage automatique du navigateur, mais qu'il soit recueilli, notamment pour ce qui est des « cookies tiers », après une information claire de l'utilisateur. Aujourd'hui, l'internaute est sollicité et informé du type d'information recueillie sur une page web. Il y a deux catégories d'utilisateurs : ceux qui cochent pour avoir accès à l'ensemble des services, sans trop savoir à quoi ils s'exposent et ceux qui, par habitude ou par conviction, ne souhaitent pas laisser de traces sur internet. Ils peuvent alors décider de ne pas aller plus loin ou ne pas accepter le traçage. Nous souhaitons, par nos propositions, déplacer le curseur, aujourd'hui très favorable à ceux qui savent, vers ceux qui ne savent pas, pour les informer, non pas des risques, mais des sujets auxquels ils s'exposent demain, tels que le profilage, ou la différence dans le traitement de l'information.

Nous aurions, en matière de cybersécurité, bien plus de réserves sur le texte proposé par la Commission européenne, au milieu d'un ensemble qui compose le « paquet cybersécurité ». La proposition de règlement accroît le mandat de l'ENISA, soit l'agence européenne de cybersécurité et lui confie notamment la gestion d'un système de certification européen. Ces deux points peuvent poser problème.

En premier lieu, les agences nationales comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France ont démontré depuis de nombreuses années leurs capacités à assurer la cybersécurité des citoyens dans les États membres. Dès lors, un accroissement du mandat de l'ENISA, qui ne dispose par ailleurs que d'un personnel limité, ne doit pas se faire au détriment de la capacité d'action de chacune des autorités nationales. L'ANSSI compte 500 agents, contre 80 à l'ENISA. Cela ne doit pas décourager non plus les États membres dépourvus d'une autorité comparable à l'ANSSI d'investir dans leur cybersécurité. De plus, les schémas de certification nationaux, tels que celui défini par l'ANSSI pour la France, sont déjà reconnus parmi les meilleurs standards mondiaux. Dès lors, une certification européenne doit viser un niveau ambitieux, tout en modulant le degré de certification en fonction du caractère stratégique des objets concernés.

Enfin, et nous en terminerons par-là, la fiscalité qui s'applique aux entreprises numériques doit viser une plus grande justice et une meilleure efficacité. Je ne reviendrai pas sur les nombreux cas qui ont émaillé l'actualité ni sur la définition toute récente par la Commission européenne d'une nouvelle liste de paradis fiscaux. Mais les caractéristiques de l'économie numérique sont propices aux risques d'érosion de la base fiscale et de transfert des bénéfices, en vertu de la légèreté des actifs engagés, de l'absence d'infrastructures physiques dans les pays dans lesquels la valeur ajoutée est créée ou encore de la possibilité de s'implanter dans des États tout en exerçant une majeure partie de son activité ailleurs. C'est cet état de fait que le Gouvernement français a souhaité corriger avec sa proposition d'une taxe d'égalisation, portant sur le chiffre d'affaires des entreprises du numérique dans chaque État membre. Le but est véritablement de taxer la valeur là où elle est créée, et ce d'autant plus que les acteurs du numérique ont besoin de biens publics, tels que des infrastructures de bonne qualité ou une main-d'oeuvre qualifiée. C'est à ce titre, entre autres, qu'une juste contribution nous paraît indispensable. Cette taxe ne sera toutefois qu'un premier pas avant la conclusion des travaux de l'OCDE en la matière, au printemps 2018. Mais des progrès rapides sur ces sujets permettront à l'Union européenne d'avoir une position commune et donc de peser d'autant plus dans les débats mondiaux à venir relatifs à l'impôt sur les sociétés.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Avant de passer aux questions, je me permets de saluer et d'accueillir dans notre commission, M. Raphaël Schellenberger qui vient en remplacement de M. Marc Le Fur.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Madame la Présidente, chers collègues. J'interviens au nom de Laure de La Raudière qui, en appui de la mission confiée à M. Villani sur l'intelligence artificielle, a travaillé sur ce sujet. Elle me demande de vous transmettre quelques réflexions par rapport à votre présentation. Elle proposera des amendements à l'occasion de l'étude de cette proposition de résolution par la commission des affaires économiques. Au neuvième considérant, l'obligation de stockage des données sur le territoire européen pour des considérations nationales ou européennes mérite sans doute d'être expertisée et débattue plus longuement. Mme de La Raudière est ennuyée que la proposition réfute son éventuel intérêt et préférerait que ce considérant soit retiré. Il n'est d'ailleurs pas indispensable à la proposition de résolution européenne. De plus, dans ce même paragraphe, la proposition dit une chose et son contraire à la ligne suivante. La suppression de cette partie semble sage. Au dixième considérant, elle souhaite entendre vos explications. Au onzième considérant, elle indique qu'elle est tout à fait en faveur de la portabilité des données personnelles et que c'est d'ailleurs inclus dans le RGPD. En revanche, la définition des données enrichies par le fournisseur de service n'est pas claire ; il serait utile de la préciser. Elle pense qu'il faudrait supprimer la mention « à l'exclusion des données enrichies par le fournisseur de service » et en rester au principe de changement de fournisseur de service et de portabilité des données, parce qu'il s'agit d'une proposition de résolution et non un texte de loi. Le point 8 de la proposition de résolution n'est pas clair et nécessite des explications. Enfin, le point 10 est problématique et nous avons eu de nombreux débats sur ce sujet au moment de la loi pour une République numérique. Les données générées par l'utilisation du service ne doivent pas inclure les secrets de fabrication de l'entreprise et cela mérite d'être précisé. Elle vous remercie de votre écoute.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Vos remarques portent sur des éléments rédactionnels ou de précision qui me paraissent pour certains utiles, notamment sur les données enrichies. Nous avons eu ce débat pendant la loi sur la République numérique. Je connais les instances qui portent ce type de sujet et je ne vois aucun inconvénient à ce qu'il y ait des amendements rédactionnels ou de précision sur ces points-là.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Pour les éléments cités, cela ne nous semble pas contradictoire. Ce sera peut-être un débat qu'il faudra approfondir à d'autres occasions, mais il peut y avoir des cas expressément justifiés et identifiés de localisation forcée des données, par exemple pour des raisons de sécurité ou de défense. Mais cela ne doit pas empêcher que la libre circulation se fasse via un principe de libre coopération reposant sur une collaboration étroite entre les autorités nationales.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

On introduit l'idée qu'il y a une règle générale et une exception, mais l'exception ne peut pas devenir la règle. Je rappelais cela notamment avec la notion de cloud souverain où on avait dit de facto que toutes les collectivités publiques devaient faire appel à des fournisseurs de services qui offraient la garantie d'un cloud souverain. Dit autrement, les données restaient sur le territoire national. C'est une traduction technique dont on avait du mal à trouver la réalité en France et, en vérité, il y avait très peu de fournisseurs qui étaient en capacité de dire où les données étaient localisées. Ce n'est pas parce qu'un data center est localisé en France qu'on a la garantie que les données et leur traitement restent en France. Ce que l'on expose dans la proposition de résolution, c'est de s'inscrire dans une logique de libre circulation des données à l'échelon du continent européen, n'exceptant pas l'idée que pour des raisons particulières, il faille les conserver sur le territoire national. Comme le disait Mme Le Grip tout à l'heure, nous nous trouvons devant des enjeux d'intelligence artificielle : la performance de l'algorithme est liée à la taille des data sets. Soit vous voulez des entreprises qui sont performantes et donc vous leur offrez la possibilité d'avoir accès à de larges quantités de données : cela nécessiterait un débat sur l'anonymisation et la pseudonymisation des données. Soit on réduit le terrain de jeu de l'ensemble des acteurs économiques au territoire national. Aujourd'hui, je pense à Facebook qui a deux cents millions d'utilisateurs aux États-Unis. Avec cette base, ils ont une large capacité de développement des algorithmes comportementaux et marketing. Si on restreignait l'utilisation d'un certain nombre de données, notamment les données publiques, qui une fois anonymisées ou pseudonymisées, pourraient servir dans le domaine de la santé, on réduirait la possibilité d'innover. Il faut prévoir des limites ; il faut prévoir des exceptions, si on décide qu'un certain nombre de données n'ont pas, pour des raisons de secret industriel ou de protection nationale, à circuler librement. Donc il n'y a pas de contradiction. Dans la rédaction d'une proposition de résolution, il est difficile de faire tenir tous ces éléments de précision. Pour le reste, si tôt la commission saisie sur le fond, il sera apporté des réponses.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je salue à mon tour l'excellent travail des rapporteurs sur ce sujet essentiel. Dans cette société de la connaissance, la circulation va de pair avec la protection des données pour garantir la confiance des citoyens européens. Or plusieurs incidents ont récemment montré que les acteurs n'étaient pas forcément vertueux, qu'il s'agisse d'Uber dont 60 millions de données de conducteurs et d'utilisateurs ont été dérobées, ou bien de la poupée Cayla, manipulable à distance. Un robuste volet cybersécurité est donc indispensable si l'on veut renforcer la confiance des citoyens dans le partage des informations. C'est essentiel pour bénéficier des innovations offertes par l'exploitation des données, par exemple en matière de télémédecine ou bien de réseaux énergétiques intelligents, mais cela suscite des craintes - sur ce point, voyez les difficultés rencontrées par le déploiement du compteur Linky. Considérez-vous que les moyens des organismes tels que la CNIL sont suffisamment renforcés par ces avancées ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

La France a tardé à s'emparer de ce sujet pourtant très important, au point d'apparaître à la remorque, finalement, d'autres États membres et d'autres instances européennes. Ce projet de règlement favorise la libre circulation des données non personnelles, interdit les géoblocages injustifiés imposés par les États sur leur territoire, ménage des exceptions de bon sens pour les données relatives à la sécurité publique. La France porte, au Conseil, une extension de ces exceptions aux données administratives, notamment de santé publique. En effet, la libre circulation des données nécessite une confiance absolue tant envers l'État membre concerné qu'envers les citoyens, qui parfois n'existe pas. Que pensez-vous de cette proposition française d'extension de l'exception aux données administratives ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Ce sujet est très vaste, et parmi les nombreuses questions qu'il pose, il y a celle du droit d'auteur. Le marché unique est finalement un outil de développement économique de notre espace commun face à d'autres grandes zones, qui nous font concurrence. Dans certaines zones, des règles plus souples en matière de droits d'auteur favorisent les acteurs économiques. Ne risque-t-on pas, avec ces règles proposées d'une façon un peu trop légère sous le prisme du marché unique du numérique, un dumping au sein de l'Union européenne ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Sur le droit d'auteur, M. Schellenberger, nous l'abordons aux points 18 et 19 de la proposition de résolution européenne : c'est un sujet loin d'être anodin, mais ce n'est pas le coeur de notre rapport. La commission des affaires européennes a traité ce sujet sous la précédente législature avec l'excellent rapport Gaymard-Karamanli sur l'adaptation du droit d'auteur à l'ère numérique. Notre Assemblée, via notamment la commission des affaires culturelles, suit très attentivement la finalisation en cours de la révision de la directive sur le droit d'auteur, et le Gouvernement comme les eurodéputés français sont très engagés pour que l'harmonisation des règles du droit d'auteur ne se traduise pas par un amoindrissement de ce dernier, mais bien au contraire par son renforcement. C'est un droit moderne, car immatériel, parfaitement adapté à cette révolution numérique. De la même façon, sans en faire le coeur du rapport, nous avons parlé d'autres sujets, évoqués à juste titre notamment par Mme Sophie Auconie relayant les préoccupations de Mme de La Raudière, comme le secret de fabrication, le secret d'affaires, la propriété intellectuelle, etc., pour lesquels se posent des questions similaires de lutte contre la contrefaçon, le piratage.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Vos rapporteurs ne sont pas favorables à l'extension de la localisation à d'autres natures de données car une réflexion en silo avec les données de sécurité, les données de santé, etc., comporte le risque d'aboutir à une restriction trop forte de la circulation des données. Une approche plus fine permet de définir ce qu'est une donnée sensible ou pas, protégée ou pas. Faut-il avoir une approche globale ou bien une approche différenciée en fonction de telle ou telle nature de données ? La première approche est celle qui a été suivie jusqu'à présent, en considérant qu'une entreprise, un process, un ensemble de données devaient être protégés. Mais il y a des opérateurs d'importance vitale (OIV) qui produisent des données qui ne sont pas des données sensibles. Compte tenu de cette dualité, vos rapporteurs considèrent qu'il faut avoir une autre approche, en se donnant autant que faire se peut les moyens d'assurer la liberté de circulation des données la plus grande possible en Europe, ce qui implique de renforcer la coopération entre les États membres et notamment entre leurs agences.

Le cas de l'Estonie est éclairant. Ce pays, très avancé en matière d'économie numérique, a fait le choix d'abriter ses données au Royaume-Uni, considérant que leur protection y était mieux assurée qu'en Estonie même. Les choix de protection des données ne répondent pas, parmi les États membres, à des critères identiques.

S'agissant de la Commission nationale de l'informatique et des libertés (CNIL) et des autres autorités, comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI), au-delà des moyens humains nécessaires pour conduire leurs actions, les dispositions réglementaires, notamment pour ce qui est des sanctions, sont par elles-mêmes dissuasives et devraient entraîner la mise en conformité des entreprises à ce règlement.

Sur le sujet de la confiance, qui est essentielle, vous avez raison, M. Michels : cette dernière repose à mon sens sur la transparence et l'accès aux données, c'est-à-dire que le consommateur d'une montre connectée, d'une poupée connectée, de domotique est informé non seulement des services rendus par ces outils, mais surtout des données captées. Ce consommateur doit savoir à qui elles sont destinées, s'il s'agit d'un tiers connu ou inconnu. Les fournisseurs doivent être dans l'obligation de donner l'information la plus claire possible sur l'intention sous-jacente au recueil des données.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Cela pose aussi la question de la certification des objets connectés, et du niveau de cette dernière, au plan européen, par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) ou bien au plan national pour les États membres qui ont cette capacité, comme la France et l'Allemagne.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Les enjeux ne sont pas nouveaux, notamment pour les données personnelles, le droit d'auteur, la stratégie à avoir tant au niveau des États membres qu'au niveau de l'Union. Je me félicite de la continuité des travaux de notre commission, qui s'était déjà penchée sur ce dernier sujet en février dernier.

Il me semble que, en cohérence avec la préoccupation traditionnelle de la France, la proposition de résolution européenne devrait insister plus fortement sur deux éléments clés du modèle économique : d'une part, la question de la régulation des plateformes, essentielle non seulement pour maintenir les services, créer de la confiance, mais aussi pour lutter contre les nouveaux monopoles qu'elles génèrent et, d'autre part, garantir la propriété des données collectées, c'est-à-dire, le droit pour les personnes d'y consentir, d'y accéder, de les récupérer, de les faire effacer, c'est-à-dire le droit à l'oubli.

En matière de cybersécurité, je partage votre analyse au sujet du renforcement de la coopération des agences, mais j'ajouterai un point important, celui du contrôle des agences, notamment le contrôle parlementaire. Nous en avons parlé lors de notre discussion sur Europol.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je partage l'appréciation flatteuse de mes collègues sur ce rapport. Pourriez-vous toutefois nous préciser le contenu des règles en matière de sécurité et de sûreté des données numériques que vous appelez de vos voeux aux points 8 et 9, ainsi que ce que devrait être l'articulation entre l'action des agences au niveau européen et au niveau des États membres, dont vous parlez au point 14 ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Le numérique permet de futures révolutions technologiques, mais aussi démocratiques. Il est donc crucial que l'Europe soit à l'avant-garde. Mais ce projet de règlement général me semble surtout légaliser les stratégies d'entreprises privées, dont les collectes de données personnelles à des fins commerciales avec notamment le profilage, sont antagonistes avec l'idée même de démocratisation. Nous sommes favorables à une telle collecte lorsqu'elle se fait à des fins artistiques, de recherche, ou dans un sens d'intérêt général.

Je partage votre position sur la nécessité de défendre les agences nationales de protection : or ce règlement renforce le niveau européen. Que faire ? Il limite fortement le droit à l'oubli, alors que nous voulons au contraire le protéger. Comment faire ?

Quant à la taxation des entreprises du numérique, plusieurs démarches, parfois contradictoires d'ailleurs, ont été lancées par la Commission et par la France, vous l'avez évoqué. Quel est votre point de vue sur la proposition française, notamment sur la taxation des entreprises déficitaires et la définition du périmètre des entreprises numériques, alors que l'Assiette Commune Consolidée pour l'Impôt sur les Sociétés (ACCIS) a un champ plus large, avec ses trois indicateurs d'activité ? Quel projet devrait être mis en oeuvre de façon prioritaire ? Les attentes de nos concitoyens sont fortes, tant au regard de l'enjeu démocratique que des recettes fiscales qui en découlent !

Permalien
Bruno Gollnisch, membre français du Parlement européen

Je souhaiterais réagir aux propos de la Rapporteure, Mme Constance Le Grip sur le positionnement que pourraient avoir les institutions européennes et aussi nationales au sujet de la limitation de la liberté d'expression, notamment la répression de l'incitation à la haine. Nous sommes tous attachés à la liberté d'expression et nous sommes tous d'accord pour que celle-ci s'exerce dans les limites fixées par le code pénal. L'appel à la commission d'un crime ou d'un délit ne doit pas être possible, quel que soit le mode de transmission des données. La difficulté vient du flou qui entoure le concept de haine, qui n'est jamais déterminé de manière précise. La haine est un sentiment, certes répréhensible mais également insusceptible de mesure. La définition qui en est faite peut être extrêmement variable. « Selon que vous serez puissant ou misérable, les jugements de cour vous rendront blanc ou noir ». Un discours pourra être qualifié d'incitation à la haine, alors que le discours opposé, s'il émane d'un groupe majoritaire ou exerçant le pouvoir, sera qualifié de discours d'amour, de justice et de vérité. C'est un problème. De manière identique, une même caricature ne sera pas appréciée de la même façon selon qu'elle émane de Charlie Hebdo qui, compte tenu des événements dramatiques qui l'ont frappé, est extrêmement bien vu des autorités, ou de M. Alain Soral. Je suis très attaché à ce que la loi soit la même pour tous et je tiens à faire part de mon inquiétude à ce sujet. Je crains que l'exploitation d'un sentiment diffus puisse permettre de museler la liberté d'expression de certains et favorise la domination doctrinale et culturelle de leurs opposants.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Le champ du numérique est vaste. Nous n'avons pas abordé dans notre rapport des sujets tels que la cyber-malveillance, le cyber-harcèlement, les problématiques de la théorie du complot ou des rumeurs. L'Assemblée nationale a déjà légiféré à ce sujet et des missions d'information se sont penchées sur ces thématiques. Mais une actualisation est peut-être nécessaire et cela justifierait que certaines commissions parlementaires engagent une nouvelle réflexion sur ces thèmes.

Je pense qu'Internet n'est pas à l'origine de la diffusion d'informations malveillantes mais qu'il constitue une caisse de résonnance inédite en vertu d'une capacité extraordinaire de massification de l'information. C'est un outil capable de créer des biais de connaissance autour desquels se forment des communautés. Il permet à des petits groupes de mobiliser une idéologie et de l'imposer aux autres. Ce sont ces dangers auxquels nous devons faire face. Gérald Bronner dans La démocratie des crédules met en évidence la vulnérabilité de la société à ce sujet. Certains estiment peut-être que la régulation des plateformes pourrait permettre d'effectuer un tri entre la bonne information et la mauvaise. Il ne serait pas malsain d'avoir un débat sur les « fake news » ou sur la hiérarchisation des informations. Mais je pense qu'au-delà de la régulation des plateformes, ce à quoi nous sommes tous très attachés, c'est surtout la possibilité d'avoir accès de manière transparente aux algorithmes qui permettent de hiérarchiser les informations. Pourquoi lorsque l'on tape « bébé » sur Google, en Europe, n'apparaissent quasiment que des photographies d'enfants blancs ?

Les législateurs, nationaux et européens, doivent instaurer un cadre de liberté suffisant pour permettre l'innovation et la création de nouvelles formes de marchés, mais disposant de règles de veille et de contrôle permettant à tout moment de comprendre pourquoi l'utilisateur d'Internet se voit proposer tel produit. Le législateur, qui peut devenir régulateur, doit avoir accès aux outils qui hiérarchisent, concatènent et organisent l'information.

La question de la fiscalité des plateformes se pose depuis longtemps. Des initiatives, notamment une initiative française, ont été portées à ce sujet il y a quelques mois. Elles n'ont pas encore abouti mais il y a une avancée certaine et ce qui était inconcevable, à savoir la taxation des activités des plateformes sur le chiffre d'affaires réalisé dans chaque pays, est aujourd'hui discuté par des pays importants au sein de l'Union européenne. Je veux croire que ces efforts solidaires aboutiront rapidement à une solution.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Il est beaucoup question de confiance dans les thématiques liées au numérique mais les entreprises continuent à recourir à des stratégies de contournement. Depuis l'arrêt Schrems, du nom d'un ressortissant autrichien qui avait obtenu gain de cause face à Facebook, Google donne à ses utilisateurs la possibilité de cocher les données qu'ils souhaitent ou ne souhaitent pas voir transférées, mais il faut réitérer cette manipulation tous les quinze jours. Des projets de sanctions sont-ils envisagés pour empêcher ce type de stratégies qui misent sur l'usure du consommateur ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Ces désagréments sont hélas répandus. C'est la raison pour laquelle nous proposons dans notre rapport de retenir une notion du consentement qui irait au-delà d'un simple « opt out », pour empêcher que les entreprises puissent considérer qu'une absence de renonciation catégorique vaut acceptation.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Merci. La discussion générale est close. Nous passons à l'examen de la proposition de résolution. Nous sommes saisis de plusieurs amendements. Nous commençons par l'amendement n° 1 de M. Bothorel.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Cet amendement rédactionnel vise à reprendre les termes de la CNIL dans la proposition de résolution.

L'amendement n° 1 est adopté.

L'amendement n° 2 est également présenté par M. Bothorel.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Cet amendement rédactionnel vise à remplacer le mot « agence » par le mot « autorité » pour tenir compte du fait que la CNIL n'est pas une agence.

L'amendement n° 2 est adopté.

L'amendement n° 3 est présenté par Mme Karamanli.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Cet amendement vise à préciser que l'harmonisation maximale mentionnée dans la proposition doit se faire « par le haut ».

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Nous ne sommes pas convaincus que l'on puisse apporter cette précision car cela pourrait contrevenir aux marges de manoeuvres dont devront pouvoir disposer les États membres lorsqu'ils traduiront dans leur droit interne les orientations générales contenues dans le règlement général sur la protection des données.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je tiens à vous rassurer. Nous sommes dans le cadre de l'examen d'une proposition de résolution, pas dans celui de la rédaction d'un règlement ou d'une directive.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Une proposition de résolution n'est pas une succession de points désolidarisés les uns des autres. Il est évident que la proposition de résolution que nous vous soumettons est ambitieuse et il me semble inutile d'apporter cette précision.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Qui peut le plus, peut le moins. De plus nous sommes tous d'accord sur ce point. Alors pourquoi ne pas l'indiquer ?

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

À titre de prise de position politique et dans la mesure où cela n'interfère pas sur la rédaction du règlement général, je pense que l'on peut effectivement faire figurer cette précision.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je n'y suis pas opposé et cela permettra d'affirmer sans ambiguïté notre position commune.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je rappelle que dans cette commission nous avons toujours fonctionné de manière unanime avec la volonté partagée et profonde d'oeuvrer en faveur de nos concitoyens et en rejetant tout positionnement politicien.

L'amendement n° 3 est adopté.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Nous sommes saisis d'un amendement n° 4 présenté par M. Éric Bothorel, co-rapporteur.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

C'est un amendement qui vise à affirmer que, sans aller jusqu'à l'exclusivité, la conservation des données par les autorités publiques doit obéir en premier lieu à des fins expresses de sécurité et de défense nationale. Nous avons eu ce débat tout à l'heure pour savoir jusqu'où aller dans la collecte des données. C'est une modification qui n'emportera pas de gros sujet.

L'amendement n° 4 est adopté.

Nous sommes saisis d'un amendement n° 5 présenté par Mme Marietta Karamanli.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Sur le point 7 de la proposition de résolution européenne, nous demandons de garantir aux internautes le droit d'exprimer un consentement libre. C'est un élément essentiel que vous rappelez mais nous pensons que la seconde partie de la phrase contraint le consentement libre. Nous proposons donc de supprimer cette partie de la phrase et s'en tenir à l'affirmation du principe du consentement libre des internautes sur le traitement des données.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je comprends la motivation et l'exposé des motifs de cet amendement. Il y a une singularité et une actualité autour du monde de la presse qui motive le positionnement de la proposition rédactionnelle initiale. L'idée est de ne pas nuire à certains modèles économiques qui ne pourraient pas s'adapter aux dispositions que nous préconisons. Il me paraît responsable, à ce stade, que nous ayons cette position mesurée plutôt que d'exclure fermement cette possibilité.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je vois dans ce point 7 tout et son contraire : nous sommes entièrement d'accord avec la première partie mais les nuances introduites dans la seconde partie pour exclure certaines activités me posent problème. Vous introduisez une exception mais qui va déterminer cette exception ? Il n'y a alors plus de garantie et c'est la raison pour laquelle je soutiens cet amendement.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

J'entends votre point de vue, je vous renverrais bien que nous ne faisons pas la loi et le sujet qui est le nôtre aujourd'hui est une proposition de résolution. J'ai exposé de manière transparente et claire les raisons de l'articulation et de la rédaction proposées : il s'agit de permettre une transition.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

L'amendement n° 5 est adopté.

Nous sommes saisis d'un amendement n° 6 présenté par Mme Marietta Karamanli.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Le point 8 traite des données non personnelles et ne peut donc, au risque d'un contresens, viser la protection des données personnelles. Avis défavorable donc.

L'amendement n° 6 est rejeté.

Nous sommes saisis d'un amendement n° 7 présenté par Mme Marietta Karamanli.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

C'est un amendement qui demande au Gouvernement de s'engager fortement sur la régulation des plateformes numériques qui, si elles créent de nouveaux modèles économiques, ne doivent pour autant être autorisée à privatiser, au sens d'en prendre le contrôle, un certain nombre de services et de données. C'est un engagement qui est demandé au Gouvernement à travers une nouvelle rédaction du point 8.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Il y a déjà beaucoup de textes qui visent à réguler les plateformes et notamment le règlement général de protection des données. Je rappelle qu'il y a actuellement des travaux effectués par la Commission européenne qui pourraient aboutir sur des propositions qu'il conviendra d'examiner en temps voulu.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Il s'agit d'affirmer un peu plus la protection par rapport aux privatisations. C'est une protection que l'on ajoute au niveau de ce qui est proposé au point 8.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Il faudrait alors préciser ce qu'on entend par privatisation donc j'y suis défavorable.

L'amendement n° 7 est rejeté.

Nous sommes saisis d'un dernier amendement n° 8 présenté par Mme Marietta Karamanli.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Sur le point 17, la proposition consiste à ajouter, après les termes « assiettes fiscales » l'expression « tout en travaillant à une harmonisation par le haut des taux d'imposition des services numériques ». Cela rejoint le premier amendement que nous avons présenté et s'inscrit totalement dans une volonté d'harmoniser l'imposition fiscale qui est assez largement portée au sein de notre assemblée et également par le Gouvernement.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je suis embêté par cet amendement car nous ne sommes déjà pas parvenus à harmoniser la fiscalité dans l'économie réelle. Nous sommes, certes dans une proposition de résolution, mais également dans une démarche où on suit les travaux effectués par ailleurs dans le domaine fiscal. On a rappelé, tout à l'heure, le long chemin parcouru par l'idée d'aboutir à une fiscalité des activités numériques. Je crains que si l'on pose comme un point non-négociable la nécessité d'avoir à la fois une fiscalité et une harmonisation des taux pour le secteur numérique, on risque de n'aboutir à rien. Cela me semble être un obstacle supplémentaire à la réalisation d'une fiscalité du numérique. Nous portons tous les deux et, ensemble de manière plus générale, l'idée qu'il faut aller très vite et très loin sur la fiscalité des plateformes. Mais conditionner les avancées en la matière à une harmonisation par le haut me paraît être de nature à décourager les ambitions portées pour aboutir à une fiscalité du numérique.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Ce qui compte en Europe aujourd'hui, c'est l'harmonisation. Peu importe finalement la valeur du taux si on arrive à converger vers un taux plus cohérent pour tous les États membres.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je pense au contraire qu'aujourd'hui en Europe, ce n'est pas juste l'harmonisation mais l'harmonisation par le haut qui est importante. Si on ne donne pas de signal positif et ambitieux, en particulier sur le secteur d'avant-garde que représente le numérique, il me semble que l'on passe à côté d'une question cruciale. L'harmonisation dans un sens ou dans un autre n'a pas le même impact, notamment dans les consciences, sur l'image de l'Europe. Savoir si l'on se dirige vers une Europe du mieux ou du moins-disant fiscal et social n'est pas un détail insignifiant.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je tiens juste à rappeler le positionnement du Président de la République en matière d'harmonisation fiscale qui insiste fortement, depuis plusieurs mois, dans ses discours sur cette question. Si au sein même de la majorité cette volonté n'est pas portée dans une proposition de résolution, il me semble qu'il y a un recul…

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Il ne s'agit pas d'un recul, mes chers collègues. J'entends que l'on puisse nourrir des ambitions très fortes qui soient de réussir à faire avec le numérique tout ce que l'on n'a pas réussi à faire dans le reste de l'économie réelle. Il convient de rappeler les différences qui peuvent exister en matière de fiscalité ; aujourd'hui l'harmonie fiscale et l'harmonie sociale ne sont pas au rendez-vous. Je pense qu'il est illusoire de penser que parce qu'il s'agit de plateformes numériques, on arrivera à faire tout ça en même temps. À ce stade, cette double ambition me semble prématurée. Si les collègues ici présents s'associent à l'idée qu'on salue l'effort pour aboutir rapidement à une fiscalité des plateformes et des activités numériques, cela me semble déjà bien. Je partage l'idée selon laquelle l'Union européenne devrait, dans un monde idéal, avoir un mode de fonctionnement plus harmonieux mais à ce stade, portons la volonté d'avancer vite et bien sûr la fiscalité du numérique, chose encore impensable il y a quelque temps, et nous traiterons ensuite de la capacité des uns et des autres à oeuvrer pour son harmonisation.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je suis un peu gêné par cet amendement. Comme le rappelait Marietta Karamanli, l'harmonisation fiscale est un thème que j'ai pu porter pendant la campagne présidentielle et c'est notamment l'ambition du Président de la République. Ce qui me dérange, c'est la mention des termes « par le haut » car il ne s'agit pas de considérer que notre système d'imposition est le meilleur, ni même que l'imposition la plus haute est la meilleure. J'aimerais proposer de sous-amender éventuellement cet amendement pour supprimer ces termes.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Pour satisfaire toutes les parties, je vous propose d'ajouter à la rédaction initiale l'idée d'harmonisation proposée par l'amendement sans mentionner les termes « par le haut ».

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je mets aux voix l'amendement ainsi modifié : « après les termes « assiettes fiscales », ajouter les termes « tout en visant une harmonisation des taux d'imposition des services numériques ».

L'amendement n° 8 est adopté.

La commission adopte la proposition de résolution européenne ainsi modifiée :

« L'Assemblée nationale,

Vu l'article 88-4 de la Constitution,

Vu les articles 16 et 114 du TFUE (Traité sur le fonctionnement de l'Union européenne),

Vu la directive n° 9546CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la directive n° 200258CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le règlement n° 2016679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 9546CE (règlement général sur la protection des données),

Vu le règlement n° 5262013 du 21 mai 2013 concernant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et abrogeant le règlement (CE) n° 4602004,

Vu la Communication de la Commission européenne « Stratégie pour un marché unique numérique en Europe » du 6 mai 2015,

Vu la Communication de la Commission européenne « Créer une économie européenne fondée sur les données » du 10 janvier 2017,

Vu la proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 200258CE (règlement « vie privée et communications électroniques ») du 10 janvier 2017,

Vu la proposition de règlement concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l'Union européenne du 13 septembre 2017,

Vu la proposition de règlement relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 5262013, et relatif à la certification des technologies de l'information et des communications en matière de cybersécurité (règlement sur la cybersécurité) du 13 septembre 2017,

Vu la communication de la Commission européenne « Un système d'imposition juste et efficace au sein de l'Union européenne pour le marché unique numérique » du 21 septembre 2017,

Considérant que la stratégie de la Commission européenne en faveur du Marché Unique du Numérique vise à favoriser la croissance d'un secteur dans lequel l'Union compte de nombreux atouts ;

Considérant que le potentiel de croissance dans le domaine de l'informatique en nuage pourrait atteindre environ 45 milliards d'euros en 2020 ;

Considérant la nécessité de mettre en oeuvre le Règlement général sur la protection des données le 25 mai 2018 ;

Considérant que la protection des données de télécommunication est un complément nécessaire à la protection des données personnelles assurée par le Règlement général sur la protection des données ;

Considérant que la confidentialité des données personnelles doit être protégée, y compris en ce qui concerne les nouveaux acteurs de la télécommunication et ce, dans les différentes phases de collecte, de transfert, de traitement, de mise à disposition et de stockage des données ;

Considérant en particulier l'apport du chiffrement dit « de bout en bout » par rapport au chiffrement « de point en point » ;

Considérant qu'il est crucial que l'internaute puisse exprimer, en ce qui concerne les traceurs, un consentement éclairé, libre, spécifique et univoque, tel que défini par le Règlement général sur la protection des données ;

Considérant que la conservation des données sur des terminaux dans la durée doit demeurer une exception circonscrite par un cadre clairement défini et assuré par des mesures proportionnées ;

Considérant qu'il est vain, voire contre-productif, compte tenu des évolutions technologiques actuelles, de contraindre le stockage des données en fonction de considérations nationales ; considérant cependant que la localisation forcée de données peut répondre dans certains cas dûment justifiés à des questions de sécurité ou de difficulté d'accès aux données ;

Considérant que la libre circulation des données non-personnelles en Europe doit s'accompagner d'un principe de collaboration entre les autorités nationales des États membres ;

Considérant qu'il convient de faciliter la possibilité pour l'utilisateur de changer de fournisseur de service en nuage et la portabilité des données personnelles, à l'exclusion des données enrichies par le fournisseur du service ;

Considérant la nécessité de s'assurer de la qualité des produits échangés sur le marché unique du numérique ;

Considérant en particulier que la cybersécurité des produits doit être une priorité et que le degré de certification doit s'adapter à chaque type de produit, mais continuer à s'appuyer sur les standards de certains États membres, dont la France, qui figurent actuellement parmi les plus sécurisés au monde ;

Considérant la nécessité d'encourager tous les États membres à établir une politique publique de cybersécurité ambitieuse ;

Considérant qu'une telle politique ne peut s'appuyer que sur des organes publics ayant les moyens de répondre à des crises répétées mais aussi de diffuser les bonnes pratiques d'hygiène numérique, notamment ;

Considérant qu'une telle politique ne peut être menée actuellement que par les agences nationales, en coordination les unes avec les autres ainsi qu'avec l'ENISA ;

Considérant la nécessité de favoriser l'élaboration, avec les acteurs concernés, d'une doctrine civile d'emploi des technologies de l'information en matière de cybersécurité, dans le respect d'une éthique des entreprises et des principes fondamentaux qui régissent en Europe l'état de droit démocratique ;

Considérant la nécessité d'un système fiscal juste et efficace à l'échelle du marché unique du numérique, condition indispensable à une concurrence loyale entre les entreprises du secteur ;

Considérant le soutien que de nombreux États membres ont apporté à l'initiative française en faveur d'une taxe d'égalisation et l'agenda des travaux mis en place par la Commission européenne à ce sujet le 21 septembre 2017 ;

Considérant, que, selon l'Organisation de coopération et de développement économiques (OCDE), le modèle économique et certains attributs essentiels de l'économie numérique peuvent exacerber les risques d'érosion de la base d'imposition et de transfert des bénéfices ;

Considérant la volonté du Conseil européen de poursuivre la dynamique du chantier européen sur la fiscalité du numérique, en lien avec les travaux pour l'établissement d'une Assiette Commune Consolidée pour l'Impôt sur les Sociétés (ACCIS) ;

1. Salue la poursuite de la stratégie pour un marché unique du numérique par la Commission européenne ;

2. Soutient l'intégration des services de communication par contournement, également appelés « over the top », dans le règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques ;

3. Salue l'interdiction de stocker ou collecter des données sur des terminaux sans le consentement des utilisateurs ;

4. Demande à ce que le consentement de l'utilisateur ne soit pas présumé en amont par le paramétrage automatique du navigateur mais à ce que ce consentement soit recueilli, notamment pour ce qui est des « cookies tiers », après une information claire de l'utilisateur ;

5. Estime que l'adaptation de la législation française au Règlement général sur la protection des données doit viser une harmonisation maximale par le haut avec nos partenaires européens, afin de favoriser un cadre commun de protection des données personnelles ;

6. Estime que les données relatives au trafic et les données de localisation ne peuvent être conservées par les autorités publiques que de manière proportionnée et à des fins expresses de sécurité et de défense nationale ;

7. Souhaite garantir aux internautes leur droit d'exprimer le consentement libre, spécifique, éclairé et univoque au traitement des données ;

8. Encourage le Gouvernement à supprimer tout obstacle potentiellement injustifié à la libre circulation des données non-personnelles au sein de l'Union européenne ;

9. Souhaite qu'en complément de cette libre circulation soient mises en place des règles en matière de sécurité et de sûreté des données numériques, qui garantissent la transparence en ce qui concerne la localisation du stockage et du traitement de ces données ainsi que l'assistance mutuelle des autorités nationales pour faciliter l'accès aux données non personnelles stockées sur le territoire de l'Union européenne ;

10. Encourage la création d'un droit à la portabilité des données non personnelles afin de permettre à tout individu ou entreprise de récupérer les données générées par son utilisation d'un service et les transférer facilement auprès d'autres prestataires ;

11. Considère que toute forme de certification des produits, et notamment des objets connectés, doit se faire de manière adaptée à chaque type de produit mais garantir à chaque fois un niveau ambitieux de protection ;

12. Considère à ce titre que la sécurisation des produits doit être fonction de leur exposition au risque et de leur caractère stratégique, pour obéir à une approche proportionnée qui retiendra, selon le degré d'exigence, la solution la plus adéquate selon les niveaux de qualification ;

13. Regrette dans ces conditions la faiblesse du système de certification prévu dans le « paquet » cybersécurité et demande à ce que les autorités nationales en charge de la cybersécurité demeurent, dans tous les États membres, les premières garantes de la protection des citoyens européens dans ce domaine ;

14. Refuse dès lors que l'accroissement du mandat de l'ENISA, l'Agence européenne de cybersécurité, se fasse au détriment de l'action des agences nationales, ce qui pourrait aboutir à une diminution de la cybersécurité dans l'Union européenne ;

15. Se réjouit de l'initiative française en faveur d'une taxe d'égalisation pour les acteurs du numérique ;

16. Souligne que le secteur du numérique est particulièrement soumis aux stratégies non-coopératives aboutissant à l'érosion des bases fiscales et au transfert des bénéfices au sein de l'Union européenne ;

17. Encourage le Gouvernement à appuyer les travaux de la Commission européenne et de la présidence du Conseil à ce sujet, en lien avec les travaux de l'OCDE, en vue d'un schéma de taxation équitable et d'une harmonisation des assiettes fiscales, tout en visant une harmonisation des taux d'imposition des services numériques ;

18. Souhaite vivement que, dans le cadre de la proposition de directive sur le droit d'auteur dans le marché unique numérique, les plateformes participent à la juste rémunération des créateurs et à une lutte immédiate et efficace contre le piratage et la contrefaçon ;

19. Soutient les réflexions actuelles de la Commission européenne pour une responsabilité accrue des plateformes dans la lutte contre le contenu illicite en ligne. »

La séance est levée à 18 heures 18.

Membres présents ou excusés

Présents. - M. Pieyre-Alexandre Anglade, Mme Sophie Auconie, Mme Aude Bono-Vandorme, M. Éric Bothorel, M. Bernard Deflesselles, M. Benjamin Dirx, Mme Christine Hennion, Mme Marietta Karamanli, M. Jérôme Lambert, Mme Constance Le Grip, Mme Nicole Le Peih, M. Thierry Michels, Mme Danièle Obono, M. Damien Pichereau, M. Jean-Pierre Pont, M. Joaquim Pueyo, M. Raphaël Schellenberger, M. Benoit Simian, Mme Sabine Thillaye.

Excusés. - Mme Fannette Charvier, M. Alexandre Freschi.

Assistait également à la réunion. – M. Bruno Gollnisch, parlementaire européen.