Mes chers collègues, nous recevons M. Daniel Bursaux, directeur général de l'Institut national de l'information géographique et forestière (IGN), accompagné de MM. Sylvain Latarget, directeur général adjoint, et de Claude Pénicand, délégué à la stratégie de l'établissement.
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « Je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, MM Daniel Bursaux, Sylvain Latarget et Claude Penicand prêtent serment.
L'Institut national de l'information géographique et forestière (IGN) entretient des bases de données multithématiques de qualité maitrisée qui décrivent le territoire et les phénomènes qui s'y produisent afin d'appuyer la définition, la mise en oeuvre ou l'évaluation des politiques publiques.
En s'appuyant notamment sur vos données, ainsi que celles de la Poste, une base des adresses géolocalisées est disponible en open data et permet d'asseoir maintenant des systèmes industriels sérieux sur des informations ne venant pas d'une plateforme privée. Il me semble que, de cette manière, vous contribuez à la souveraineté numérique de notre pays.
Comment définissez-vous la souveraineté numérique ? Comment y participez-vous ?
Identifiez-vous des angles faibles dans votre domaine de compétence ou pensez-vous que la politique menée permet à la France de garantir son autonomie et sa souveraineté ?
Je vous remercie de me donner l'occasion d'exposer en quoi l'Institut national de l'information géographique et forestière constitue un outil essentiel d'information géolocalisée au service de la puissance publique afin que celle-ci préserve sa souveraineté, à l'heure de la transformation numérique de la société.
Dans un monde devenu tout numérique, la géolocalisation joue un rôle tout à fait particulier. Le développement des terminaux mobiles de communication et des moyens de positionnement par satellite, tels les smartphones, les GPS et autres objets connectés, permet la production, la circulation et l'échange au quotidien d'un très grand nombre de données géolocalisées. Chacun d'entre nous est d'ailleurs producteur de telles données, parfois à son insu.
La géolocalisation est ainsi devenue très rapidement l'une des clés principales pour le croisement d'une multitude de données souvent hétérogènes et pour le développement d'applications numériques devenues omniprésentes, au niveau tant de la sphère professionnelle que de la sphère privée.
Pour exploiter cette géolocalisation, il est cependant nécessaire de s'appuyer sur des référentiels géographiques fiables et partagés, qui permettent de rapprocher et de mettre en cohérence ces diverses données. Ces référentiels jouent ainsi un rôle essentiel en termes de croisement et d'exploitation des données et constituent un point de passage obligé pour le traitement d'une très grande variété d'informations.
Les grands acteurs de l'internet, au premier rang desquels les GAFA, ont investi très fortement dans la constitution de fonds géographiques en support de leur stratégie de développement. Leur simplicité d'utilisation et leur gratuité relative - les usages non basiques étant payants -en ont fait des produits de consommation courante pour les citoyens.
Néanmoins, la transformation numérique confronte la puissance publique à un défi inédit en matière d'exercice de sa souveraineté, entendue au sens large. Elle doit en effet garder dans ce contexte très évolutif la capacité d'agir de manière indépendante et d'exercer l'autorité dont elle est démocratiquement investie.
Pour cela, il est indispensable que la puissance publique conserve la maîtrise des données qui fondent ses décisions, au même titre qu'elle conserve celle de ses autres infrastructures essentielles, et ce notamment face aux majors de l'internet qui fondent leur puissance sur l'aptitude à concentrer et exploiter une quantité sans cesse croissante de données.
Cette maîtrise conditionne non seulement l'efficience de l'action publique, qui doit pouvoir se fonder sur des données qualifiées, mais aussi la confiance que les citoyens placent en elle. On se souvient encore, en 2014, de la complaisance de Google vis-à-vis des régimes russe et ukrainien lors de la crise de Crimée : selon le pays dans lequel on se connectait, les frontières n'étaient pas tout à fait les mêmes. On peut également citer la question du Tibet vue par les Chinois ou encore celle du Sahara occidental vue par le Maroc.
Cette maîtrise de l'information géographique contribue également à la souveraineté nationale entendue dans son acception économique, en permettant aux entreprises nationales de ne pas dépendre de grandes plateformes étrangères pour développer leur activité.
La donnée géographique présente donc, plus que n'importe quelle autre, un lien étroit avec la souveraineté.
De fait, la puissance publique mobilise quotidiennement des données géographiques et plus largement des données géolocalisées à l'appui de ses décisions et de son action, dans des domaines aussi variés que la défense nationale, la sécurité, la prévention des risques, la préservation de la biodiversité, l'aménagement du territoire, l'agriculture, la forêt, les transports...
En tant qu'opérateur de l'État, l'IGN, établissement public administratif, produit et entretient, comme cela a été dit, des données géographiques de qualité maitrisée qui décrivent le territoire et les phénomènes qui s'y produisent afin d'appuyer la définition, la mise en oeuvre ou l'évaluation des politiques publiques. Organisées sous forme de référentiels interopérables, ces données multithématiques constituent des données d'autorité qui offrent aux décideurs publics des informations au service de la souveraineté nationale.
L'IGN élabore par exemple des modèles numériques de terrain très précis, qui permettent à la Direction générale de la prévention des risques de réaliser des modèles de prévision de crues. De même, lorsque des crues surviennent, l'institut réalise des prises de vue aériennes en urgence et pour l'appui à la prévision des inondations. Ces photographies constituent des preuves opposables pour la délimitation précise de l'étendue des inondations. Elles servent également de « vérité terrain » pour affiner les modèles de prévision, accroître l'efficacité des mesures de prévention et définir les règles d'urbanisme.
L'IGN est aussi chargé de l'entretien du Registre parcellaire graphique, qui sert de référence pour les déclarations des exploitants agricoles. Il permet à l'Agence de services et de paiement (ASP) de connaître les surfaces pour le calcul des aides versées aux agriculteurs dans le cadre de la politique agricole commune (PAC). Depuis 2014, il s'agit d'une activité soutenue, car la Commission européenne avait menacé la France d'une amende substantielle, lui reprochant de ne pas apporter suffisamment de preuves sur le calcul qu'elle opérait pour le versement des aides aux agriculteurs.
L'IGN entretient également un inventaire statistique permanent des ressources forestières permettant notamment de disposer d'une connaissance objective sur la captation du carbone et sur les ressources en bois mobilisables pour différents usages. Cette connaissance contribue également aux réflexions prospectives pour l'adaptation au changement climatique. Cette activité explique notre nouveau nom depuis 2012, même si nous avons conservé l'ancien sigle.
Par ailleurs, l'IGN s'implique actuellement dans la mise au point d'une méthode de description de l'occupation des sols à partir d'imagerie satellitaire et aéroportée et de technologies d'intelligence artificielle, telles que l'apprentissage profond. Cette méthode doit permettre au ministère de la transition écologique et solidaire de mettre en place un dispositif innovant de suivi de l'artificialisation des sols, en application de l'action 7 du plan Biodiversité. Il s'agit d'un exercice extrêmement complexe.
L'IGN travaille en étroite collaboration avec la Délégation à la sécurité routière. Nous avons mis au point un dispositif qui permet aux autorités de contrôle de prouver une infraction en faisant le lien entre le lieu du véhicule et la vitesse autorisée. Nous construisons également une base de données des vitesses limites autorisées en licence ouverte.
Je citerai encore la base de données hydrographique, dite BD Topage, développée en collaboration avec l'Agence française pour la biodiversité, pour les besoins de la police de l'eau. Ce référentiel hydrographique, en licence ouverte, mettra à la disposition de l'ensemble des acteurs de l'eau une base de données exhaustive, collaborative et interopérable, d'ici à la fin de 2019.
Par ailleurs, les capacités de recherche, de formation, d'ingénierie, d'innovation et de production dont dispose l'IGN lui confèrent un savoir-faire unique en France en matière de maîtrise de l'ensemble des techniques de l'information géographique ainsi que d'une expérience inégalée en termes de précision des données produites. L'expertise de l'institut est reconnue internationalement.
À titre d'illustration, l'IGN est un acteur clé à l'échelle mondiale dans le domaine de la géodésie, la science qui étudie la forme et les dimensions de la Terre. Dans ce cadre, l'institut est chargé de la détermination du système national de coordonnées de haute qualité, indispensable pour pouvoir déterminer des coordonnées géolocalisées d'un point, sous la forme de repères de nivellement. Ces points précis au centimètre près sont utilisés par un grand nombre de professionnels : géomètres, aménageurs, urbanistes, ingénieurs, hydrologues, forestiers... La sécurité publique dépend souvent de la fiabilité de ces informations. Dans ce contexte, les mouvements de certaines zones sensibles sont particulièrement observés, comme l'affaissement des anciens bassins miniers ou les conséquences de l'activité sismique sous-marine à Mayotte.
L'institut a aussi contribué activement à la détermination du système mondial de coordonnées, dit GGRF (Global Geodetic Reference Frame). Il participe également à l'infrastructure de stations de suivi au sol des satellites de positionnement pour Galileo.
D'ailleurs, l'expertise internationale de l'IGN dans ce domaine a trouvé une reconnaissance concrète dans l'élection d'un directeur de recherche à l'IGN en tant que président de l'Association internationale de géodésie.
Face à un nouveau champ de contraintes - l'enjeu croissant que représente la préservation de la maîtrise des données géographiques qui fondent la décision publique, d'une part, le choix gouvernemental d'étendre largement le champ de la mise à disposition gratuite des données publiques, d'autre part -, l'IGN n'est toutefois pas en mesure d'assumer seul l'effort de production et d'entretien de toutes les données utiles, voire essentielles. Il est dès lors nécessaire de mobiliser toutes les énergies, en particulier celles des autres acteurs qui produisent des données géographiques. Les collectivités, les autres établissements publics, mais aussi de simples citoyens peuvent contribuer, au travers de leur usage ou de façon volontaire, à consolider les données.
L'IGN est donc appelé à mettre à profit son expertise pour optimiser le recours aux différentes capacités d'acquisition, gérer l'agrégation et l'intégration des diverses contributions ainsi que leur standardisation, et assurer un certain niveau de maîtrise de la qualité.
L'IGN a déjà exercé ce rôle de coordinateur technique et de tiers de confiance pour répondre aux besoins de certains ministères, notamment du ministère des armées. Celui-ci s'appuie depuis plusieurs années sur l'institut pour gérer l'approvisionnement de données géographiques de précision, nécessaires au bon fonctionnement des systèmes d'aide au commandement et des systèmes d'armes. Dans ce cadre, l'IGN est chargé d'organiser le recours aux capacités de l'industrie afin de couvrir les vastes zones d'intérêt pour les forces armées en territoire extérieur, de qualifier les données produites par des grands opérateurs - Airbus, Thalès -, ainsi que de produire lui-même les données « socle » sur lesquelles s'appuient les productions industrielles.
Ce rôle de tiers de confiance ne concerne d'ailleurs pas uniquement les domaines régaliens où la maitrise de l'État doit être forte. À mon sens, il est essentiel, pour la puissance publique, de disposer d'une capacité d'expertise indépendante lorsqu'elle confie des travaux complexes à un industriel.
Par exemple, dans le cadre de la stratégie nationale pour le développement des véhicules autonomes, le ministère chargé des transports a mandaté l'IGN pour contribuer à l'élaboration d'un standard pour une cartographie haute définition et dynamique utile aux véhicules autonomes, pour réfléchir à la gouvernance globale des données géolocalisées utilisées par ces véhicules et pour définir les moyens dont l'État devrait se doter pour exercer à terme son rôle de police et de régulation.
C'est pourquoi l'institut s'est engagé dans une transformation profonde de sa mission historique, de son organisation, de son modèle économique et de ses méthodes de travail pour renforcer l'appui direct aux politiques publiques.
Cette feuille de route vise à rééquilibrer l'activité de l'IGN. De diffuseur de données, il a vocation à devenir l'architecte référent de l'ensemble des données géographiques nécessaires à l'exercice des politiques publiques. L'IGN se repositionne ainsi au coeur d'un écosystème de partenaires, afin de garantir la disponibilité et la qualité des données importantes pour l'action publique.
Outre ce rôle de garant de la disponibilité des données géographiques souveraines, l'IGN renforce ses activités de formation et de recherche, sa maîtrise des nouvelles technologies ainsi que sa capacité d'innovation. L'objectif est de maintenir notre expertise et notre savoir-faire de pointe, notamment grâce à notre école nationale des sciences géographiques (ENSG) et à ses unités mixtes de recherche. Soixante ingénieurs sont formés par an : tous trouvent un emploi à la sortie de l'école ; une bonne demi-douzaine d'entre eux entre à l'IGN, les autres intégrant le service public ou privé. L'IGN est partie prenante du futur pôle universitaire Gustave Eiffel à Champs-sur-Marne, qui constitue une opportunité d'associer le monde académique, les acteurs publics et les entreprises pour devenir le laboratoire des villes et des transports du futur. Les différents organismes fondateurs qui regroupent leurs capacités pour constituer cette université d'un nouveau mode finalisent actuellement les statuts en vue d'une mise en place effective au 1er janvier 2020.
Il s'agit pour l'IGN à la fois d'entretenir sa propre expertise au meilleur niveau et de jouer un rôle dans la montée en compétence collective des administrations et de la société civile. Cela permettra à la puissance publique de tirer le meilleur profit des données géographiques et de mener les actions qui sont essentielles à la préservation de sa souveraineté. Cela aidera aussi les entreprises nationales à se positionner face à la concurrence internationale.
En réponse à une mission confiée par le Premier ministre sur les données géographiques souveraines, Mme la députée Valéria Faure-Muntian a formulé au mois de juillet 2018 un certain nombre de recommandations qui confortent le nouveau positionnement de l'IGN et réaffirment la nécessité pour l'État de disposer d'un tel opérateur.
L'IGN est bien un outil qui garantit la possibilité pour la puissance publique de prendre un certain nombre de dispositions en vue de préserver son indépendance et sa souveraineté informationnelle dans le domaine des données géographiques. Il est donc plus que nécessaire de maintenir et de développer au sein de l'IGN des compétences clefs pour dominer les nouvelles technologies et une force d'action suffisante. Le ministère des armées a fait le choix de maintenir des compétences indispensables à la conception et à l'entretien de ses capacités militaires, afin de préserver son indépendance d'action. Nous sommes confrontés à des problématiques similaires.
À l'heure où une forte compétition s'exerce entre les entreprises pour recruter les meilleures compétences dans le domaine du numérique, le fait d'avoir un statut d'établissement public et d'être tenu par un recrutement de fonctionnaires peut parfois poser problème : il n'est qu'à voir les salaires proposés à des spécialistes dans le secteur privé.
Dans le contexte de contraintes qui s'imposent à nous en matière de finances publiques, d'effectifs et d'élargissement de l'open data, l'IGN doit relever le défi de maintenir un centre national d'expertise en appui des politiques publiques. C'est tout l'enjeu des prochaines années et le défi du projet d'établissement que j'essaye de conduire avec mes équipes et l'appui des ministères de tutelle.
Monsieur Bursaux, je vous ai connu dans plusieurs autres vies, notamment à l'Agence de financement des infrastructures de transport de France (l'AFITF).
L'open data n'est-elle pas pour vous une source d'inquiétude, voire de frustration ? Il vous faut en effet obligatoirement partager ces données avec d'autres acteurs nationaux et internationaux, qui, compte tenu de leur puissance financière, technologique et commerciale, exploitent la valeur ajoutée de votre patrimoine propre, ce trésor que vous détenez et dont vous devriez être les seuls à tirer les bénéfices pour les usagers publics comme privés. Comment vivez-vous cette situation ? Le législateur ne devrait-il pas réexaminer les règles du jeu ?
Nous nous heurtons à la question du recrutement chaque fois que le secteur public - secteur de souveraineté par définition - est confronté au marché de l'emploi, qui est souvent international, notamment dans le domaine de la recherche. Le civisme et la passion du service public et de l'action collective sont-ils un ressort suffisant et durable pour les jeunes chercheurs ?
Vous avez souligné la fragilisation de la récolte des données, puisque l'IGN doit désormais travailler avec d'autres acteurs pour collecter les données, par exemple les collectivités territoriales et les citoyens. Comment organisez-vous la protection de l'ensemble et l'agrégation des données au regard de la multiplicité des sources ?
Vous avez évoqué votre activité dans le domaine de l'agriculture et de la PAC. Ces données ont une importance que l'on pourrait qualifier de souveraine pour notre pays. Comment sont-elles stockées et protégées ? Sont-elles diffusées dans le monde entier ? Comment faites-vous pour que notre pays en conserve la maîtrise ?
Cela m'amène à prolonger ma question : que vous inspirent certains partenariats avec les Gafam d'autres ministères en charge de missions de service public ? Trouvez-vous cela acceptable ?
La tendance à l'open data n'est pas nouvelle. Elle a été initiée par le précédent Gouvernement et reprise par l'actuel. La consigne que j'ai reçue est de mettre en open data l'ensemble des données produites par l'IGN seul d'ici au 1er janvier 2022, avec une licence de réutilisation totalement gratuite. Or la vente de données brutes générait des recettes d'une dizaine de millions d'euros - plutôt cinq millions d'euros ces dernières années. Il y a donc un problème de modèle économique. Comme dirigeant de l'établissement, je suis là pour appliquer les consignes - et il est assez logique de mettre en open data les données que nous produisons. Du coup, nous nous orientons vers la production de données extrêmement spécifiques pour les ministères. Cela modifie notre modèle économique : on ne produit plus de la donnée pour la vendre mais on construit des partenariats avec les ministères et les établissements publics, qui nous permettent d'obtenir des ressources pour pouvoir produire ces données très spécifiques. En matière agricole, par exemple, les données du référentiel parcellaire sont en open data. Chacun peut consulter les îlots agricoles du pays, que nous avons redéfinis et repositionnés. Les grands opérateurs que vous avez cités nous achetaient nos données, ce qui constituait une partie de nos recettes. Il y a donc un vrai sujet, politique. Bien sûr, dès lors qu'ils seront taxés, la question sera différente.
Je ne porte pas de jugement sur les décisions du Gouvernement. Nous mettrons à disposition gratuitement nos données génériques. Quand nous travaillons pour la direction de la sécurité routière ou pour le ministère de l'agriculture, ou encore quand nous travaillons sur la base de données pour les cours d'eau de l'Agence française pour la biodiversité (AFB), il y a une compensation au fait que nos données soient mises à disposition gratuitement. Ce sont les intérêts des ministères qui commandent au degré de publicité qu'ils veulent donner.
En somme, vous retrouvez les recettes que vous avez perdues par l'intermédiaire des partenariats ou des contrats passés avec les ministères.
Oui, en travaillant sur des commandes ministérielles pour des données extrêmement spécifiques, que les ministères sont prêts à payer. Les données que nous produisons pour le ministère des Armées ne sont pas en open data, et font l'objet d'un contrat d'environ 30 millions d'euros par an, dont la moitié nous revient. Nous continuerons à produire des données gratuites, bien sûr, puisque nous touchons une subvention de service public. Mais notre modèle économique évolue vers des données fabriquées à façon.
Peut-on aller à jusqu'à penser que ce nouveau modèle économique coûtera plus cher au contribuable ?
C'est équivalent. Mais nos données serviront davantage en appui direct aux politiques publiques. Notre production s'oriente vers une plus grande satisfaction des besoins des ministères, des collectivités ou des établissements publics. Jusqu'à présent, elle était plutôt définie par l'IGN elle-même... Les ministères nous disent ce dont ils ont besoin, nous fournissent un cahier des charges, et nous répondons à cette commande.
Il ne faut pas s'en tenir au périmètre strict de l'établissement. Si nous définissons avec un ministère ou un établissement public un jeu de données dont il a besoin, cela peut coûter un peu plus cher sur le périmètre de l'établissement, mais celui-ci va faire des économies dans son fonctionnement. Investir dans les données numériques, souveraines ou non, est souvent bénéfique. Globalement, cela ne va donc pas coûter plus cher.
Cette politique publique de la donnée géographique, nous ne sommes pas encore en mesure de l'évaluer. Pourtant, toute politique publique devrait faire l'objet d'une évaluation.
Nous avons un marché avec le ministère des Armées, et je peux vous dire qu'ils regardent de près la qualité de l'exécution ! Pour l'agriculture, il y avait en 2014 la menace d'une amende de la Commission européenne de plus d'un milliard d'euros. Notre travail pour justifier le versement des aides a permis à la France d'économiser une bonne partie de cette somme. Avec le ministère de la transition écologique, nous travaillons sur la prévention des risques, nous faisons des levées pour délimiter les cours d'eau et faire des schémas de prévisions de crue. Cela permet au ministère d'affiner ses modèles.
Je suppose que vous êtes aussi prestataire de service pour le ministère de l'environnement.
Oui, et pour celui des transports.
Nous avons deux modes privilégiés d'acquisition des données de base. D'abord, le mode aéroporté. L'IGN dispose de quatre avions, qui couvrent à peu près l'ensemble du territoire tous les trois ans, et prennent des orthophotos, qui sont des images à haute résolution : environ 20 à 25 centimètres, et jusqu'à 5 centimètres s'il y a une commande précise, qui nous permette de le financer.
Je me rappelle en effet que, quand j'étais étudiant, vous aviez des avions Hurel-Dubois à ailes longues, qui survolaient la France pour photographier le nombre de vaches dans les champs, après les rationnements de la guerre. À présent, ce sont des Beechcraft.
Ces photos nous permettent de faire directement le travail pour la politique agricole.
Ilot par îlot. C'est notre moyen d'acquisition historique, qui permet de tomber à des niveaux de précision très forts. Nous utilisons aussi l'image satellitaire.
Oui. Nous utilisons notamment l'image satellitaire pour nos travaux à l'étranger, pour le ministère des Armées. Nous ne sommes d'ailleurs pas directement clients, puisque c'est le ministère qui nous fournit des images à partir desquelles nous travaillons.
Quand vos avions volent, à partir de quel moment la donnée est-elle ouverte ?
Nos orthophotos ont vocation à être ouvertes d'ici 2022. Plus de la moitié le sont déjà.
Pour l'instant, les avions sont le seul outil disponible pour le niveau de résolution dont nous avons besoin.
Ils sont utiles pour photographier des ouvrages linéaires, ou localisés. Mais pour travailler dans un système complètement référencé, c'est plus compliqué. Le satellite a une moins grande résolution : il vole plus haut et les caméras ne sont pas aussi précises - sans parler des nuages. Pour autant, je n'exclus pas que, dans quelques années, avec le progrès des optiques et des satellites, l'image satellitaire finisse par nous permettre de mener quasiment les mêmes travaux. D'ailleurs, il nous est demandé de réfléchir à l'usage de l'image satellitaire pour recaler la politique agricole.
En matière agricole, travaillez-vous avec l'Institut national de la recherche agronomique (INRA) ?
Sur le référentiel, nous travaillons directement avec le ministère de l'Agriculture. Nous travaillons avec l'INRA sur les forêts.
Le processus engagé va-t-il simplifier les démarches PAC de déclaration, de suivi et de contrôle ?
Oui, c'est le but. Nos travaux sont envoyés par l'ASP aux agriculteurs, qui peuvent les corriger. Le travail est donc déjà préparé et simplifié et les contrôles pourront sans doute être plus ciblés à l'avenir.
Vous n'avez pas répondu à ma question sur la maîtrise du stockage des données.
Sur la question de l'open data, plusieurs textes ont été pris, puis consolidés, qui amènent à présent le Gouvernement à décider de l'ouverture complète de nos données en 2022. Un certain nombre de jeux de données de référence ont été définis, qui ont vocation à être diffusées largement. Le référentiel parcellaire graphique en fait partie, tout comme un certain nombre de jeux de données que nous produisons, comme le référentiel à grande échelle, qui comprend les informations topographiques, altimétriques, ortho-photographiques, et les adresses. Il en va de même du plan cadastral informatisé tenu par la Direction générale des finances publiques (DGFIP). Ces données sont diffusées sur data.gouv.fr. Actuellement, nos données sont sous licence, et nous avons un système d'enregistrement et de diffusion. On peut acheter les données ou, si l'on bénéficie de la gratuité - c'est le cas de l'ensemble de de la sphère publique - se déclarer et obtenir un lien de téléchargement.
Nos données sont hébergées sur des serveurs et archivées. Nous rendons disponibles les données topographiques en J+1, c'est-à-dire dans l'état dans lequel la base était la veille. Elles sont archivées tous les trimestres et elles sont stockées en double, pour les reconstituer en cas de problèmes informatiques ou d'attaques malveillantes. L'ensemble est accessible par Internet, à travers l'écosystème du Géoportail, et peut être soit consulté, donc affiché à l'écran, ce qui est toujours possible quand les données ne sont pas confidentielles, soit utilisé en flux, en récupérant l'information dont on a besoin pour l'utiliser dans un système client, soit enfin téléchargé pour installation sur un site distant. Notre meilleure sécurité est que nos données sont recopiées en plusieurs endroits. Elles sont chez quasiment tous les clients qui les ont téléchargées, notamment.
Nous sommes également en lien permanent avec l'Agence nationale de sécurité des systèmes d'information (ANSSI).
Nous n'utilisons pas les data center des Gafam : nous sommes sur un cloud d'État, depuis le 1er janvier dernier. Il s'agit d'un site opéré par le ministère de l'Agriculture, qui s'appelle « Oshimae » (Offre de Service d'Hébergement Interministériel Agriculture Écologie). Auparavant, nous utilisions un hébergement privé.
Le ministère de l'Agriculture, qui souhaitait développer ce site, nous y a vivement encouragés, tout comme la DINSIC (direction interministérielle du numérique et du système d'information et de communication de l'État). Pour nous, cela présente l'avantage de nous dispenser d'avoir à relancer un appel d'offre tous les six ans. Et être installé sur le réseau interministériel nous rend plus facilement accessibles aux ministères. Pour autant, il n'est pas évident pour le public internet de passer par le site du ministère. Et cela peut créer une surcharge.
En 2018, par l'infrastructure Géoportail, nous avons diffusé un peu plus de 1000 téraoctets de données... Nous sommes le site gouvernemental qui consomme le plus de bande passante.
C'est un EPA, ce qui nous oblige à recruter des fonctionnaires titulaires : nous ne pouvons avoir recours à des contractuels que si nous prouvons qu'il n'y a pas de fonctionnaire compétent pour les fonctions en jeu. Dans les domaines hyperspécialisés, nous avons des difficultés de recrutement : nous ne pouvons pas offrir à des informaticiens les mêmes salaires qu'Airbus... Or nous avons besoin de personnes très compétentes en matière d'intelligence artificielle et de deep learning.
Si, et nous avons une collaboration avec le Centre d'études et d'expertise sur les risques, l'environnement, la mobilité et l'aménagement (Cerema). Le maintien de la capacité technique est un vrai sujet pour nous.
Avez-vous des exemples d'applications privées issues d'une utilisation judicieuse de vos données ? Les cartes Michelin, peut-être ?
Michelin a ses propres systèmes de collecte et de cartographie. L'IGN n'est plus seulement le producteur de cartes routières et de randonnée - même si c'est toujours une activité significative, notamment pour les cartes de randonnée, dont nous avons la quasi-exclusivité et dont le marché se maintient bien. Nous avons complètement abandonné la production de cartes urbaines, et la production de cartes routières est également en chute libre.
Nous avons créé il y a quelques années une sorte d'incubateur d'entreprises, hébergeant sur appel à projets des TPE nous ayant présenté des idées qui nous paraissaient intéressantes. L'une d'entre elles s'occupe de cartographie solaire : elle indique l`intérêt à installer du chauffage solaire sur telle ou telle toiture. Elle a pris son autonomie et fait de la cartographie solaire à Nantes et Saint-Mandé. Elle s'appelle In Sun We Trust.
Cette entreprise s'est placée sur le créneau de l'installation des panneaux solaires en se positionnant sur un critère de confiance, les usagers privés n'ayant pas toujours obtenu les rendements escomptés. Elle ne propose pas d'installation en propre, mais est en lien avec des installateurs. Elle indique à quel coût l'investissement en panneaux solaires sera rentable ou non. Elle mobilise pour cela des données de précision, que l'IGN lui apporte. Comme notre nom figure sur les simulations, cela inspire confiance au consommateur.
Dans le domaine forestier, une application identifie dans nos données les endroits où la prospection forestière serait la plus intéressante, et propose aux particuliers de mettre à disposition leurs forêts, en se chargeant de trouver un exploitant pour valoriser leurs ressources forestières.
Une société, enfin, travaille sur les risques d'inondations, notamment pour le ministère. Nous avons travaillé avec elle sur les modèles de prévision à partir de modèles numériques de terrain.
Galiléo ne fait pas d'images, il émet des signaux pour faire des calculs de position. Nous avions été associés à sa conception, et participons aujourd'hui au calcul des orbites précises des satellites, ce qui permet, en en temps légèrement différé, des mesures extrêmement fines. Une précision d'un mètre est facile à obtenir pour un GPS. Mais pour un positionnement plus précis, il faut un calcul en temps différé intégrant l'orbite exacte du positionnement du satellite - que nous fournissons gracieusement. Le véhicule autonome, notamment, aura besoin de mieux qu'un mètre de précision pour se positionner. Nous travaillons à un système de PPP (positionnement ponctuel précis) qui permettra, à partir de la position instantanée - à quelques décimètres près - et de la connaissance - quelques minutes voire quelques secondes avant - du positionnement précis, d'interpoler la position où devrait être à peu près le satellite pour obtenir une précision d'une dizaine de centimètres - afin que deux véhicules n'entrent pas en collision !
Nous intervenons comme experts techniques sur les modèles mathématiques, sur les systèmes de référence, sur les processus de calcul et sur le positionnement des points, y compris pour les géomètres. Le réseau ancien de bornes a été complètement dématérialisé et remplacé par des stations qui sont pour certaines opérées par nous mais, pour la grande majorité, sont opérées par des tiers, intégrés dans un réseau global national, ce qui nous permet d'offrir des prestations de qualité et entièrement gratuites.
L'intégration de données non produites par l'IGN est un vrai changement de pratique, qui est en cours. Nous avons des tiers de confiance : quand une grande métropole ou une région produit des données, nous n'avons pas de raison de penser qu'elles sont de moins bonne qualité que celle de l'IGN. La question est dès lors de voir comment intégrer ces données dans nos bases, et comment vérifier qu'elles correspondent à nos spécifications. Pour les adresses, par exemple, nous avons mis en place un guichet sur lequel les mairies peuvent procéder directement à des mises à jour : nous n'avons pas de raison de penser qu'elles le font moins bien qu'un agent de l'IGN. La mutualisation, avec des tiers de confiance, évite que la saisie des données soit faite deux ou trois fois. Nous réfléchissons aussi à intégrer des citoyens dans le processus.
Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de Madame Marie-Laure Denis, présidente de la Commission Nationale de l'Informatique et des Libertés (CNIL). Elle est accompagnée par Messieurs Gwendal Le Grand, secrétaire général adjoint, et Mathias Moulin, Directeur de la Direction de la protection des droits et des sanctions.
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, Mme Marie-Laure Denis, M. Gwendal Le Grand, et M. Mathias Moulin prêtent successivement serment.
Mes chers collègues, à titre liminaire je souhaite vous rappeler que la CNIL est une autorité administrative indépendante dotée de pouvoirs d'enquête et de sanction. À ce titre, nous aurons bien sûr plusieurs questions importantes à poser à Madame Denis et à ses collaborateurs. Néanmoins, il va de soi qu'aucune de nos questions ne devra les amener à révéler les cibles précises de futures enquêtes de la CNIL ou à fragiliser des enquêtes en cours en révélant des éléments qui porteraient atteinte à l'équité et à l'intégrité de ces procédures.
Madame Denis, vous avez été nommée il y a six mois présidente de la CNIL. Cette autorité administrative indépendante bien connue est en charge, depuis 1978, de la protection des données à caractère personnel. Son champ de compétences est devenu particulièrement vaste en 40 ans, tant les traitements automatisés de données sont courants aujourd'hui. De véritables géants du numérique ont émergé ; par ailleurs, les GAFAM, les plateformes et les usages se sont complexifiés algorithmes, du profilage, du big data, de l'intelligence artificielle, etc.
Le cadre juridique dans lequel le régulateur exerce ses missions a lui aussi profondément évolué avec, en dernier lieu, l'entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD).
Pourriez-vous commencer par nous présenter le cadre général de votre action, vos moyens et les défis que pose cette régulation. Le RGPD a justement été pensé dès l'origine comme un outil de régulation à la hauteur des enjeux de souveraineté numérique, quel bilan dressez-vous de sa première année d'application ?
Nous sommes reconnaissants au Sénat d'associer la CNIL à ses travaux sur ce sujet éminemment important. Le foisonnement des innovations a envahi l'ensemble des espaces de la vie quotidienne et publique, mais aussi de la vie privée. Les systèmes d'échanges instantanés bousculent les frontières de ces différents domaines en raison de la vitesse à laquelle circulent les informations.
Dans ce contexte, la souveraineté doit être repensée pour deux raisons.
Tout d'abord, la capacité des États à faire appliquer leurs règles est remise en cause, celles-ci étant plus difficile à ancrer que dans des territoires physiques ; le monde numérique dessine ainsi un vaste territoire au sein duquel les données constituent un élément essentiel par leur collecte, leur croisement, leur enrichissement, leur transfert et leur valorisation. Si certains comparent souvent les données au pétrole de l'économie numérique, je préfère pour ma part utiliser l'image du terreau, plus représentative de leur rôle.
Ensuite, le monde numérique fait interagir plusieurs acteurs qui se comportent différemment des modèles classiques. En nous offrant diverses solutions technologiques, ils ont acquis une puissance inédite sur le plan économique. Cette situation pourrait nous conduire à subir des choix d'organisation sociale, imposés par ces acteurs à notre insu et en dehors de tout cadre démocratique.
L'État, dans toutes ces facettes - expert, stratège, législateur - se trouve donc confronté à plusieurs défis majeurs. L'intervention de la puissance publique doit être repensée autour de leviers forts. Bien que les autorités nationales et européennes disposent de pouvoirs étendus dans le secteur du droit de la concurrence, d'autres cadres doivent être posés dans les domaines de la fiscalité, du droit d'auteur et de la régulation des contenus. Pour ma part, j'aimerais qu'un aspect soit davantage exploré par le législateur, celui de la démultiplication de l'exposition de soi.
Vous m'avez interrogée au sujet du bilan de la CNIL à la suite de l'entrée en vigueur du RGPD. Nous constatons que l'ensemble des publics et des secteurs économiques est concerné par la tendance à vouloir s'approprier ses droits. Ainsi, nous avons relevé plus de huit millions de visiteurs sur notre site internet. Près de 17 000 requêtes électroniques ont été reçues. Notre rubrique questions - réponses a été consultée presque 300 000 fois. Nous avons reçu 200 000 appels téléphoniques.
L'ampleur de ces chiffres démontre à quel point les citoyens recherchent l'information au sujet de leurs droits. Cette tendance va de pair avec la volonté de mieux défendre ses droits en maîtrisant l'utilisation de ses données personnelles. Le nombre de plaintes entre le 25 mai 2018, date de l'entrée en vigueur du RGPD, et le 25 mai 2019, s'élève à 12 500, ce qui dénote une hausse de 42 % par rapport à l'année précédente. Un tiers d'entre elles concerne la diffusion des données personnelles sur internet. Notre bilan au sujet des données personnelles est un enjeu de la souveraineté numérique. La CNIL se doit donc d'être en capacité de répondre aux attentes des citoyens.
Nous partageons généralement bien volontiers nos données privées sur les réseaux sociaux ou les blogs. Or, énormément de personnes s'émeuvent de ce que leurs données soient mises en ligne à leur insu. À l'heure actuelle, les données personnelles dont certaines touchent aux aspects les plus intimes de l'individu, circulent dans des proportions inédites. Le numérique a changé les usages, les pratiques, mais aussi les risques et les enjeux présents dans l'ensemble de la société.
Pour conserver notre souveraineté numérique, nous devons garder comme objectif la préservation de notre autonomie décisionnelle sur le traitement de nos données personnelles, c'est un principe cardinal du RGPD. Outre cet aspect individuel, la protection des données a évidemment une dimension collective : il s'agit de protéger notre contrat social et de défendre notre modèle humaniste et notre conception des droits et libertés.
Le RGPD a instauré un cadre juridique ambitieux et puissant. Il a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent en tant que tel. Il repose sur un cadre juridique novateur qui prévoit, grande nouveauté, une application extraterritoriale même à l'égard des entreprises qui ne disposent pas d'un établissement en Europe dès lors que ce sont les données personnelles d'un Européen qui sont ciblées. L'ensemble du système utilise la notion de risque : les responsabilités varient en fonction du risque représenté par le traitement - volume, sensibilité des données - et les grands acteurs sont donc appelés à être soumis à des obligations particulières.
Le montant des sanctions pécuniaires change d'échelle avec le RGPD : une condamnation peut aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. De plus, elle peut être rendue publique, comme l'a fait la CNIL en janvier dernier contre Google, pour un montant de 50 millions d'euros. Les plaintes engagées en vertu du RGPD peuvent désormais être collectives et c'est sur cette base que la société civile a engagé quelques actions à l'encontre des GAFA.
Un droit nouveau à la portabilité des données est consacré par le RGPD il doit permettre aux petits acteurs économiques de défier plus facilement les grands, en attirant les clients qui peuvent ainsi leur apporter leurs données, diminuant ainsi le pouvoir de captation des grandes plateformes. À l'occasion hier, d'un colloque organisé à Bruxelles sur la régulation numérique auquel participait le président de l'autorité de la concurrence allemande, j'ai été frappée de constater que le droit à la portabilité des données était évoqué comme un levier d'action essentiel.
En outre, le RGPD a introduit un nouveau modèle de gouvernance de la régulation, jusqu'alors inédit au niveau européen : intégré et décentralisé Ainsi, si un traitement de données concerne des individus dans plusieurs États membres, chaque autorité doit agir de concert avec les autres - c'est un mécanisme de guichet unique - pour adopter une décision applicable dans l'ensemble de l'Union européenne. Pour permettre cette coopération, un nouvel organe européen de régulation a notamment été créé, le Comité Européen de Protection des Données (CEPD).
Par ses lignes directrices, le CEPD garantit la cohérence et assure la pédagogie des principes du droit européen de la protection des données. Le CEPD adopte des décisions structurantes visant à répartir les rôles entre les différentes autorités : il distribue ainsi les rôles dans l'instruction des plaintes de dimension transnationale, et c'est lui qui peut être amené à déterminer quelle autorité sera la chef de file pour une action donnée. Le système mis en place repose donc sur les deux principes essentiels que sont la coopération et la cohérence, permettant de combattre toute volonté d'évitement ou de « forum shopping ».
Bien que le RGPD soit rentré en vigueur il y a plus d'un an, il reste très présent dans les agendas politiques et médiatiques. Au sein de l'Union européenne et au-delà, cette tendance est assez inédite. Le RGPD a su rayonner au niveau mondial en proposant une approche nouvelle. D'autres standards sont à l'oeuvre au niveau mondial, ne l'oublions pas, et une véritable diplomatie de la protection des données mérite d'être engagée pour défendre ces valeurs. Certains États ont mis à jour leurs législations pour se rapprocher de nos standards, comme le Japon, la Corée du Sud, le Bénin, l'Australie. On peut également citer les processus en cours en Tunisie, en Suisse ou le Burkina Faso. D'autres ont adopté, pour la première fois, un cadre comparable au RGPD comme la Californie - dont la loi doit entrer en vigueur en janvier prochain et nourrit même des réflexions pour un texte de portée fédérale ou le Brésil, qui a adopté une telle loi en 2019. Les outils de transfert prévu par le RGPD - et en particulier les décisions d'adéquation par lesquelles la Commission peut les autoriser vers des pays tiers - ont contribué à une élévation internationale générale des standards de protection de la vie privée.
J'insiste : l'Europe ne s'est pas enfermée dans une forteresse avec le RGPD, cadre juridique ouvert qui continue bien sûr à permettre la libre circulation des données. J'ai d'ailleurs été frappée de voir que le G20 organisé à Osaka consacrait un paragraphe entier à la protection des données et au principe du « data free flow with trust », la libre circulation dans la confiance.
Il est important de défendre nos outils de régulation et nos standards en parallèle aux négociations commerciales internationales - ; la protection des données ne saurait être intégrée au sein des accords commerciaux conclus par l'Union européenne, un consensus existe sur ce point.
L'application effective du nouveau cadre européen de protection des données permettra également de renforcer notre résilience et notre cybersécurité en Europe, et donc d'affronter les dérives liées aux stratégies de désinformation - qui reposent sur l'exploitation des données et le ciblage des individus - ainsi qu'aux menaces portées contre l'intégrité de nos processus électoraux. Dans ce contexte, le RGPD n'apporte qu'une partie des réponses. Toutefois, c'est du succès de son application que dépendra la réussite de ces enjeux.
Il est également question de souveraineté numérique avec l'accès transfrontalier aux données dans le cadre d'enquête de police ou de procédures judiciaires. Nous discutons ainsi en ce moment avec nos homologues de l'impact du Cloud Act. Cette loi américaine adoptée récemment permet aux autorités américaines un accès direct, en dehors des accords de coopération judiciaire, aux données stockées en dehors des États-Unis, et donc y compris en Europe. La commission européenne a présenté une proposition de règlement en matière d'accès aux preuves électroniques actuellement en discussion. Nous devons certes être en mesure d'apporter des réponses concrètes à des problématiques juridiques pour garantir une certaine efficacité aux enquêtes, mais pas au détriment de la protection de la vie privée des individus.
Pour conclure, je tiens à rappeler que la CNIL a vocation à contribuer à une stratégie globale visant à assurer la souveraineté numérique tant au plan national qu'européen. Tout en restant dans le cadre de ses prérogatives réglementaires, elle se tient à la disposition des pouvoirs publics et des citoyens pour atteindre cet objectif. Pour autant, je ne peux que constater à quel point les ressources dont dispose la CNIL sont inadaptées au regard de l'ampleur des enjeux qui se dressent face à elle.
Je vous remercie, et je tiens tout d'abord à saluer l'ensemble de votre équipe et à souligner la qualité du travail accompli au sein de la CNIL. Cette autorité administrative a su s'imposer au fil des années comme un acteur essentiel.
Vous avez évoqué un manque de ressources. Quelles sont vos attentes en la matière ?
La CNIL rassemble 200 agents. Nous serons 215 en fin d'année, ce qui démontre que les pouvoirs publics sont conscients de la nécessité de renforcer les moyens humains. Pour autant, nous sommes largement en deçà des ressources dont disposent nos homologues européens. Eu égard au nombre d'habitants, nous avons le troisième plus mauvais ratio citoyens/agents de l'Union européenne.
La Grande-Bretagne, qui a une population et un périmètre de régulation comparables, disposera de 900 agents en 2020. Alors que nous avons 20 contrôleurs, la Grande-Bretagne en a 160. Les Britanniques disposent ainsi d'une force de frappe bien plus importante que la nôtre lorsqu'elle est confrontée à une affaire complexe.
De notre côté, nos faibles moyens ne nous permettent pas d'assurer de manière satisfaisante les nouvelles missions confiées par le RGPD. Par exemple, alors même qu'il s'agit d'un enjeu important de cybersécurité, nous recevons sept notifications de failles ou de violations de données par jour - sans pour autant disposer de moyens supplémentaires pour prendre en charge cette nouvelle compétence.
Nous avons démontré notre volonté constante d'accompagner les pouvoirs publics. À ce titre, nous avons rendu 120 avis l'an dernier sur des projets de lois ou décrets et nous avons été auditionnés 30 fois au Parlement. L'accompagnement des entreprises suppose des conseils et des approches spécifiques. Notre présence au niveau européen est essentielle pour porter les valeurs et les points de vue défendus par la France au sein des organes de coopération ou de négociation... Toutes ces missions impliquent de disposer de moyens.
L'Allemagne dispose de 700 agents, 250 pour l'autorité fédérale, pour une population de 82 millions d'habitants ; En Pologne, c'est 250 agents pour 37 millions d'habitants soit près de 20 % de plus que la CNIL ! Aux Pays-Bas, 138 agents pour 17 millions d'habitants...
Selon moi, le problème n'est pas le budget, mais bien l'effectif dont dispose la CNIL pour faire face à ses missions, d'autant plus que nous nous devons d'assurer un rôle de pédagogie sur ces sujets auprès du grand public. Il est notamment nécessaire d'envoyer les agents de la CNIL sur le terrain pour faire de l'éducation au numérique, dans les écoles ou les entreprises. Pour mener à bien toutes ces actions, un effectif adapté s'impose.
Vous avez évoqué vos contacts avec les différents acteurs du terrain. Comment les entreprises réagissent-elles face aux obligations découlant du RGPD ? Il me semble que la situation est assez paradoxale : les acteurs les plus puissants sont sans doute les mieux équipés pour répondre à ces obligations. À l'inverse, ceux pour lesquels l'espace numérique est une nouveauté semblent plus en difficulté pour s'adapter à ce cadre.
Comment ressentez-vous les efforts réalisés par les professionnels suite à l'entrée en vigueur du RGPD ? Les organisations professionnelles vous interrogent-elles à ce sujet ?
Par ailleurs, nous avons tous pris l'habitude de cliquer sur « j'accepte » pour la collecte de nos données. Avez-vous des retours d'usagers sur l'évolution des conditions d'octroi du consentement ? N'assistons-nous pas à une forme de standardisation des comportements ?
Notre mission consistant à la fois à accompagner et à sanctionner le cas échéant, cela peut compliquer quelque peu nos rapports avec les entreprises. Celles-ci doivent fournir, c'est vrai, des efforts importants de gouvernance à la suite du RGPD, tant les enjeux juridiques, informatiques, stratégiques voire de réputation sont importants désormais. Pour autant, vous l'avez rappelé, la CNIL a 41 ans. La loi Informatique et Libertés de 1978 portait depuis l'origine des obligations comparables à celles issues du RGPD. Ce règlement n'a donc fait que renforcer ces obligations déjà à la charge des entreprises.
Dans ce cadre nouveau, la CNIL accompagne les entreprises. À cette fin, nous avons mis en place un logiciel en open source, téléchargeable sur notre site. À ce jour, il a été téléchargé 300 000 fois. Initialement disponible dans seulement deux langues, il est actuellement proposé dans dix-neuf langues différentes.
De même, seules les grandes entreprises sont concernées par l'obligation de nommer un délégué à la protection des données. Pour accompagner ce nouveau rôle, nous avons mis en ligne un MOOC (massive open on line courses, c'est-à-dire un cours gratuit en ligne) qui permet de cadrer les missions inhérentes à cette nouvelle fonction.
Notre approche à l'égard des petites entreprises est différente. En effet, nous leur demandons simplement de respecter des obligations de bon sens - registre des traitements, règles de sécurité informatique, etc. Nous avons élaboré un guide à destination des TPE et des PME, et préparons le même type outil pour les collectivités territoriales.
En somme, les retours sont différents en fonction de la taille des entreprises. Dans tous les cas, nous ne devons pas surestimer les coûts induits par le RGPD. Ils sont liés à l'échelle des entreprises.
Si je comprends bien, certaines entreprises n'ont pas du tout été affectées par la mise en place du RGPD.
Je ne voudrais pas minimiser l'impact de cette réglementation parfois perçue comme nouvelle. Pour autant, nous mettons en oeuvre tous les moyens nécessaires afin d'accompagner les entreprises. Bien sûr, nous ne pouvons pas mener un suivi individuel, mais notre site internet regroupe toutes les informations utiles pour se mettre en conformité avec le RGPD.
Concernant les règles de recueil du consentement sur les sites internet, le clic de l'internaute visant à accepter la collecte de ses données doit être relié à la notion de « cookie »s. Ces traceurs ont pour objectif de cibler au mieux l'individu principalement au niveau publicitaire. Le collège de la CNIL a pris ce sujet bras le corps : nous avons décidé de mener un cycle d'auditions au sein de la CNIL avec consultation de l'ensemble des instances professionnelles et des acteurs de la société civile pour rappeler l'état du droit positif en matière de traceurs et élaborer des recommandations claires au sujet des modalités de recueil du consentement de l'internaute. Ce que nous appelons la « fatigue du consentement » est en effet un véritable sujet de réflexion.
La CNIL s'est notamment illustrée par la sanction spectaculaire infligée à Google. Pouvez-vous évoquer cette affaire ?
Cette affaire a été traitée avant que je ne prenne mes fonctions. Elle concernait le sujet spécifique de la création de comptes sur Android. La CNIL, dans sa formation restreinte, à laquelle n'appartient pas la Présidente, a décidé d'une sanction de 50 millions d'euros aux motifs du défaut d'information de l'utilisateur. En effet, pour parvenir à obtenir les informations concernant la collecte et le traitement des données, il fallait effectuer six opérations préalables, ce qui est excessif. Je précise que Google conteste cette sanction, l'entreprise - qui a payé l'amende - a par la suite décidé de déposer un recours encore pendant devant le Conseil d'État.
S'agissant du cadre de la sanction infligée à Google, je tiens à préciser qu'elle a été décidée en application du RGPD mais en dehors de la procédure dite du « guichet unique », puisque Google ne disposait pas d'établissement dans l'Union européenne à l'époque de l'action -l'établissement en Irlande n'ayant pas, selon la formation restreinte, de pouvoir d'action sur les traitements de données personnelles. Cette question de compétence a fait l'objet de nombreuses discussions et c'est d'ailleurs l'un des arguments portés par Google dans le cadre de son recours auprès du Conseil d'État.
Nos enquêtes se sont concentrées sur les conditions générales d'utilisation et la politique de confidentialité et nous avons considéré que le consentement ne pouvait pas être valablement recueilli dans ce contexte. Les personnes étaient également insuffisamment ou mal informées, notamment sur les durées de conservation, par conséquent leur consentement n'était pas éclairé.
Au vu de l'ampleur des données traitées, plusieurs millions par minute, l'enjeu en matière de vie privée est essentiel. De ce fait, la formation restreinte de la CNIL s'est prononcée en faveur d'une sanction de 50 millions d'euros, rendue publique.
Je précise que nous avions été saisis par des plaintes collectives portées par les associations La Quadrature du Net, qui rassemblait les réclamations de plus de 10 000 personnes, et None Of Your Business, associations créée par Max Schrems.
A ce jour, nous sommes saisis de sept plaintes collectives sur le fondement du RGPD depuis son entrée en vigueur.
Cette procédure permet de démultiplier notre action.
Madame Denis, vous êtes une juriste éminente et expérimentée. A ce titre, comment appréhendez-vous la coexistence entre le Cloud Act et du RGPD ? Quid du rapport Gauvain ? Pensez-vous qu'il soit possible d'interdire aux entreprises françaises de transmettre des données aux autorités américaines ? Il s'agirait d'une attitude de résistance difficile à tenir...
Le RGPD adopte une approche plus subtile en utilisant le critère de la nationalité de la personne ciblée par l'atteinte à ses données.
L'articulation entre ces différentes dispositions est un sujet très intéressant. Il relève en réalité d'un conflit de lois. Je rappelle que le Cloud Act découle d'une affaire pendante devant la Cour suprême qui avait opposé le gouvernement américain à Microsoft.
Le Cloud Act permet aux autorités américaines, dans le cadre d'une enquête judiciaire, d'exiger des hébergeurs une transmission des données stockées sans passer par les procédures classiques de coopération judiciaire. Les Américains estiment que ce principe accroît l'efficacité des procédures.
Toutefois, les dispositions issues du Cloud Act sont en contradiction directe avec l'article 48 du RGPD qui interdit toute transmission des données aux autorités d'un pays tiers sans un cadre juridique clair.
Le CEPD a adopté ce matin même une position à ce sujet : répondant à une demande d'avis de la commission libertés civiles et justice du Parlement européen, il a réaffirmé la pleine application de l'article 48 du RGPD qui protège les données personnelles contre les transferts ou divulgations non autorisées par le droit de l'Union. En l'absence de traité international, si une demande des autorités américaines visait à obtenir des entreprises européennes la transmission de données sur la base du Cloud Act, elle serait donc illicite au vu du RGPD. Les entreprises ne peuvent se prévaloir pour ce traitement du fondement tiré de l' « intérêt légitime », la seule exception envisageable étant celle destinée à prévenir la survenue d'une menace grave pour l'intérêt vital de la personne concernée.
Dans ce cadre, vous constatez que le RGPD fournit effectivement les moyens d'assurer notre protection - celle des personnes et les intérêts de nos entreprises.- et de préserver notre souveraineté numérique européenne.
La Commission européenne a reçu un mandat pour négocier un traité avec les États-Unis visant à apporter la garantie du respect des droits des personnes. J'ignore quelle sera la forme de ce traité. D'après ce que j'ai entendu, plusieurs hypothèses sont envisageables : peut-être un traité cadre et des accords spécifiques bilatéraux. Dans tous les cas, la position du CEPD est très claire à ce sujet, puisqu'il affirme nettement que l'article 48 du RGPD est pleinement applicable en l'espèce.
Le rapport Gauvain sur la protection des entreprises contre les sanctions américaines a été remis au Premier ministre le 26 juin 2019. Il traite davantage des données non personnelles, c'est-à-dire celles qui ne permettent pas d'identifier des personnes physiques. Il me semble que les sanctions proposées pourraient être appliquées par une autre autorité administrative indépendante que la CNIL. Je n'ai pas d'opinion personnelle à émettre sur ce sujet, si ce n'est que je me réjouis que le RGPD fasse des émules.
Le point soulevé par le rapporteur mérite d'être élargi. Les propositions envisagées par le rapport Gauvain pourraient-elles permettre de rétablir l'équilibre des forces dans le contexte du Cloud Act ? Les préconisations du rapport pourraient-elles nous faire gagner en souveraineté ?
De manière plus générale, quelles seraient vos propositions pour trouver des axes d'amélioration au sujet de la protection de nos libertés individuelles ?
Cette initiative est intéressante car elle présente au moins le mérite de traiter un vrai sujet, celui des entreprises françaises confrontées à des législations étrangères. J'ai pu constater, lors de mes déplacements, à quel point les entreprises américaines étaient intéressées par l'affirmation européenne d'une législation extraterritoriale. Lorsque nous allons en Asie, nous ne pouvons qu'observer les modèles concurrents.
Le modèle américain repose avant tout sur la protection des consommateurs. En Europe, nous prenons le parti de protéger les individus en tant que tels, ne négligeons pas les stratégies d'influence.
Vous m'interrogez sur des modifications législatives souhaitables. Très modestement, il me semble qu'en matière de protection des données, la législation a évolué de manière substantielle récemment avec deux décrets, une réforme de la loi Informatique et Libertés et une ordonnance. Laissons le temps aux entreprises d'intégrer ces évolutions avant d'en envisager d'autres.
La définition des données à caractère personnel retenue par le RGPD dans son article 4 est très large. Il s'agit de « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Son interprétation permet d'englober énormément d'informations détenues par les entreprises.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Mes chers collègues. Notre commission d'enquête consacrée à la souveraineté numérique poursuit ses travaux avec l'audition de Mme Isabelle de Silva, présidente de l'Autorité de la concurrence, M. Roch-Olivier Maistre, président du Conseil Supérieur de l'Audiovisuel (CSA) et M. Sébastien Soriano, président de l'Autorité de Régulation des Communications Électroniques et des Postes (Arcep).
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Enfin, je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, Mme Isabelle de Silva, M. Roch-Olivier Maistre et M. Sébastien Soriano prêtent serment.
Nous vous recevons en tant que présidents des autorités administratives indépendantes que vous représentez.
Mme de Silva, vous présidez l'Autorité de la concurrence, autorité transversale qui a la charge de s'assurer du bon fonctionnement de l'ensemble du marché français au regard des pratiques anticoncurrentielles et des concentrations. MM. Maistre et Soriano, vous présidez deux autorités de régulation dites sectorielles. Il s'agit pour M. Maistre du secteur audiovisuel que le CSA à la charge de superviser et pour Monsieur Soriano du secteur des télécoms et des postes avec l'Arcep.
Vos autorités sont toutes les trois confrontées aux géants du numérique et aux difficultés de réguler l'espace numérique. Si certaines questions vous sont propres, d'autres vous sont communes. C'est sur celles-ci que nous aimerions vous entendre dans un premier temps à la lumière de vos expériences respectives.
Estimez-vous que la régulation des acteurs du numérique est aujourd'hui suffisante en France ? Disposez-vous de moyens humains et techniques suffisants pour remplir vos missions dans le monde du numérique ? Faut-il créer un cadre général applicable aux acteurs systémiques de l'internet et dont l'application serait assurée par un seul régulateur ?
Nous vivons actuellement dans une période riche en défis pour l'ensemble des régulateurs. Il s'agit pour nous de la même révolution que traversent les entreprises. Face à cela, il me semble que nous disposons des moyens de réponse adaptés pour y faire face. Je me limiterai à évoquer les outils de la concurrence, qui se sont avérés très plastiques et efficaces.
Sur ce sujet, la France se situe à la pointe de ce qui existe. Malgré cela, il reste encore à renforcer ces outils dans le monde du numérique. En début d'année, nous avons pris des mesures conservatoires à l'encontre de Google dans le cadre de la problématique du déréférencement dont avait été victime une PME française. Cet outil s'avère très utile car il permet une intervention rapide pour mettre un terme à des pratiques nuisibles.
Un autre pan d'action important se retrouve au niveau européen. La Commission européenne mène une action très encourageante qui démontre sa volonté d'affirmer avec rigueur la force du droit de la concurrence. J'aimerais notamment évoquer trois affaires concernant Google dans lesquelles la Commission européenne est intervenue.
L'affaire Google Shopping a donné lieu à une sanction de 2,4 milliards d'euros. Dans sa décision, la Commission prend acte de la position dominante de Google dans le marché de la recherche en ligne. La sanction est liée à l'abus dans le changement intempestif des règles du jeu au niveau du volet Google Shopping. Cela rappelle à quel point une entreprise dominante est soumise à des obligations particulières du fait de cette position.
L'affaire Google Adsense s'est conclue par une sanction de 1,25 milliard d'euros en raison de clauses anticoncurrentielles relevées dans les contrats, ce qui aboutissait au maintien de la position dominante de Google dans le marché de la publicité associée à la recherche en ligne.
L'affaire Google Android a enfin débouché sur une sanction de 4,3 milliards d'euros. La Commission a répertorié l'ensemble des actions et clauses contractuelles qui visaient à préserver la position de Google sur les terminaux équipés du système d'exploitation Android.
L'application du droit de la concurrence est un outil qui doit encore être mobilisé. Face aux problématiques qui découlent de l'utilisation des données, notre interprétation de ce droit doit être plus innovante que par le passé. À cet égard, la décision prise par l'équivalent allemand de l'Autorité de la concurrence peut être citée. Elle a abouti à la condamnation de Facebook pour une utilisation disproportionnée des données des utilisateurs, qui excédait ce qui est nécessaire au bon fonctionnement du réseau social. La captation illégitime des données peut donc être sanctionnée, comme nous le démontre cette décision.
Il me semble nécessaire de renforcer les moyens de notre coopération, tant aux niveaux nationaux qu'à l'échelle européenne. Dans cette lutte, nous disposons d'un atout majeur avec le réseau européen de concurrence, lequel permet une action et un traitement coordonnés des affaires par les autorités nationales de régulation et la Commission européenne. La réussite de ces coopérations implique également d'approcher les affaires de manière convergente.
Parmi nos pistes d'amélioration, je citerai le manque de moyens humains pour nos investigations. Au sein de l'Autorité de la concurrence, nous sommes 400 personnes. Ce nombre est insuffisant pour traiter des dossiers éminemment complexes. En Allemagne, les moyens sont 50 % plus importants que les nôtres, et le Royaume-Uni dispose du double de personnes.
Les dossiers sont très délicats, mêlant des sujets d'ordre stratégique ou technique. Ils requièrent des compétences élevées de la part des rapporteurs. Je rappelle également que les entreprises impliquées disposent quant à elles de moyens colossaux et sont accompagnées par des conseils nombreux. Face à cette situation, l'État doit renforcer ses autorités de régulation, en leur octroyant plus de moyens humains et techniques.
Par ailleurs, je tiens à aborder les adaptations législatives récentes. Une directive adoptée en début d'année 2019 tend à renforcer les autorités nationales chargées du droit de la concurrence en leur donnant la possibilité d'utiliser des mesures conservatoires. Les régulateurs pourront décider de ce type de mesures sans même être saisis par une entreprise. Ils pourront ainsi agir sans attendre une saisine, qui parfois n'arrive jamais tant les victimes d'actes anticoncurrentiels craignent de l'engager.
Parmi les évolutions souhaitables, il faudrait renforcer de façon énergique le contrôle des concentrations. Pour que le marché reste concurrentiel, nous devons accroître notre niveau d'exigence actuel. Les acquisitions réalisées par Google et Facebook limitent fortement la concurrence dans le marché du numérique. Ainsi, lorsque Facebook a racheté Instagram et Whatsapp, il a pu contrôler trois ensembles de services très prisés des utilisateurs. À ce jour, il est donc très difficile d'envisager l'émergence d'un concurrent sur ce secteur. Autoriser ces concentrations sans imposer de contreparties a peut-être été une erreur. Il nous faut donc être plus exigeants.
Or, certaines opérations de rachat, notamment par les géants du numérique comme Google - qui a racheté près de 400 entreprises ces dernières années -, restent en dehors du champ d'application du contrôle tel qu'il est actuellement défini. Nous proposons donc de compléter la loi française pour les entreprises du numérique, en abaissant les seuils de chiffre d'affaires impliquant l'obtention d'une autorisation. Parfois, c'est au moment d'une concentration que le marché se fossilise. Ce serait donc une manière pertinente d'assurer leurs pleins effets aux outils du droit de la concurrence.
Enfin, nous assistons à l'émergence de nouveaux outils de régulation, qui impliquent dans certains cas d'adopter un modèle de régulation ex ante, complémentaire aux outils traditionnels qui interviennent plutôt a posteriori. Serait-il intéressant de disposer de règles dont l'application serait limitée à certains acteurs considérés comme dominants ? Le rapport établi par Jason Furman au Royaume-Uni et celui commandité par Margrethe Vestager pour la Commission européenne ont abordé ces questions ; ils ont émis des propositions en ce sens. De notre côté, nous réfléchissons à l'intérêt que ce type d'outil pourrait avoir dans notre activité.
Ces débats font écho à l'audition conjointe avec Sharon White, Directrice générale de l'Ofcom, autorité de régulation des médias britannique, organisée hier par Catherine Morin-Desailly. Cela illustre parfaitement à quel point les enjeux du numérique sont présents dans notre réflexion.
Nos diverses discussions démontrent notamment combien la coopération entre les différents régulateurs doit être renforcée. En effet, nous sommes confrontés aux mêmes interlocuteurs et nos actions communes se traduisent par plusieurs travaux. Je citerai l'étude conjointe élaborée par le CSA, l'Hadopi, l'Arcep et l'Autorité de la concurrence à propos des assistants vocaux et des enceintes connectées, ainsi que la note commune sur la régulation par la donnée établie par le CSA, l'Arcep, l'Autorité de la concurrence et d'autres autorités administratives indépendantes.
En tant que régulateur sectoriel, nous sommes pleinement concernés par la transition numérique. En effet, nous assistons au développement de nouveaux opérateurs dotés d'une puissance technologique et financière inédite avec l'irruption des plateformes de type Netflix, Amazon Prime Video ou Disney Fox. À côté de ces plateformes de partage coexistent les réseaux sociaux qui proposent également des contenus médiatiques tels que Facebook, Youtube ou Twitter.
Or, l'irruption de ces acteurs fait apparaître une asymétrie importante au détriment des opérateurs domestiques. Comme l'a signalé un avis rendu par l'Autorité de la concurrence en février 2019, les nouveaux opérateurs échappent totalement aux obligations mises à la charge des opérateurs domestiques. Je rappelle que ces derniers relèvent de la loi de 1986 sur les médias qui leur impose notamment de contribuer au financement du cinéma.
De la même façon, nos modèles d'affaires ont été altérés par cette émergence, notamment sur le terrain publicitaire. En effet, l'essentiel des recettes publicitaires est désormais capté par ces acteurs numériques. Face à cette situation, notre réglementation n'a qu'une portée limitée. Ainsi, l'article 40 de la loi de 1986, qui prohibe la détention de plus de 20 % du capital par un investisseur non européen dans le secteur audiovisuel, n'a aucun effet sur les acteurs du numérique puisqu'il n'est applicable qu'au secteur hertzien.
L'arrivée de ces nouveaux acteurs impose au régulateur des médias que je préside plusieurs enjeux de natures diverses.
Tout d'abord, un enjeu économique. Nos acteurs nationaux sont frappés de plein fouet par l'essor de ces plateformes. Je citerai à titre d'exemple l'annonce faite hier par Canal + d'un plan de départ de 500 salariés. C'est aussi un enjeu démocratique puisqu'il est directement lié à la question du pluralisme sur notre territoire. Plus encore, il s'agit d'un enjeu culturel. Comment garantir le financement de la création alors même que ces nouveaux acteurs n'y contribuent pas ?
Enfin, le dernier enjeu révèle des problématiques sociétales. Notre modèle français a toujours considéré que les médias portaient une responsabilité forte sur des thématiques comme la protection de la jeunesse, le respect de la dignité de la personne ou la juste représentation de la diversité de la société française. À ce jour, les nouveaux acteurs du numérique ne sont pas soumis à ce cadre.
Ces différents enjeux impliquent tous l'intervention de la puissance publique du fait du rôle quasi éditorial que jouent ces plateformes. Dans ce contexte, la mission des régulateurs peut constituer une partie de la solution. Il ne s'agit pas de limiter l'action des régulateurs à de la production de normes et à de la sanction. Il convient de mettre en place des dispositifs permettant d'orienter les opérateurs privés vers l'objectif d'intérêt général défini par le législateur.
D'ailleurs, je suis frappé de constater à quel point les opinions publiques évoluent partout dans le monde en portant l'idée d'une intensification de la régulation. J'en veux pour preuve les débats menés au sein du camp démocrate aux États-Unis, qui pour certains évoquent même l'idée d'un démantèlement de ces plateformes. Cette tendance se retrouve également en Europe, en Australie et en Nouvelle-Zélande. Tous ces États ont à coeur de rentrer dans un schéma de régulation qui permettrait de combattre les phénomènes de désinformation ou de contenus haineux qui, à terme, nuisent aux processus électoraux.
Ce mouvement général qui concerne tant les populations que les États s'est même étendu à ces plateformes elles-mêmes. Elles ne peuvent donc plus se permettre de l'ignorer tant leur modèle économique repose sur leur acceptation par la société. Je vous renvoie aux déclarations publiques de Mark Zuckerberg appelant à plus de régulation.
Par ailleurs, je note que la régulation a franchi récemment des étapes importantes.
Tout d'abord, l'adoption d'une directive concernant les médias audiovisuels étend le champ de la régulation à ces nouveaux acteurs. Il sera possible de leur imposer les règles applicables au sein du pays de destination. Par exemple, Netflix pourra être soumis à l'obligation de contribuer au financement du cinéma. Nous veillerons au sein du CSA à ce que les transpositions de cette directive soient harmonisées dans les 27 États.
Ensuite, la loi du 22 décembre 2018 sur la lutte contre la manipulation de l'information impose à ces plateformes l'obligation de coopérer avec le CSA. Dans ce cadre, le texte émet plusieurs recommandations à l'égard de ces acteurs, dont la mise en oeuvre sera contrôlée par le CSA. Il en rendra compte dans un rapport public, selon une approche reposant sur le principe du name and shame.
Enfin, la proposition de loi relative à la lutte contre les contenus haineux sur internet a été adoptée hier à l'Assemblée nationale. Elle étend le champ d'action du CSA puisqu'il pourra désormais sanctionner les plateformes si elles ne déploient pas leurs moyens de modération dans des délais rapides, par le biais d'une amende pouvant aller jusqu'à 4 % du chiffre d'affaires mondial. Cela nous place au même niveau que les sanctions applicables en droit de la concurrence.
Cet ensemble dessine un nouveau schéma de régulation à la française, qui ne sera ni celui statocratique appliqué en Chine, ni celui du laisser-faire américain. Nous tentons de responsabiliser les plateformes elles-mêmes en veillant à ce que les dispositifs légaux soient appliqués. Cela suppose évidemment que l'ensemble des régulateurs se coordonne. Au niveau du CSA, nous avons vocation à travailler étroitement avec l'Arcep, la Cnil, l'Autorité de la concurrence et le CNC (Centre National du Cinéma et de l'image animée).
Pour reprendre vos questions et y répondre de manière synthétique avant de les développer, il me semble que la régulation est actuellement insuffisante alors même que ses moyens technologiques sont adaptés. De plus, bien que la régulation des acteurs systémiques soit absolument nécessaire, je ne pense pas qu'il faille mettre en place un régulateur unique.
Je commencerai par m'exprimer sur l'insuffisance de la régulation, en prenant le prisme de l'Arcep. Il me semble que notre situation démontre un échec cuisant de toutes les autorités publiques à créer un véritable jeu concurrentiel entre les plateformes du numérique. Certes ces grands acteurs se comportent entre eux comme des concurrents indirects, mais leurs marchés sont bel et bien différents. Chacun exerce sur son marché un pouvoir économique considérable, inédit à l'échelle de l'humanité. Nous ne sommes pas parvenus à offrir le choix aux utilisateurs. Or, le choix est l'arme absolue qui permet de discipliner les opérateurs en leur insufflant la peur de perdre les consommateurs.
L'absence de cette discipline de marché dans le numérique découle de notre sous-estimation du phénomène. Le numérique s'est développé par un effet de réseau. L'exemple type est celui du réseau social. Si un utilisateur souhaite se créer un compte, il se tournera naturellement vers le réseau sur lequel se trouvent ses amis, indépendamment de toute considération liée à la qualité, à l'ergonomie ou à l'approche respectueuse de sa vie privée. En réalité, le choix est binaire : aller sur ce réseau ou renoncer à tout réseau.
Ce constat explique beaucoup des symptômes que nous identifions, tels que les conditions générales contestables, les risques de fuite de données ou bien la dépendance des entreprises à l'égard des places de marché d'Amazon ou de la publicité en ligne de Facebook ou Google.
Face à cet échec collectif, nous devons être lucides et nous mobiliser en conséquence. Quelles actions pourrions-nous mettre en oeuvre pour réintroduire du choix ? Au cours de votre introduction, vous avez expliqué que nous étions tous les trois confrontés à ces géants du numérique en tant qu'acteurs de la régulation.
En réalité, l'Arcep ne régule pas les acteurs du numérique ; à l'inverse, elle joue plus un rôle d'accompagnateur en vertu du principe de neutralité. Je suis d'ailleurs le premier à déplorer cette situation. Plusieurs propositions ont visé à élargir notre action, mais à ce jour, elles sont restées sans effet. Mme Morin-Desailly avait déposé un amendement en 2015 sur les moteurs de recherche, M. Lalande a également tenté d'introduire un dispositif de notation des plateformes en 2016. Plus récemment, l'Arcep a mis en évidence le pouvoir des terminaux et des systèmes d'exploitation et nous avons proposé au Gouvernement d'inclure une disposition sur ce sujet dans le projet de loi sur l'audiovisuel.
En tant qu'observateur du numérique, l'Arcep n'hésite pas à apporter sa contribution à la réflexion générale sur le numérique, notamment à l'occasion des états généraux du numérique. Je déplore qu'aucune suite n'ait été donnée pour le moment à ce travail collectif qui regorgeait de pistes intéressantes.
Vous posiez une deuxième question sur les moyens dont disposent les régulateurs. Selon moi, le défi majeur est celui de la transformation de nos outils. La donnée on data est un défi essentiel dans notre action. Nous devons parvenir à l'utiliser au mieux dans notre action. Pour cela, deux pistes majeures doivent être explorées.
Tout d'abord, l'utilisation en tant que supervision, à l'instar de l'Autorité des marchés financiers (AMF) dans le secteur financier et de la Commission de régulation de l'énergie (CRE) dans le secteur de l'énergie. Ces régulateurs recueillent un volume considérable de données au sein desquelles ils réussissent à détecter des signaux faibles permettant d'analyser de manière plus fine le marché. Cette technique est celle qui sera mise en oeuvre dans le cadre de la lutte contre les propos haineux.
Ensuite, la donnée peut être mise au service du consommateur afin de lui donner une information plus éclairée sur le domaine concerné. C'est ce que nous faisons en communiquant l'ensemble des informations relatives à la couverture du réseau. Ce procédé permet d'enclencher une dynamique positive entre les différents opérateurs.
Je constate que nous sommes en train de dompter les outils techniques dont nous aurons besoin à l'avenir pour réguler ce marché. Reste la question des outils juridiques qui doit être approfondie pour permettre à tous les régulateurs de disposer des compétences adaptées pour mener leur action. Bien entendu, des moyens humains et financiers correspondants à l'ampleur de la tâche sont nécessaires.
Votre troisième question portait sur la nécessité de construire un cadre spécifique pour réguler les acteurs systémiques. Cela me semble éminemment souhaitable. En effet, nos règles actuelles sont d'application horizontale et ont donc tendance à sur-réguler et à accroître la charge supportée par les petits acteurs. Ces derniers ont alors d'autant plus de difficultés à trouver leur place sur le marché. C'est une question qui revient souvent s'agissant du RGPD. Se centrer sur les gros acteurs en les soumettant à des règles de supervision spécifiques permettrait d'améliorer notre système.
Pour autant, les régulateurs doivent aussi savoir adapter leur approche en fonction de la nature des problèmes posés. L'accès d'une PME aux places de marché, le marché de la publicité ou celui du commerce en ligne ne sauraient être traités comme le sont des propos haineux ou des fausses informations sur internet. Certes l'approche systémique est nécessaire, mais avec des réponses différenciées selon les situations.
Sur ce plan, l'Arcep a mené un travail approfondi au sujet des terminaux - les smartphones, les enceintes, les voitures ou les télévisions connectées. Les « acteurs des terminaux » sont en train de prendre le pouvoir alors même que nous semblons aveugles face à ce phénomène. Nous régulons la tuyauterie d'internet, mais nous ne regardons pas les robinets ! Nos tuyaux, dans lesquels les opérateurs investissent beaucoup d'argent, sont aujourd'hui ouverts, mais pas les robinets. Or, lorsque l'utilisateur demande des informations à une enceinte connectée, le choix de la source de recherche des informations est réalisé par le terminal. Ces terminaux joueront un rôle de prescripteur central à l'avenir. On peut se connecter à internet sans un moteur de recherche ou sans un réseau social, mais on ne peut pas se connecter à internet sans un terminal. De ce fait, nous devons leur étendre le principe de neutralité déjà applicable à internet. Cette proposition émane de plusieurs autres autorités de régulation européennes. Nous souhaiterions qu'elle figure dans le projet de loi concernant le secteur audiovisuel.
Enfin, je terminerai avec votre dernière question qui portait sur la mise en place éventuelle d'un régulateur unique. Selon moi, le premier réflexe doit être de prolonger les compétences de chaque autorité - c'est ce qu'on a vu sur le CSA, mais c'est aussi le cas de l'Autorité de régulation des activités ferroviaires et routières (Arafer) à laquelle le projet de loi d'orientation des mobilités confie de nouvelles missions relatives à l'ouverture des données de transport. Bien entendu, un tel renforcement questionnera notre capacité à disposer d'une force de frappe nécessaire. L'Arcep est tout à fait disposée à engager un processus de partage de compétences avec les autres autorités pour mettre en place un pôle commun.
Mme de Silva, comment réagissez-vous à la réalité capitaliste mondiale qui octroie tout au vainqueur ? Il me semble que nous n'avons pas su prévoir qu'internet pouvait être massif et gratuit. Notre conception le reléguait à une sphère élitiste en raison du coût prohibitif des terminaux. Or, par la suite, le numérique a su se développer sur un principe simple, puisque l'utilisateur bénéficie d'une gratuité apparente pour accéder aux services alors même que c'est lui-même qui sert l'opérateur par le biais de ses données. Ce principe est à l'origine de la naissance du RGPD.
En outre, le développement du numérique a permis aux plus puissants d'acquérir une taille telle qu'ils sont aujourd'hui dans une situation absolument dominante. L'effet de réseau ne fait que consolider leurs richesses dans un contexte où le grand public démontre une véritable addiction à leur égard.
Par ailleurs, le modèle économique de ces géants pose de réels problèmes au regard du droit de la concurrence. En effet, il consiste à financer une activité à perte pour croître puis détruire les opérateurs concurrents en les rachetant. Le phénomène a atteint une telle ampleur que les start-up elles-mêmes se développent en vue d'être rachetées par les Gafa. Pensez-vous que l'idée d'un démantèlement puisse être envisagée ?
Lorsque vous évoquez les propos haineux tenus sur internet, je m'interroge sur la personne du juge. La qualification de tels propos n'est pas aisée tant elle dépend du contexte et des références. Comment combattre ces dérives tout en ménageant notre liberté d'expression ?
vous avez proposé l'idée de soumettre les terminaux au principe de la neutralité. Cette idée me convainc totalement. De même, lorsque vous vous exprimez en faveur du maintien des différentes autorités de régulation, je souscris à cette vision. Chacune a su gagner le respect de tous grâce à ses compétences, et toute fusion serait inappropriée. Il convient, en revanche, de renforcer la coopération entre ces autorités, tant les sujets sont liés.
J'aimerais soumettre une question provocatrice. J'ai, tout comme Gérard Longuet, une attitude libérale qui va de pair avec la conviction qu'une régulation est nécessaire. Les géants du numérique ne réussissent-ils pas à se glisser au sein de vos interstices ? Ne pensez-vous pas, dans ces conditions, qu'il faille introduire une part de censure dans notre régulation des contenus ?
J'aimerais réagir au sujet de la régulation ex ante. Je comprends qu'elle nécessite des moyens et des compétences en matière de traitement de données massives. En dispose-t-on aujourd'hui ? Nous avons abordé certains sujets à caractère technique, comme la localisation des données. Estimez-vous que la localisation des data centers et des clouds en dehors de l'Union européenne pose problème ? Par ailleurs, quel est votre positionnement concernant les moteurs de recherche, qui sont devenus des acteurs souverains du numérique ?
Le mécanisme du winner takes all, les effets de réseau et la transformation des modèles d'affaires sont au coeur de la révolution que nous vivons. Ces nouveaux modèles d'affaires ont été financés par un marché qui y a cru. Ainsi, longtemps, Amazon n'a pas été rentable et Netflix ne l'est toujours pas. Il s'agit en réalité d'une stratégie d'un nouveau genre, fondée sur la conquête d'un très grand nombre d'utilisateurs et sur la présence sur différents marchés.
À cet égard, l'exemple d'Amazon est frappant : d'abord libraire en ligne, le site internet a ensuite régulièrement élargi ses activités, jusqu'à la production de contenus audiovisuels...
de sorte qu'aujourd'hui, nous ne pouvons savoir où s'arrêtera cette entreprise. Les autorités de la concurrence doivent revoir leurs méthodes, consistant traditionnellement à raisonner par marchés pertinents, car certains marchés que l'on pourrait estimer sans liens vont se trouver connectés par les stratégies de captation de ces utilisateurs. Il nous faut amender notre doctrine sur ce point.
Un autre exemple qui doit nous amener à revoir nos concepts est celui de Facebook. On a longtemps pensé qu'un marché non monétisé n'est pas un marché. Or, les marchés bifaces nous montrent que les choses sont plus complexes : d'un côté, le service est gratuit, mais nous permettons, grâce à l'utilisation de nos données, leur valorisation sur l'autre face du marché, par la publicité en ligne.
Dans ce contexte, la concurrence est-elle impossible ? Je refuse toute attitude pessimiste. Nous avons commis une erreur stratégique en autorisant le rachat d'Instagram et de Whatsapp par Facebook. Tirons les conséquences de cet exemple en imposant des règles strictes pour l'avenir. C'est pourquoi nous réfléchissons, avec le Gouvernement, à la définition de règles spécifiques aux acquisitions menées par des acteurs déjà ultra-dominants. Nous assistons aujourd'hui à une véritable perversion de ce système dans lequel les start-ups elles-mêmes cherchent à se faire racheter par les grandes firmes du numérique plutôt que de devenir elles-mêmes les futurs géants.
Vous soulevez la question du démantèlement. Pour notre part, nous examinons froidement ce sujet. Pour autant, certains estiment que le démantèlement créerait une forme d'Hydre de Lerne. De ce fait, nous devons imaginer d'autres pistes, notamment sur la problématique de l'accès aux données. Nous pourrions ainsi, par exemple, organiser un droit d'accès - pas forcément gratuit - aux données détenues par un moteur de recherche qui permettrait à un nouvel acteur de disposer des moyens pour se développer. Cela peut s'organiser par le droit de la concurrence ou par une régulation ciblée sur l'accès aux données.
Par la suite, nous devons réfléchir à la question de la valeur, lorsque nous sommes confrontés à certaines pratiques. À titre d'exemple, je citerai le cas de Booking prélevant des commissions sur les gains des hôteliers, ou bien d'Apple facturant une commission aux créateurs d'applications. Selon moi, il faut qualifier ce type de phénomène comme de l'abus d'exploitation, notion quelque peu oubliée ces dernières années, durant lesquelles nous nous intéressions davantage aux pratiques discriminatoires. Nous avons d'ailleurs utilisé cette notion il y a quelques mois en sanctionnant pour la première fois depuis dix ans des prix excessifs pratiqués par une entreprise en monopole dans le secteur du traitement des déchets hospitaliers. Nous pourrions utiliser ce même type de raisonnement dans le numérique pour une entreprise en monopole qui changerait du jour au lendemain les commissions qu'elle prélève pour le référencement sur une application devenue incontournable.
Il est également possible d'agir au regard des barrières à l'entrée sur un marché. Actuellement, la Commission se penche sur le cas de Spotify qui entend démontrer que les commissions prélevées par Apple sont illégitimes. La question est également posée au sujet de la place de marché d'Amazon : l'entreprise favorise-t-elle ses propres produits, notamment grâce aux données que les vendeurs utilisant sa place de marché sont contraints de lui transmettre ? Je souhaite également saluer l'avancée que constitue l'adoption du règlement dit « Platform to business » au niveau européen, qui porte précisément sur l'équité des relations commerciales entre les plateformes et les entreprises dont l'accès à la plateforme est une condition sine qua non pour atteindre le consommateur.
Par ailleurs, le traitement de ces sujets doit se faire sur le plan politique, notamment sur le terrain fiscal. Il n'est pas admissible que des revenus générés sur le territoire français n'y soient pas imposés. Une première réponse a été apportée par Mme Vestager, qui a qualifié d'aide d'État le régime fiscal particulier accordé par l'Irlande à Apple, mais c'est une forme de pis-aller au regard d'un système qui favorise l'optimisation fiscale. La taxe Gafa peut constituer une première ébauche, mais ne couvre pas d'autres sujets tels que l'équité de la fiscalité entre les plateformes de commerce en ligne et les distributeurs physiques.
Nos efforts doivent converger vers un objectif de rééquilibrage des réglementations nationales. À défaut, ils conduiraient à favoriser encore plus les Gafa. Dans notre avis du 21 février dernier sur l'audiovisuel et le numérique, nous avons démontré que les acteurs classiques du secteur médiatique étaient désavantagés face aux nouveaux acteurs du numérique. Par exemple, il est interdit de proposer de la publicité ciblée à la télévision, alors qu'il existe une liberté totale sur ce point sur internet. Une action volontaire doit être mise en oeuvre. Au-delà des aspects économiques, il est très grave que des acteurs qui ont pris une importance considérable pour la société ne respectent pas les règles sur la protection des données ou admettent des comportements mettant en cause la sincérité des campagnes électorales. Il est essentiel de faire toute la lumière dans les meilleurs délais sur l'affaire Cambridge Analytica. La question du démantèlement relèvera d'une décision américaine. En revanche, la directive sur le renforcement des autorités de la concurrence permet à une autorité de la concurrence d'enjoindre des mesures structurelles. Ainsi, nous pourrons obliger une entité à céder une partie de son activité lorsqu'elle a commis un abus de position dominante.
Vous soulevez la question de la localisation des data centers. Il est effectivement très compliqué de mener une enquête au sujet d'infractions numériques commises par des entreprises dont les centres de décisions sont aux États-Unis et qui met des moyens colossaux pour se prémunir des enquêtes. La nouvelle directive contient cependant une avancée : si l'entreprise détient des données accessibles sur le territoire européen, nous serons en mesure d'y accéder.
Enfin, je rejoins Sébastien Soriano à propos des états généraux du numérique. Il est effectivement frustrant que ces travaux n'aient pas été accompagnés de suites concrètes alors qu'il est nécessaire de muscler l'action de l'État et des autorités sur le plan du big data, des algorithmes et, plus généralement, des ressources issues de ces nouvelles technologies. Les régulateurs peinent à recruter des experts dans ces secteurs, comme des data scientists, et je souhaite que l'État investisse davantage dans ces domaines.
Je suis convaincu que nous ne pourrons pas réguler les plateformes de la même manière que les médias traditionnels. Je rappelle que ces derniers se sont vu attribuer des fréquences gratuites par l'État ; en contrepartie ils étaient soumis à plusieurs obligations dont l'application était surveillée par le CSA. Ce modèle ne pourra pas être transposé aux plateformes.
De ce fait, il nous appartient de responsabiliser les plateformes les plus importantes en leur fixant des objectifs clairs à atteindre, dont la mise en oeuvre sera surveillée par un superviseur doté de pouvoirs coercitifs.
La fusion entre le CSA et l'Arcep a pu être évoquée par certains comme une solution envisageable. À cet égard, les propos de Sharon White sont très intéressants. Lorsqu'elle évoque la fusion opérée en Grande-Bretagne entre plusieurs autorités de régulation, elle ne peut que constater que celle-ci a fait perdre quatre années d'action de régulation au profit de la réorganisation administrative qui en a découlé. Je pense que nous devons donc nous consacrer à d'autres priorités, d'autant plus que le schéma actuel de régulation ne laisse pas d'interstices. J'en terminerai avec l'exemple britannique en citant les débats actuels sur la pertinence de confier à l'Ofcom - bien mieux dotée en ressources humaines, avec plus de 900 personnes, que ne le sont le CSA, qui dispose d'environ 300 personnes et l'Arcep doté de 160 à 180 personnels - la charge de réguler le numérique.
Enfin, la question que vous posez au sujet de l'organe chargé de qualifier les propos tenus sur internet est très intéressante. Effectivement, nous sommes constamment confrontés à une zone grise. Si pour les contenus haineux la tâche est plus aisée, le sujet des fausses informations est bien plus délicat à traiter. C'est la raison pour laquelle nous souhaitons que le CSA tienne un rôle de superviseur, et non pas de juge.
Je reviens sur la question relative aux terminaux. Leur imposer une neutralité permettrait de confier le pouvoir aux individus et aux entreprises. On peut imaginer des dispositifs de contrôle parental labellisés par l'État plus facilement activables, mais cela découlerait du choix des utilisateurs.
Sur le plan économique, les abus d'exploitation émanent d'une entreprise dominante qui met en oeuvre des pratiques dommageables pour les autres acteurs : par exemple, Google Maps qui changerait ses codes. À l'origine, une telle manoeuvre n'a rien d'anticoncurrentiel, mais en raison de sa position sur le marché, elle provoquerait une déstabilisation des autres entreprises. Selon moi, nous devons mettre en place des moyens permettant de prévenir ce type de comportement. Or, en l'état du droit de la concurrence, aucune méthode ne permet de préjuger du rôle des acteurs.
Sur ce point également, les terminaux ont pris une importance économique considérable. Je crois qu'il nous faut réprimer tous les comportements d'un acteur puissant qui viseraient à interdire l'accès à un marché d'un acteur donné. La décision prise à propos du système d'exploitation Androïd Google en est l'illustration. Nous avions d'ailleurs été visionnaires dans ce domaine lors de l'affaire visant Orange à propos de la distribution de l'iPhone, en empêchant Orange d'obtenir l'exclusivité, considérant que tous les opérateurs devraient pouvoir le distribuer. Il nous faut être impitoyable sur les comportements du même type que ceux condamnés dans l'affaire Google Androïd.
Nous devons déterminer si des outils spéciaux sont nécessaires, ou bien si ceux du droit commun de la concurrence suffisent. Isabelle de Silva et moi-même n'avons pas le même point de vue sur cette question. Selon moi, des outils nouveaux doivent être développés pour sortir de l'impasse dans laquelle nous nous trouvons actuellement. C'est un peu ce qui a été décidé lors de l'ouverture du monopole de France Télécom à la concurrence : on a considéré que le pouvoir particulier de cet acteur nécessitait des outils propres. Pour caricaturer, il s'agit d'opposer le droit de la concurrence, qui agit en quelque sorte avec un tribunal traitant des dossiers au cas par cas lorsqu'il en est saisi, à un régulateur ex ante, qui construit un agenda avec des objectifs précis et en vérifie la bonne application en continu.
Ce sujet doit-il être corrélé avec la question d'un système d'exploitation souverain ?
La question des systèmes d'exploitation dépasse les enjeux économiques. Il est très difficile de mettre au point un système entier, à tel point que des acteurs majeurs comme Nokia ou Microsoft ont échoué à le faire.
En revanche, certaines de nos propositions aideraient à la constitution d'un écosystème favorable à l'apparition d'un tel système d'exploitation car nous proposons de favoriser des standards qui permettraient à tout créateur d'application de la rendre utilisable sur tout système d'exploitation, ce qui, en retour, favoriserait l'apparition de nouveaux systèmes d'exploitation.
Concernant les moteurs de recherche, j'aurais la même réponse. Un principe d'ouverture aurait pour effet d'obliger à référencer de la même manière tous les moteurs de recherche et d'empêcher celui qui contrôle le terminal de bloquer l'accès à certaines solutions.
Certaines régulations ex ante sont utiles. Je pense notamment aux règles concernant la transparence applicables aux algorithmes. La France a su se montrer très en avance dans ce domaine dans la loi pour une République numérique portée par Axelle Lemaire, qui a confié à la Direction générale de la concurrence, de la consommation et de la répression des fraudes la mission de contrôler certaines règles notamment en matière d'avis en ligne. Une grande partie de ces règles se retrouvent dans le règlement dit « Platform to business ». Nous y avons été favorables dès lors qu'il s'agissait de bien cibler et de proportionner le dispositif à une problématique identifiée, qui est celle des relations commerciales entre les plateformes et les entreprises qui en dépendent pour leur activité économique.
Ce mouvement n'est qu'un début. Nous pouvons d'ores et déjà nous projeter dans la nouvelle génération de règles en matière de protection des données. Le RGPD a introduit des principes de proportionnalité. Pour autant, du point de vue du consommateur, il en ressort peu de bénéfice. En effet, la plupart des personnes valident systématiquement la collecte de leurs données. Par conséquent, nous menons actuellement une réflexion globale au niveau européen - et Jean Tirole s'est également prononcé en ce sens- visant à faire évoluer la réglementation : il s'agirait de ne soumettre à validation que les collectes qui iraient au-delà du nécessaire. Cet axe de réflexion me paraît intéressant car, sur la protection des données, force est de constater que le consommateur a du mal à faire ses choix - on dit parfois qu'il relève de son libre arbitre de cesser d'utiliser Facebook s'il estime que cette entreprise utilise ses données de façon abusive. Or, et même si le consommateur est de plus en plus informé, cela reste un sujet complexe à appréhender pour les consommateurs et nous sommes encore loin d'une véritable prise de conscience. Ainsi, un tel dispositif permettrait d'atteindre plusieurs objectifs : une restriction de l'utilisation des données et un rééquilibrage de la valeur tirée de l'utilisation des données à des fins publicitaires.
J'ai lu récemment une critique affirmant que le RGPD avait pour effet une fuite de nos données en dehors de l'Union européenne. Pouvons-nous craindre que notre souveraineté ne soit transférée ailleurs ?
C'est un point fondamental : celui des effets induits par nos règles de régulation. On peut voir plus positivement le RGPD en estimant que l'Europe a lancé un mouvement qui est actuellement suivi par plusieurs pays dans le monde - c'est le cas du projet de réglementation en Californie et au Brésil, et ce sujet est au coeur des débats dans la perspective de la prochaine présidentielle américaine. On peut donc considérer que le RGPD essaime à l'international, notamment grâce à l'outil très puissant que constitue le principe d'équivalence - c'est d'ailleurs l'enjeu des discussions qui se déroulent aujourd'hui entre l'Europe et le Japon.
S'agissant de la tentation d'échapper à ces règles, elle est sans doute réelle. Toutefois, dès qu'un Européen est concerné, le RGPD a vocation à s'appliquer. Dès lors, la solution consistant à transférer les données en dehors de l'Union européenne serait totalement inopérante.
J'aimerais terminer par des propos plus personnels. J'ai eu la chance de participer à des échanges stratégiques avec la Corée du Sud, Taïwan et le Japon. J'ai été accompagné par le sociologue Antonio Casilli, qui a évoqué son travail à propos des fermes à clic présentes dans plusieurs pays comme la Chine ou les Philippines.
Ces entreprises emploient de la main-d'oeuvre très bon marché qui est chargée de cliquer selon les consignes données par le client. Initialement, les grandes marques avaient recours à ce service pour gonfler leur notoriété sur les réseaux sociaux. Peu à peu, leur activité s'est diversifiée, dérivant vers le domaine de la manipulation de l'information.
Je signale l'existence de ces entreprises qui pose la question de l'identité et des objectifs de ceux qui cherchent à propager ce type de contenu. Par exemple, est-ce normal que des milliers d'adresses IP basées en Chine participent aux débats sur la politique européenne ?
Il me semble que ce sujet peut constituer un angle d'intérêt important dans le cadre des travaux menés par votre commission.
Ce point m'amène à évoquer deux autres sujets. Ainsi, à propos du traitement des contenus haineux sur internet, seriez-vous opposés à la levée de l'anonymat sur internet ? Il me semble que, quand on affirme quelque chose, il faut être capable de l'assumer.
De plus, ne serait-il pas utile que les internautes puissent disposer d'une vision synthétique des données qu'ils produisent ? Cela permettrait d'améliorer leur culture au sujet d'internet.
La question relative à la levée de l'anonymat ne relève pas des compétences de l'Arcep, mais en tant qu'observateur, je la relie à celle du pseudonymat. La question que cela pose est de savoir comment découvrir l'identité d'une personne sur internet. De ce fait, une levée du pseudonymat serait lourd de conséquences pour la nature d'internet, d'autant plus qu'il s'agirait parfois de lutter contre des personnes qui n'existent pas. Pour cela, il me semble que d'autres méthodes, plus proportionnées, existent.
L'ensemble de la société est en retard au sujet du bon usage d'internet. Or, nous assistons tous à des comportements inacceptables qui impliquent une réaction forte de tous les acteurs sociaux.
À titre personnel, je crois que l'usage des outils numériques est un grand défi posé à nos États et à nos sociétés. Il me semble que l'école est en retard, et la responsabilité est sans doute partagée avec les parents. Parfois, l'école prescrit l'usage d'internet, notamment pour accéder aux devoirs, alors même que cela ne semble pas indispensable : est-ce son rôle ? Il me semble fondamental de mener une réflexion profonde visant à mieux utiliser l'outil numérique.
Je partage votre vision au sujet de l'éducation aux médias, le CSA déploie d'ailleurs un certain nombre d'actions sur ce sujet. Le statut juridique de ces plateformes date de l'époque de leur création, alors même qu'elles ne disposaient pas de la même puissance économique.
Elles s'abritent derrière le statut d'hébergeur, leur responsabilité doit donc être repensée. Dans les médias classiques, le fait d'avoir un éditeur responsable change la donne sur ce qui est diffusé. On supporte de moins en moins sur internet ce qu'on ne supporte déjà pas depuis longtemps à la télévision, à la radio ou dans la presse.
La réunion est close à 19 heures.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.