Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de M. Anton'Maria Battesti, responsable des affaires publiques de Facebook France. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Monsieur Battesti, je vous invite donc à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, M Anton'Maria Battesti prête serment.

Nous connaissons tous les activités de Facebook, réseau social rassemblant près de deux milliards et demis de profils, propriétaire de Whatsapp et d'Instagram, qui tend à assumer de plus en plus de fonctions régaliennes, telles que la prévention en cas de crise avec la fonction Safety Check ou la fourniture d'identité numérique avec Facebook Connect.

C'est pourquoi je vous invite à répondre avant tout aux questions que nous avons à vous poser. Je commencerai par une question d'ordre très général : l'entreprise Facebook veut-elle supplanter les États ?

Je préciserai cette question par les deux exemples les plus récents. Facebook veut s'arroger le pouvoir de battre monnaie en créant le Libra. Quels sont vos arguments pour convaincre les États que le projet ne pose aucun problème au regard de la vie privée, du blanchiment d'argent, de la protection des consommateurs et de la stabilité financière ?

Alors que le Gouvernement français entend légiférer sur la régulation des contenus haineux, Facebook a annoncé sa volonté de mettre en place une « cour suprême indépendante », chargée d'arbitrer les litiges relatifs à la diffusion de contenus pouvant être considérés comme violents ou haineux. Pouvez-vous nous préciser l'articulation de cette solution avec les lois qui pourraient être votées au niveau national ?

Enfin, Mark Zuckerberg a récemment affirmé qu'« il est temps d'actualiser les règles qui régissent Internet afin de définir clairement les responsabilités des personnes, des entreprises et des gouvernements ». Concrètement, quelles solutions l'entreprise Facebook préconise-t-elle ?

Nous connaissons tous les activités de Microsoft, du moteur de recherche au cloud en passant par les logiciels de bureautique, la messagerie électronique... C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser.

Je commencerai par deux questions relatives aux données. Le Cloud Act permet aux autorités américaines d'accéder aux données que vous stockez, quel que soit le lieu de stockage ce qui inquiète légitimement les pouvoirs publics français puisque tant les données personnelles que les données stratégiques des entreprises peuvent ainsi être pillées. Or, de grands groupes vous confient leurs données, en utilisant vos solutions de cloud, à l'image de la SNCF, ou nouent des partenariats commerciaux avec vous comme Thalès ou Qwant.

Pouvez-vous nous assurer que Microsoft ou ses filiales ne permettent pas - et ne permettront pas - aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, avec le RGPD ?

Microsoft a récemment changé de discours sur la protection de la vie privée en faisant de ce sujet un de ses axes stratégiques. Une autorité locale allemande vient pourtant de constater une infraction au RGPD la semaine dernière puisque l'utilisation du logiciel bureautique Microsoft Office 365 dans les écoles du Land de Hesse a été déclarée illégale au regard de la loi sur la protection des données. Les données personnelles des enfants seraient stockées dans le cloud de Microsoft de façon peu transparente et peu accessible aux autorités américaines. Devons-nous croire les paroles ou les actes ? Cette question est très importante, car Microsoft est également prestataire pour le ministère de l'Éducation nationale en France.

Ce sujet est majeur. Je me réjouis que soient présents ce jour un responsable national et un responsable Europe, ce qui permet d'avoir une vision globale de la question.

Avant de répondre à vos questions, permettez-moi de vous présenter rapidement l'entreprise Facebook. En France, environ 36 millions d'utilisateurs utilisent Facebook au moins une fois par mois ; Facebook dispose de 200 salariés en France. Enfin, nous avons réalisé dans ce pays un investissement stratégique via l'ouverture, il y a quelques années, d'un laboratoire d'intelligence artificielle. Il s'agit du seul laboratoire que l'entreprise a ouvert en dehors des États-Unis. Celui-ci est d'ailleurs bien intégré dans l'écosystème français de la recherche, et travaille notamment avec station F. En outre, nous investissons dans la formation ainsi que dans diverses causes sociétales, via la fondation compétence numérique ou à notre fondation de civisme en ligne à laquelle nous avons consacré un million d'euros.

En aucun cas, Facebook n'essaye de supplanter les États. Facebook est un réseau social sur lequel les personnes viennent échanger avec leur famille, défendre une cause qui leur tient à coeur, notamment en s'associant au sein de groupes. Notre réseau est multifacette et a vocation à présenter de nouveaux produits : le market place, le développement de la messagerie. Notre entreprise fournit un service. Certes elle s'est fortement développée dernièrement - nous avons acquis récemment Whatsapp et Instagram -, mais cela reste une entreprise, internationale.

Pour autant, une entreprise n'a-t-elle pas vocation à avoir une responsabilité sociétale ? Vous avez présenté l'outil « Safety check » comme un élément régalien. Je n'irai pas jusque-là. En tout cas, il rend service à la société. Il a été activé pour la première fois en France lors des attentats du Bataclan en 2015. Il existe aujourd'hui un consensus pour dire que nous avons bien fait, car il a permis à beaucoup de personnes se signaler en sécurité dans une situation de crise. D'ailleurs, cet outil est tellement intéressant que l'État est venu nous voir il y a un an, lorsque le ministère de l'Intérieur a arrêté sa propre solution d'alerte - le système d'alerte et d'information des populations (SAIP). Nous avons désormais un partenariat, afin de développer une synergie pragmatique et intelligente entre un service privé et les services de l'État, pour rendre un service à la population. Nous l'avons fait sans hésitation, et je tiens à dire que cela ne coûte pas un euro au contribuable. Il me paraît important de le souligner, car, selon les informations que reçues du ministère de l'Intérieur, lorsque la solution de l'envoi d'un SMS était envisagée, les opérateurs souhaitaient faire payer ce type de solution. Mais, nous avons pris nos responsabilités et nous le faisons de la manière la plus directe possible.

Vous évoquez l'identité numérique. Il ne s'agit pas dans le cas présent de mettre en place une identité officielle comme peut le faire France connect, mais de proposer un service Dans les faits, il est possible d'utiliser ses identifiants Facebook pour se connecter à d'autres sites, sans avoir à recréer un profil. Nous avons considérablement augmenté les contrôles afin de permettre aux utilisateurs de ne pas partager les données qu'ils ne souhaitent pas partager avec des tiers. Des audits sont également conduits à posteriori. En outre, si vous ne vous êtes pas connectés à un site utilisant vos identifiants Facebook pendant un certain temps - 100 jours il me semble - ce site ne peut plus user de vos données.

En 30 ans, internet a énormément changé. Aujourd'hui, on peut en quelques secondes envoyer à quiconque dans le monde des données, des fichiers, des photos. Ce constat a conduit à nos réflexions sur le Libra. Comment se fait-il qu'avec toute cette technologie, il y ait autant de difficultés pour transférer de l'argent d'un point A vers un point B à l'heure de l'économie et des services mondialisés ? Aujourd'hui, 1,7 milliard de personnes dans le monde sont exclues du système bancaire et sont dépendantes de transferts d'argent de leurs familles d'un pays vers un autre. Elles ont également besoin d'un accès au capital et d'un service monétaire. En utilisant la technologie blockchain, ainsi que d'autres technologies, nous avons annoncé la mise en place de cet outil en partenariat avec 27 autres membres très divers - UBER, Visa, Iliad - dont le nombre est appelé à augmenter. Je tiens immédiatement à préciser qu'il ne s'agit pas de la monnaie de Facebook mais de cette organisation regroupant plusieurs entreprises.

L'association Libra est une association indépendante au sein de laquelle Facebook dispose d'une voix parmi les autres. Elle est basée en Suisse et sera supervisée depuis ce pays. M. Marcus en a expliqué les raisons. Le Libra sera assis sur une « réserve libra », composée de plusieurs devises : le dollar, l'euro, le yen et la livre sterling, des monnaies étatiques. Je tiens à le préciser : sans monnaie étatique, il ne peut pas y avoir de Libra. Cet outil ne représente en rien une substitution de l'État, il ne fonctionnera qu'au sein du réseau Libra, mais il apportera de vraies facilités à des millions de personnes dans le monde. Vous m'interrogez sur la sécurité de cette nouvelle monnaie. Aujourd'hui, l'argent noir représente un réel problème. La cryptomonnaie n'est pas quelque chose de nouveau. Le bitcoin existe depuis plusieurs années. Il est utilisé sur le darkweb, à des fins diverses et variées, pour des bonnes ou de mauvaises raisons. Le Libra est une opportunité de disposer d'un service porté par de grandes entreprises connues et qui utilise la blockchain, une technologie traçable et transparente, contrairement à des paiements en cash ou via d'autres types de services numériques intraçables.

Il n'y aura pas de fusion des bases de données entre Facebook et Libra. Je tiens par ailleurs à souligner que nous lançons cet outil en toute transparence. Nous allons rencontrer les régulateurs, les gouverneurs des banques centrales, les entreprises, les gouvernements. Le G7 s'est saisi de cette question. Il en hors de question d'instaurer cette monnaie sauvagement, ou avant d'avoir obtenu les autorisations nécessaires. En effet, nous entrons dans un secteur où la culture de la régulation est très forte, et nous n'avons aucune raison de ne pas suivre cette régulation. Ce que nous proposons est l'émergence d'un service de cryptomonnaie stable, globale, portée par des entreprises connues, et qui peut apporter un vrai bénéfice.

Vous avez évoqué, Monsieur le Président, la tribune de Mark Zuckerberg. Si nous devions refaire les règles de l'internet aujourd'hui, les pouvoirs publics auraient sans doute une approche différente. La gestion des contenus doit se faire en fonction de deux éléments : la loi et les conditions générales d'utilisation du service. Les lois sont supérieures aux conditions générales d'utilisation du service, car elles sont l'expression de la volonté générale. Nous avons participé à la mission lancée par le Président de la République et conduite par M. Loutrel. Nous avons largement ouvert Facebook, pour montrer ce que nous faisons en matière de modération et pour réfléchir collectivement à ce qui peut être amélioré. Le rapport de M. Loutrel et de son équipe rendu au mois de mai donne beaucoup de pistes en la matière. Par ailleurs, la proposition de loi de Mme la députée Laëtitia Avia visant à lutter contre la haine sur internet a été votée en première lecture à l'Assemblée nationale. Elle renforce la responsabilité des plateformes.

Le comité de supervision, proposé par Mark Zuckerberg, ne remet pas en cause ce principe. Ce dernier a utilisé l'expression de « cour suprême », pour illustrer l'outil qu'il veut mettre en place. Il vise à répondre à un problème régulièrement soulevé par les pouvoirs publics, parle milieu associatif et par les experts. Aujourd'hui, en cas de désaccord sur la suppression d'un contenu en vertu des conditions d'utilisation du service, la personne concernée peut faire appel de cette décision au sein de l'entreprise. Pour un certain nombre de cas - les plus compliqués -, c'est Mark Zuckerberg, seul, qui décide si le contenu respecte ou non les conditions générales et s'il doit être en conséquent supprimé. Nous proposons de transférer cette décision prise par un seul homme basé aux États-Unis à un groupe d'une quarantaine d'experts internationaux indépendants. Pour nous, cela représente objectivement un progrès. Nous avons organisé plusieurs dizaines de réunions dans de nombreux pays et nous avons notamment présenté cette solution à des experts et associations françaises. Nous avons des retours constructifs, certains très francs, nous permettant de réfléchir à un comité en capacité de fonctionner correctement. Il s'agit d'un outil propre à notre service, utilisé pour régler ses questions internes. Cette « cour suprême » ne viendra donc pas en conflit avec la Cour de cassation, le Conseil d'État, la Cour européenne des droits de l'homme ou la Cour de justice européenne.

Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.

Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.

Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.

Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.

Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.

Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.

Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.

En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....

Le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car c'est tant les données personnelles que les données stratégiques des entreprises qui peuvent ainsi être pillées. Or, Facebook détient des données très précises sur 36 millions d'utilisateurs réguliers français. Pouvez-vous nous assurer que Facebook ne permet ni ne permettra aux autorités américaines de prendre connaissance des données de nos concitoyens ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?

Et ayons bien en tête la hiérarchie des normes américaines. Le Quatrième Amendement de la Constitution des États-Unis a été écrit à la suite du traumatisme des colons américains - les Britanniques ayant le droit d'entrer dans les maisons sans préavis et sans aucun contrôle d'une autorité judiciaire. Le Code de procédure criminelle est donc placé sous l'égide du Quatrième Amendement, et il contient lui-même le Stored Communications Act, qui fixe le régime juridique d'une donnée stockée. C'est ce dernier texte que le Cloud Act est venu amender. Tout ceci correspond à peu près à notre code de procédure pénale ou à notre code pénal. Le Cloud Act intervient donc dans un cadre juridique très déterminé.

Le Cloud Act est une réponse à un problème juridique. Le Mutual legal assistance treaty, qui permet la coopération judiciaire internationale, a été rédigé et signé à une époque où le numérique n'existait pas. Aussi, le traitement des demandes de données entre les deux rives de l'Atlantique pouvait prendre des mois. Le Cloud Act vise à remédier à ces difficultés. Je tiens toutefois à préciser qu'il s'appliquera uniquement sur demandes judiciaires. Il ne s'agit nullement d'une porte dérobée permettant à tout à chacun d'avoir accès aux données. Le quatrième amendement de la Constitution américaine continue à s'appliquer, tout comme l'ensemble des garanties apportées par l'État de droit américain. Par ailleurs, l'Union européenne se dote d'un instrument comparable, avec le règlement e-evidence. Le Cloud Act prévoit également la signature d'accords spéciaux entre les États-Unis et les autorités d'un pays afin de faciliter les échanges bilatéraux de données. Le Royaume-Uni a signé un tel accord et des discussions sont en cours avec d'autres pays européens. Notre entreprise multinationale souhaite ne pas avoir à affronter de conflit de droit. Nous ne pouvons qu'encourager de tels processus internationaux, permettant de déployer une nouvelle architecture juridique pour régler ces problèmes. Ce n'est pas à nous de les régler. Nous sommes en effet constamment sollicités pour plus de collaboration, pour transmettre les données nécessaires aux enquêtes. Nous voulons appliquer ces dispositifs avec le plus grand sérieux sur la base de règles édictées par les États. De même, nous mettons un point d'honneur à respecter le RGPD, pour plusieurs raisons : d'une part, les sanctions sont très dissuasives, d'autre part, et au-delà de la sanction légale et politique, l'application du RGPD est essentielle pour conserver la confiance de l'utilisateur.

Nous sommes effectivement dans le cadre d'une procédure sous le contrôle d'une autorité judiciaire indépendante.

Concrètement, si un mandat est demandé, il appartient au juge indépendant de décider ou non de le mettre en oeuvre. Le Procureur demandant le « warrant » on mandat devra démontrer qu'il existe de sérieuses présomptions d'une infraction, justifiant que les données visées se trouvent sur le compte ou l'espace de stockage de la personne concernée. C'est sur ces bases que le juge se déterminera pour délivrer un mandat, et sur la base de ce mandat que nous répondrons, ou non, à la demande.

Le département de la Justice américaine a publié, en avril 2019, un Livre blanc comportant une série de recommandations et principes directeurs permettant d'éclairer la manière de mettre en oeuvre ce texte. Une des recommandations vise à demander aux Procureurs fédéraux de s'adresser d'abord directement à l'entreprise dont ils souhaitent obtenir les données, l'intermédiaire technique n'étant sollicité que subsidiairement, si l'enquête l'exige.

Je vais être très directe : peut-on encore faire confiance à Facebook, sachant que Mark Zuckerberg n'a pas dit la vérité devant le Congrès américain ? Un récent article du New York Times a démontré que Facebook était au courant de l'infiltration des Russes sur les réseaux dès 2014. Pourquoi est-ce que le comité exécutif, alerté, n'a pas pris toutes les mesures utiles pour faire remonter les informations vers les États concernés ? Quelles mesures ont été mises en place par Facebook afin d'empêcher une cyber-préemption du réseau social, qui doit rester partagé et neutre ?

En outre, pourquoi Mark Zuckerberg n'accepte-t-il jamais de se rendre aux convocations parlementaires ? Il n'a ainsi pas donné suite à l'invitation à participer à une audition à Londres lancée par 11 parlements. Or, vous pouvez mesurer l'inquiétude des parlementaires face à l'utilisation des données par Facebook dans l'affaire Cambridge Analytica.

Avec quelles entreprises d'agrégation travaillez-vous ? Une récente décision allemande interdit la collecte et l'agrégation des données pour atteindre un objectif particulier. Comment comptez-vous appliquer cette mesure, et retrouver ainsi la confiance de l'utilisateur ?

Enfin, aux États-Unis, des voix se font entendre - parlementaires, ingénieurs, Chris Hughes, le cofondateur de Facebook - plaidant pour une segmentation de l'entreprise. Nous savons qu'Instagram et Whatsapp sont corrélés à Facebook. Que répondez-vous à ces idées ? Ne serait-ce pas également une façon de retrouver la confiance de l'utilisateur ?

Qu'en est-il de la communication des avis juridiques internes de nos entreprises ?

Nous n'avons aucun intérêt à agir d'une façon qui nous ferait perdre la confiance des utilisateurs. De même qu'une compagnie aérienne n'est rien sans passager, Facebook n'est rien sans ses utilisateurs. La question n'est pas de savoir si nous avons fait des erreurs. Nous le savons ; des erreurs ont été faites. Mais des compagnies aériennes connaissent des tragédies aériennes et s'en remettent. Toutes les entreprises sont confrontées à des crises graves, entamant la confiance, et elles doivent y répondre.

Je ne commenterai pas l'article du New York Times ni vos commentaires sur le fait de savoir si Mark Zuckerberg aurait ou non menti.

En 2016, l'élection américaine a montré à quel point les outils que nous avions conçus pouvaient être détournés en période électorale. Qu'avons-nous fait depuis ? Nous avons mis en place des équipes qui travaillent à temps plein contre ces menaces. Nous détectons régulièrement des comportements de manipulation - en période électorale ou hors période électorale - et faisons tomber les pages concernées. Nous avons également rencontré les autorités françaises et mis en place un dispositif spécial pour les élections. Aux États-Unis, le recours aux publicités se fait dans un contexte différent. Nous nous sommes rendus compte lors de l'élection de 2016 que les publicités sur un réseau social pouvaient être utilisées pour cibler des personnes afin d'orienter leurs convictions politiques. Nous avons mis en place des mesures, permettant d'archiver ces publicités, de connaître l'identité des émetteurs ainsi que les montants dépensés. Nous visons un « phénomène vampire » : lorsque vous braquez la lumière sur quelque chose, vous espérez que le phénomène s'arrête. La loi sur la manipulation de l'information a repris ces dispositions pour la France et les a renforcées. Nous avons également pris nos responsabilités et mis en place les mêmes dispositions à l'échelle européenne, en l'absence d'ailleurs d'une réglementation européenne harmonisée en la matière. En tant qu'entreprise privée, nous avons donc dû prendre des mesures relevant sans doute de la sphère publique. Nous ne pouvons qu'inviter les pouvoirs publics européens à régler ces questions.

Face aux « fake news », nous avons également signé des partenariats avec des Fact Checkers - notamment Le Monde et l'AFP. Est-ce que cela empêchera ces phénomènes de se reproduire ? Personne ne peut le dire, mais nous faisons tout pour que cela n'arrive pas.

Vous regrettez le fait que Mark Zuckerberg ne viennent pas aux convocations parlementaires. Laissez-moi vous rappeler qu'il est venu s'exprimer devant le Congrès américain et le Parlement européen la même année.

C'est un excellent exemple, mais le Cloud Act n'est pas spécifiquement en cause sur ce point : c'est, de façon générale, le droit français qui est trop faible, indépendamment de l'évolution de nos pratiques numériques. En effet, les avis des juristes internes des entreprises en France ne bénéficient malheureusement pas du principe de confidentialité, alors que les juristes de la plupart des grands États en bénéficient - soit 18 ou 20 États de l'Union européenne il me semble. Indépendamment du Cloud Act, les documents que vous évoquez sont donc effectivement moins bien protégés en France.

Dans le projet de règlement européen « e-evidence » sur les preuves électroniques que j'évoquais, un article spécifique prévoit que les données protégées par une immunité ou un privilège fassent l'objet de garanties supplémentaires. Dans le droit européen, entre États membres de l'Union européenne, les entreprises françaises seront donc effectivement moins bien protégées que leurs concurrentes d'autres pays de l'Union européenne.

Le groupe des 11 parlements regroupait également des pays qui n'étaient ni les États-Unis, ni membres de l'Union européenne.

Cette question précise pourrait donc très bien être réglée par le Parlement français...

Mark Zuckerberg n'a fait aucune difficulté pour venir s'exprimer devant le Parlement européen, qui représente plus de 500 millions d'individus. Il a répondu aux questions posées par tous les groupes politiques et cette rencontre s'est faite dans un climat collaboratif. Je ne suis pas en capacité de vous dire comment il prend la décision de s'exprimer devant tel ou tel parlement. En revanche, pour l'Union européenne, il l'a fait devant le Parlement européen, et je suis sûr que personne dans cette salle ne remet en cause la légitimité de cette institution.

Vous m'interrogez sur une décision juridique allemande. Je ne dispose pas à cet instant des informations nécessaires pour répondre à cette question technique, car je suis en charge des affaires publiques de Facebook en France. En revanche, je reviendrai vers vous à la suite de cet entretien avec les éléments nécessaires.

Vous évoquez également l'opportunité de scinder Facebook en plusieurs entités. La réponse que je vais vous faire est proche de celle de Nick Clegg. Le droit de la concurrence a pour but d'éviter des abus notamment sur les prix, et permettre aux consommateurs d'avoir accès à des produits divers. Facebook ne doit pas être considéré comme un bloc monolithique. Nous ne sommes pas numéro un pour la messagerie, la vidéo ou encore en place de marché (market place). Lorsqu'on parle de concurrence, il faut regarder le périmètre des activités concernées.

En outre, le droit de la concurrence n'est pas conçu pour sanctionner le succès. Il y a deux milliards et demis d'utilisateurs de Facebook, un milliard d'Instagram et un milliard de Whatsapp. Même si les différents services étaient séparés, ils continueraient à former chacun d'entre eux, des gros blocs. Les problèmes seraient les mêmes. Le droit de la concurrence n'est pas la réponse à tous les problèmes de sûreté.

Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.

J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.

Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.

Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...

Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.

La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.

Une séparation des différents services pourrait créer une forme d'émulation et recréer des conditions de confiance. Votre réponse est toujours la même : en l'absence de réglementation, vous rejetez la faute sur le politique, pour les usages, vous renvoyez aux utilisateurs. C'est toujours sous la contrainte que vous prenez des mesures d'autorégulation pour tenter de retrouver la confiance des utilisateurs. Il faut agir de manière structurelle. Mon homologue britannique traite votre organisation de « gangster ». Je suis étonnée que vous ne travailliez pas avec votre homologue allemand, et que vous ne soyez pas au courant de cette régulation outre-rhin. Je suis frappée par cette absence de collaboration et d'approche stratégique au sein d'une grande entreprise internationale comme la vôtre. En outre, je vous ai adressé un courrier le 13 mars dernier, auquel je n'ai jamais eu de réponse.

Merci de ces éclaircissements, mais êtes-vous en mesure de fournir des éléments de preuve de cette manière de procéder ?

Je ne commenterai pas le terme de gangster que vous avez utilisé et vous en laisse la responsabilité. Je travaille en étroite collaboration avec mes homologues des autres pays européens. Cependant, je suis sous serment, et je ne veux pas apporter des propos inexacts ou incomplets. J'assume ne pas être au courant de tous les litiges que connaît Facebook en dehors du territoire français. Toutefois, je me suis engagé à vous apporter une réponse à la suite de cette audition.

Je suis désolé que vous n'ayez pas reçu de réponse à votre courrier du 13 mars dernier. Je vais me rapprocher de mes services.

Nos contrats contiennent de tels éléments, et en pratique nous nous y sommes déjà opposés, en portant l'affaire jusqu'à la Cour suprême !

Je préside l'office parlementaire des choix techniques et scientifiques, où nous venons d'examiner le rapport de notre collègue député Didier Baichère sur la reconnaissance faciale, qui est un des aspects de la souveraineté numérique.

Vous êtes l'un des principaux investisseurs dans les câbles sous-marins. Dans quel esprit Facebook intervient-il dans ce domaine ? Jusqu'à présent, comme tous les opérateurs du numérique, vous utilisiez les réseaux existants. Quel est l'objectif de cette très forte implication : est-ce dans le but de disposer d'un maillage plus fin ? S'agit-il d'un manque de confiance envers les opérateurs, d'une insuffisance des services fournis ?

Nos contrats comprennent effectivement une clause stipulant que « Microsoft ne fournit pas : a) un accès direct, indirect, général ou libre aux données clients ; b) les clés de chiffrement utilisées pour sécuriser les données clients ou la possibilité de forcer ce chiffrement ».

Nous reportons donc la responsabilité du dialogue entre l'autorité d'enquête et notre client sur leur relation bipartite. Nous ne souhaitons pas être au milieu de ce dialogue.

Le chiffrement constitue aussi une possibilité : chaque entreprise doit se protéger des cyberattaques, ce qui peut passer par le chiffrement, avec des clés créées pour accéder les données. À un certain niveau de chiffrement, le client est seul maître du déchiffrement et même Microsoft ne peut alors accéder aux données du client.

Il faut bien distinguer les données du client de l'infrastructure. Le Cloud computing offert par Microsoft correspond au stockage informatique, via une infrastructure - ou ferme de serveurs -de données qui appartiennent au client. C'est le client qui définit le degré de chiffrement de ses données...

Je répondrai également avec prudence. La compréhension que j'ai de cet investissement technologique est qu'il doit permettre - comme pour les investissements dans les centres de données - à notre service de fonctionner plus rapidement et au plus près de l'utilisateur. Nous avons signé un partenariat avec un opérateur - Orange il me semble - afin de déployer ces câbles. Toutefois, je ne connais pas les détails de ces programmes industriels.

C'est lui qui le conçoit ?

Pourrez-vous nous transmettre une note d'orientation ? Ce réseau sera-t-il ouvert aux autres opérateurs ?

Tout à fait, en fonction du service qu'il achète, il a la possibilité de prévoir le chiffrement de ses données, dont il détient lui-même les clés, via son responsable de la sécurité informatique. Dans ce cas, nous ne sommes pas en mesure de fournir une donnée déchiffrée - et nous nous engageons contractuellement à ne pas la fournir aux autorités.

Je reviendrai vers vous sur ces points. Il me semble que ce déploiement se fait de manière mutualisée avec d'autres opérateurs en raison des coûts importants.

Concernant ma question portant sur ce qui s'est passé en Allemagne ? Les faits sont-ils avérés ?

Facebook a fait retirer de ses pages L'origine du monde de Courbet. Le président de la République va se rendre bientôt à Ornans. Notre collègue député Hervé Novelli, président des amis de Courbet, a été particulièrement ému par cette censure, alors que Facebook est beaucoup plus laxiste pour d'autres sujets de contrebande.

C'est l'autorité en charge de la protection des données du Land de Hesse qui est à l'origine de ces questions, dont je ne connais pas les détails. Nous avons pour principe d'entrer en dialogue avec le régulateur qui nous interroge. Nous avons mis en oeuvre le RGPD, pas simplement en Europe, mais aussi dans le monde entier puisque l'Europe a ainsi fixé un standard international. Nous allons clarifier ces questions et résoudre la difficulté si elle existe.

Au-delà des textes mis en oeuvre, la protection des données personnelles est un sujet compliqué et assez nouveau : même si des normes existaient avant le RGPD, pendant longtemps, personne n'y portait une attention si conséquente. Nous nous sommes engagés très tôt sur la protection de la vie privée, nous étions ainsi les premiers à mettre en oeuvre les clauses contractuelles types de la Commission européenne dans les contrats de cloud qui nous semblaient tout à fait importants. Il est heureux que cette question de protection de la vie privée fasse désormais partie des questionnements quotidiens et de la culture économique.

Différents modèles économiques existent dans le numérique : le nôtre n'est pas fondé sur la publicité. Nous sommes plutôt dans des logiques de « B2B » et de « B2B2C », c'est-à-dire de partenariats et d'écosystèmes. Ces questions se trouvent au coeur de notre modèle et supposent que, par des preuves concrètes, nous puissions inspirer confiance à nos clients.

Laissez-moi tout d'abord vous indiquer que Facebook ne fait preuve d'aucun laxisme vis-à-vis de la contrebande.

Pour le Courbet, j'ai rencontré le plaignant. Cette affaire a été très médiatisée.

Vous considérez que votre modèle économique repose sur la vente de prestations et non du patrimoine ou des données de vos clients.

Au-delà de cette affaire, se pose la question de la censure et du centre de gravité des valeurs culturelles portées par Facebook.

Les données de nos clients restent leurs données. Nous n'avons pas vocation à nous les approprier et à en faire le commerce.

Certes nous évoluons dans une économie de données. De nombreuses entreprises traditionnelles vont devenir des entreprises digitales - dans le monde de l'automobile, de la santé ou même de l'agriculture. Un usage des données existe pour apporter des bénéfices - notre outil Skype dispose ainsi d'une fonctionnalité Skype translator de traduction simultanée, à travers l'apprentissage par la machine de données des langues utilisées. Il ne s'agit pas d'écouter les conversations, mais d'utiliser la donnée pour que la machine apprenne et sache traduire. C'est de l'exploitation de la donnée, non pas à des fins de commercialisation de vos données, mais pour améliorer nos produits, créer des fonctionnalités et les sécuriser.

Nous sommes effectivement dans un monde d'usage de la donnée, puisque l'intelligence artificielle suppose de la donnée. C'est une question de souveraineté numérique : pour que l'Europe et la France puissent avancer et accroître leur compétitivité dans cette révolution industrielle portée par le numérique, il faut que les entreprises accèdent à la donnée et utilisent la donnée. Les voitures connectées se développent sur la base de la donnée. Il existe toutefois une différence entre la collecte et l'utilisation de la donnée à des fins pertinentes pour l'utilisateur ou l'industriel qui développe des solutions et l'usage abusif des données.

Je tiens à le réaffirmer devant vous. Ce tableau est autorisé, et de manière générale, la peinture de nu est autorisée. Ce tableau est assez réaliste et il y a eu une erreur de modération sur ce tableau.

Est-ce que le critère de distinction n'est pas de savoir qui paie ? Le service que vous évoquez de traduction simultanée est bien payé par l'utilisateur, et quand il l'utilise.

Que représentent vos équipes de modération ?

Absolument. Notre modèle repose sur un accès pour l'utilisateur à l'infrastructure cloud, avec de l'hébergement pur, puis, selon le contrat souscrit, à des briques logicielles. Le client utilise alors ce qu'il souhaite dans le cloud : c'est ce qu'on appelle le « Software as a Service » - les logiciels Word et Excel de la suite Microsoft Office peuvent ainsi être offert au client dans ce cloud, et utilisés depuis l'ordinateur de notre client. Toutes nos briques logicielles, y compris de « machine learning », fonctionnent de la même manière.

Une distinction doit être faite également entre notre rôle de fourniture d'infrastructures et celui de l'intégrateur. Nous intervenons en amont, en vendant l'infrastructure et éventuellement les briques de logiciel, protégées par le droit d'auteur, tandis que l'intégrateur fait communiquer nos outils avec les outils du client final. Nous nous vivons plutôt comme un fournisseur de propriété intellectuelle.

On accuse souvent Facebook de promouvoir des valeurs puritaines américaines. Ce qui n'est pas autorisé est la nudité sur les photos, afin de lutter contre la pornographie, mais aussi pour protéger les adolescents victimes de revenge porn. Or, à partir du moment où toute photo de nudité est interdite, nous disposons d'une arme forte pour lutter contre ces pratiques. Certes, il y a la question de la photo d'art, et nous reconnaissons que cette difficulté n'est pas résolue.

Nous avons 30 000 modérateurs dans le monde. Nous avons investi des milliards d'euros dans ce domaine. Pour vous donner un ordre d'idée, les montants investis dans la modération sont similaires à la capitalisation de Facebook au moment de son entrée en bourse. Par ailleurs, lorsque vous être propriétaire de plusieurs réseaux sociaux, vous pouvez mutualiser cette question. Les modérateurs couvrent l'ensemble du réseau, 24 heures sur 24, dans une centaine de langues.

Ce sont 85 % des utilisateurs de Facebook qui ne sont pas américains. Ce serait donc une erreur de copier-coller le modèle de valeurs américain au reste du monde. La politique de contenus de Facebook met en balance la liberté et la responsabilité, la liberté et la sécurité.

Quel est le statut de l'intégrateur ?

Vos modérateurs sont-ils répartis partout dans le monde ?

Il a un statut commercial et c'est souvent un partenaire de Microsoft. Il contracte avec le client final pour brancher notre système sur celui du client. Nous avons un écosystème de 10 500 partenaires qui sont les premiers à vendre nos produits et services. Il peut même s'agir d'une filiale, comme Microsoft Services.

En effet. Le quotidien Le Monde a d'ailleurs récemment publié un article sur l'équipe située à Barcelone. Une autre équipe se trouve à Dublin. Je suis également impliqué dans des décisions de licéité de contenus. Enfin, nous avons des experts dédiés à certains contenus, notamment des personnes qui ne surveillent que les contenus à caractère terroriste.

En 2015, votre entreprise annonçait avoir débloqué une somme conséquente de 70 millions d'euros au service de la French Tech. Quel a été exactement le montant investi ? Dans quelles startups avez-vous investi ? Avez-vous pris des participations, majoritaires ou pas, dans ces entreprises ?

Qu'en est-il de l'interopérabilité entre réseaux sociaux ?

Nous avons effectivement annoncé en 2015 cette aide à l'écosystème français. Je ne connais pas le chiffre précis. Nous avons un modèle de support aux startups qui ne passe pas par des prises de participation. Nous les aidons à se développer, à grandir et à accéder à des réseaux de clients nationaux ou internationaux ou à nos partenaires. Avant même cette annonce de 2015, nous avions déjà des programmes autour des startups qui ont permis à certaines de devenir des géants mondiaux, comme Criteo ou Talentsoft.

Le RGPD donne le droit à l'utilisateur de pouvoir télécharger l'intégralité de ses données de manière simple et standardisée. C'est la première étape, la portabilité. Mais, une fois cette procédure faite, peut-il facilement mettre ses données ailleurs ? Une initiative industrielle, construite notamment avec Microsoft et Twitter, le Data Transfert project, est en cours. Elle vise à mettre en place les mécanismes techniques nécessaires pour transférer facilement les photos et données d'un site, d'un opérateur vers un autre. C'est également un moyen de disposer d'une concurrence plus forte entre réseaux sociaux. Toutefois, cette interopérabilité pose de nombreux problèmes, par exemple vis-à-vis de la vie privée. Ainsi, mes données Facebook peuvent impliquer d'autres personnes. Si ces dernières sont d'accord pour qu'un tel lien apparaisse sur Facebook, le sont-elles encore pour une utilisation en dehors de notre réseau ?

Comment vivez-vous votre relation avec Criteo ?

Vous avez récemment ouvert un laboratoire d'intelligence artificielle à Paris. Vous avez recruté de nombreux chercheurs venant de l'INRIA (institut national de recherche dédié aux sciences du numérique) ou du CNRS (Centre national de la recherche scientifique). Quelle rémunération moyenne annuelle leur versez-vous ?

Le programme IDEES avait été créé pour aider les startups à démarrer et Criteo comme Talentsoft ont intégré ce programme. Ces startups n'y restaient que trois ans au maximum et vivaient ensuite leur vie. C'était une forme d'accélérateur.

Ces mécanismes ne reposent pas sur des prises de participation.

Pour répondre à votre question sur les investissements, nous avons conclu un partenariat avec Station F et avons focalisé nos efforts d'aide aux startups sur la question de l'intelligence artificielle. Les startups que nous aidons dans le cadre de Station F travaillent toutes dans le domaine de l'intelligence artificielle, principal vecteur de développement de l'économie numérique.

À l'origine de ces programmes se trouve notre refus du discours selon lequel la France aurait perdu la bataille du logiciel et ne pourrait se développer dans ce domaine, coincée entre la Chine et les États-Unis. Nous considérons au contraire que la France est une terre du logiciel : les succès de la Silicon Valley reposent souvent sur un ingénieur français et Microsoft compte de nombreux ingénieurs français. Il existe en effet une école informatique française et une école mathématique française très puissantes. L'INRIA a une réputation mondiale de ce point de vue et nous avons un partenariat avec elle depuis 2006. Nous nous étions battus contre cette idée que nous aurions perdu cette bataille et nous voulions démontrer qu'il existait un écosystème et les talents en France. Je pense que ces programmes ont pu permettre l'éclosion de certains succès.

La France et l'Europe n'ont pas perdu la bataille de l'intelligence artificielle. L'Europe porte des valeurs qui peuvent clairement cadrer un certain nombre d'évolutions sur le respect des droits et libertés, comme avec le RGPD. Une bonne partie de la révolution industrielle repose non pas simplement sur l'économie numérique mais sur le développement de nos grandes entreprises et PME qui peuvent, grâce au numérique, devenir des acteurs de cette économie.

Nous avons développé des actions pour l'intelligence artificielle en France, avec une vingtaine d'écoles à horizon 2021, et avec des partenaires comme Orange ou Capgemini. Dans le cadre du service civique, nous prévoyons de sensibiliser un million de jeunes au numérique. De nombreuses actions peuvent être menées pour ne pas perdre cette bataille du numérique.

Je ne suis pas informé du montant des rémunérations versées. En revanche, il est certain qu'il faut être extrêmement attractif dans des domaines aussi compétitifs.

Quel niveau de formation visez-vous dans ces écoles ?

Votre société a mis à profit un internet libre. La faiblesse des règles d'organisation a permis votre expansion. Ce n'est pas un reproche mais un constat. Aujourd'hui, on risque de perdre cette liberté, et les règles d'autorégulation pourraient régir un internet qui ne serait plus libre et vous placeraient en situation de régulateur absolu de tout l'internet. Quelles mesures prenez-vous pour préserver cette liberté dont nous avons besoin ?

Les écoles sont sans prérequis. La première est celle d'Issy-les-Moulineaux, avec 24 étudiants. La scolarité comprend 7 mois de scolarité et 12 mois en alternance. Tous les jeunes ont trouvé un emploi, sauf un... qui a créé sa startup. Nous souhaitons implanter des écoles sur les territoires et avons déjà des écoles à Nantes, Castelnau-le-Lez, Biarritz, Lyon... L'objectif est de former des jeunes avec des partenaires, modèle qui peut être dupliqué dans d'autres pays d'Europe.

La nouvelle Présidente de la Commission européenne parlait d'un triplement du programme Erasmus + et des pistes méritent effectivement d'être explorées, notamment pour l'apprentissage, mais aussi pour les salariés déjà en poste dont les métiers vont se transformer. La souveraineté passe aussi par l'importance accordée à la question de la formation qui doit être prioritaire. La transformation digitale constitue une chance pour nos entreprises.

Internet a connu une phase d'intense expansion. À l'époque, j'utilisais Netscape sur Windows 98 pour aller sur Yahoo. Cette période est révolue, et de nouveaux produits apparaissent constamment. D'ailleurs, si vous demandez aux jeunes aujourd'hui quel réseau ils utilisent de Facebook en Tik tok, ce dernier a leur préférence. On constate une diversification des usages, notamment chez les jeunes. Il semble que nous arrivons aujourd'hui dans une phase plus institutionnelle, plus régulée de l'internet. Est-ce que cela ne va pas conduire à installer les acteurs déjà présents ?. C'est toute la problématique des barrières à l'entrée d'un secteur.

Il existe ici une contradiction entre les demandes, d'une part, de conserver un internet libre, et d'autre part, de faire preuve de plus de responsabilité éthique et légale. Dites-nous l'équilibre que vous souhaitez, les responsabilités que vous voulez nous transférer, et nous le ferons sous la responsabilité d'autorités comme le CSA.

En outre, lorsque vous nous demandez de décider de ce qui est légal ou non en 24 heures, c'est un petit transfert de souveraineté. On nous demande de faire quelque chose qui est plutôt du ressort de l'État. Mais dans le même temps, on nous accuse d'avoir trop de pouvoir. La seule façon de sortir de cette contradiction serait un cadre européen. Sinon, nous serons toujours dans l'excès, d'un côté ou de l'autre. De même, face aux barrières à l'entrée, on peut imaginer des règles plus souples pour les start-ups. Attention toutefois à la problématique du franchissement des seuils !

Vous détenez un moteur de recherche qui fonctionne, lui, très classiquement dans ce secteur, sur le modèle de l'économie de l'attention, avec des publicités ciblées et l'exploitation des données personnelles. Pensez-vous qu'avec une confiance accrue à l'égard des internautes, il serait possible de se passer de la publicité ciblée pour concevoir une logique de moteur de recherche différente ?

Je reviens au projet Libra. Pourquoi devrions-nous vous faire confiance pour la protection nos données financières eu égard aux échecs que vous avez déjà rencontrés dans ce domaine ? M. Marcus a annoncé qu'il n'y aurait pas, « mais pour le moment seulement », de transfert de données entre le Libra et Facebook, sauf consentement de l'usager. Peut-on avoir des garanties sur ce point ?

Êtes-vous favorable à une supervision publique des plateformes, par les États ou des organisations internationales comme l'Union européenne ?

Nous avons conclu un partenariat avec Qwant, moteur de recherche français dont l'approche est celle que vous évoquez. Nous lui fournissons des capacités technologiques - puisque nous lui permettons d'être sur notre Plateforme Azure pour renforcer la capacité de calcul.

Plusieurs modèles existent, qui répondent aux attentes diverses des citoyens. L'intérêt du positionnement de Qwant est de montrer qu'il existe des alternatives. Imaginer d'autres façons de pratiquer la recherche sur Internet constitue une piste intéressante. C'est un écosystème en évolution permanente, la compétition est très forte et il convient de répondre aux aspirations des citoyens.

Nous ne sommes pas naïfs. On sait que la pente est raide en matière de confiance, et qu'une fois perdue, il est très difficile de la regagner. De manière générale, la confiance dans les institutions financières est assez faible. Facebook est conscient de l'image générale de ce secteur. David Marcus a présidé Paypal, il a une vraie légitimité en la matière et il a conscience des difficultés.

Il faut changer la méthode. Si vous lancez un produit, puis que vous en discutez après avec les autorités, cela pose problème. Cela a pourtant été la méthode la plus fréquemment utilisée par la Silicon Valley. Je ne remets pas en cause cette période, qui a été caractérisé par un foisonnement d'innovations. Dans le cas présent, nous proposons un renversement de la méthode de travail : cet outil ne sera pas lancé tant que nous n'aurons pas l'accord pour le faire. En matière financière, les barrières à l'entrée sont importantes, et à juste titre, car il y a un risque systémique. On ne pourra pas nous croire sur parole. Aussi, le lancement du Libra se fera sous les auspices de ceux qui ont la légitimité pour nous en donner l'autorisation et pour contrôler ce que nous ferons. C'est seulement dans ces conditions que la confiance pourra s'installer.

Vous m'interrogez sur les données. Mon banquier sait tout de moi. Il sait où je suis allé, à quelle heure, ce que j'ai acheté. Sur les applications bancaires, il est possible de classer ces dépenses par catégorie. Le RGPD nous indique comment développer de nouveaux services. Si nous avons le consentement des usagers, nous pouvons le faire. Le RGPD ne dit à aucun moment que l'on ne peut plus rien faire ! Ce texte s'inscrit dans une logique de responsabilisation et de sanction. On ne peut rien faire sans l'aval du régulateur. Nous n'avons pas le choix, nous devons demander l'autorisation avant d'agir. D'ailleurs, je ne peux qu'inciter les pouvoirs publics à muscler les régulateurs, à faire en sorte qu'ils soient vraiment en concurrence avec nos entreprises pour attirer les nouveaux talents et recruter les meilleurs. En outre, les serviteurs de l'État peuvent se nourrir d'une expérience du privé.

Nous sommes favorables à une supervision des plateformes. Il faut une régulation complète sur des domaines qui touchent à la vie démocratique telles que les publicités politiques, mais aussi le contrôle des contenus, le transfert de données etc. Faites-le ! Nous nous inscrivons dans une logique de proposition et de dialogue.

L'univers numérique a-t-il réfléchi à la possibilité que les utilisateurs paient pour un moteur de recherche ? La gratuité est attractive pour le consommateur, mais comprend effectivement des contreparties. Les citoyens, eux, ont peut-être envie de payer pour accéder à un service avec une économie différente et un classement peut-être plus neutre, ou en tous cas moins tributaire des logiques à l'oeuvre chez les autres moteurs de recherches. Un tel modèle vaut pour certaines encyclopédies en ligne. Ce modèle a-t-il du sens ?

Dans nos réflexions sur la loi contre la manipulation de l'information, nous nous sommes interrogés sur la rentabilité de la diffusion des fausses nouvelles. Le clic est rémunérateur. Les plateformes bénéficient d'un régime de non-responsabilité et de non-redevabilité. Que pensez-vous de la proposition qui est faite de rouvrir la directive e-commerce, qui n'est plus adaptée ? Cela permettrait de réfléchir à un nouveau statut pour les plateformes, entre hébergeurs et éditeurs, afin de restaurer la confiance et la redevabilité.

Votre question ouvre de nombreux champs. Le numérique reflète nos sociétés. Il existe des modèles « freemium » avec un accès d'abord gratuit puis un paiement pour un service d'une autre nature, ou offrant des fonctionnalités complémentaires ou un contenu plus riche. Ce modèle s'impose d'ailleurs progressivement dans la presse avec une approche différenciée.

Au cours des dernières années, la montée en puissance de la dimension citoyenne me paraît aussi très forte : pendant longtemps, les avantages immédiats de la gratuité ont été observés. Pour différentes raisons, liées notamment à la protection des données personnelles ou au pluralisme, les aspirations citoyennes ont ensuite pris de l'importance.

La cybersécurité n'est plus un sujet de spécialistes, d'entreprises ou d'États. Avec la place de la presse ou la lutte contre les fake news, ces questions ont pris une autre dimension. Dans le cadre du Forum de Paris de la paix - qui réfléchit à de nouveaux modes de gouvernance - ceci a abouti à la signature par 66 États, 347 entreprises et 130 ONG et think tank d'un accord pour travailler ensemble sur ces sujets, avec une approche multipartite. La souveraineté des États demeure, mais la manière de mettre en oeuvre les attributs de la souveraineté évolue, ainsi que la manière de garantir les droits dans un monde numérique. Le multilatéralisme - en crise à certains égards, peut être complété et renforcé par cette approche.

D'une certaine manière, la souveraineté numérique, c'est la « souveraineté augmentée » grâce au numérique, puisque son coeur - la garantie des droits - peut être renforcé par le numérique et la participation des citoyens.

La loi pour la lutte contre la manipulation de l'information est nécessaire pour combler les manques identifiés par les pouvoirs publics. Le CSA aura un rôle de supervision de nos obligations de moyens de lutte contre la fausse information. Ce travail a déjà commencé. Ce modèle a vocation à s'étendre à d'autres pays et d'autres sujets.

La citoyenneté repose quand même sur l'impôt qui donne le droit de participer à la collectivité et de la faire fonctionner...

Pourquoi Microsoft n'a-t-il pas, il me semble, réussi dans le système d'exploitation des smartphones alors que ce type de terminal est de plus en plus décisif aujourd'hui ?

Notre commission a découvert que vous étiez un très gros investisseur dans les câbles sous-marins : quel est votre objectif en la matière ?

Le Sénat a rejeté cette loi car les solutions proposées ne nous convenaient pas.

Sur la question relative au système d'exploitation des mobiles, d'autres acteurs ont pris des parts de marché, et la compétition est très vive. Le choix que nous avons effectué, avec des applications fonctionnant sur tous les systèmes d'exploitation, est un mode très interopérable et compatible avec les développements open source. Nous sommes un des principaux contributeurs de Linux et avons acquis GitHub, principale plateforme de développement pour les développeurs open source. La plateforme Azure fonctionne avec de nombreux langages open source.. Face à cette innovation permanente, nous avons su trouver d'autres modèles et une place différente dans un univers conçu autour du cloud et de l'accès à différentes applications, sur les différentes plateformes. L'un des enjeux consiste à donner accès à la puissance de calcul qui permet le développement des applications propres aux entreprises. Le cloud n'est pas seulement du stockage, mais c'est aussi du « Software as a Service » et une « plateforme as a Service », permettant de développer des applications à moindre coûts.

Concernant les câbles sous-marins, la question des infrastructures est aujourd'hui évidemment essentielle. Nous disposons de datacenters partout dans le monde - avec notamment trois datacenters en France - et la question de la circulation et de l'accès à ces données est devenue essentielle.

Je pense que le Sénat a manqué une opportunité d'améliorer ce texte. Votre institution a toujours été protectrice des libertés publiques. J'ai ainsi toute confiance dans le Sénat pour apporter sa contribution. La directive e-commerce a déjà été remodelée par d'autres textes : la directive copyright, la directive service média audiovisuel. Il faut une approche plus holistique, reposer la question du statut. Je trouve la démarche de la mission Loutrel très intéressante sur ces sujets.

Vous n'en aviez pas ressenti le besoin jusque-là ?

Je vous remercie Monsieur pour les éléments de clarification que vous nous avez apportés.

La réunion est close à 10h45.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Il s'agit de répondre à notre plan de charge avec la perspective d'offrir le meilleur service. Nous fonctionnons beaucoup avec des partenariats en fonction des caractéristiques des câbles nécessaires. Pour plus de précisions techniques, je vous transmettrai la réponse par écrit.

Les opérateurs télécom ont le sentiment, peut-être caricatural, de construire des autoroutes sur lesquelles vous circulez plus ou moins gratuitement.... Or, vous vous mettez maintenant à construire vous-mêmes ! C'est honorable mais aurez-vous les mêmes contraintes ?

Notre commission d'enquête poursuit ses travaux avec l'audition des représentants de Microsoft. Nous recevons Monsieur Marc Mossé, directeur juridique et des affaires publiques de Microsoft Europe, et Monsieur Mathieu Coulaud, directeur juridique de Microsoft France.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Marc Mossé et Mathieu Coulaud prêtent serment.

Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Nous connaissons tous les activités de Microsoft, du moteur de recherche au cloud en passant par les logiciels de bureautique, la messagerie électronique... C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser.

Je commencerai par deux questions relatives aux données. Le Cloud Act permet aux autorités américaines d'accéder aux données que vous stockez, quel que soit le lieu de stockage ce qui inquiète légitimement les pouvoirs publics français puisque tant les données personnelles que les données stratégiques des entreprises peuvent ainsi être pillées. Or, de grands groupes vous confient leurs données, en utilisant vos solutions de cloud, à l'image de la SNCF, ou nouent des partenariats commerciaux avec vous comme Thalès ou Qwant.

Pouvez-vous nous assurer que Microsoft ou ses filiales ne permettent pas - et ne permettront pas - aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, avec le RGPD ?

Microsoft a récemment changé de discours sur la protection de la vie privée en faisant de ce sujet un de ses axes stratégiques. Une autorité locale allemande vient pourtant de constater une infraction au RGPD la semaine dernière puisque l'utilisation du logiciel bureautique Microsoft Office 365 dans les écoles du Land de Hesse a été déclarée illégale au regard de la loi sur la protection des données. Les données personnelles des enfants seraient stockées dans le cloud de Microsoft de façon peu transparente et peu accessible aux autorités américaines. Devons-nous croire les paroles ou les actes ? Cette question est très importante, car Microsoft est également prestataire pour le ministère de l'Éducation nationale en France.

Ce sujet est majeur. Je me réjouis que soient présents ce jour un responsable national et un responsable Europe, ce qui permet d'avoir une vision globale de la question.

Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition de M. Anton'Maria Battesti, responsable des affaires publiques de Facebook France. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Monsieur Battesti, je vous invite donc à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, M Anton'Maria Battesti prête serment.

Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.

Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.

Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.

Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.

Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.

Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.

Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.

En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....

Nous connaissons tous les activités de Facebook, réseau social rassemblant près de deux milliards et demis de profils, propriétaire de Whatsapp et d'Instagram, qui tend à assumer de plus en plus de fonctions régaliennes, telles que la prévention en cas de crise avec la fonction Safety Check ou la fourniture d'identité numérique avec Facebook Connect.

C'est pourquoi je vous invite à répondre avant tout aux questions que nous avons à vous poser. Je commencerai par une question d'ordre très général : l'entreprise Facebook veut-elle supplanter les États ?

Je préciserai cette question par les deux exemples les plus récents. Facebook veut s'arroger le pouvoir de battre monnaie en créant le Libra. Quels sont vos arguments pour convaincre les États que le projet ne pose aucun problème au regard de la vie privée, du blanchiment d'argent, de la protection des consommateurs et de la stabilité financière ?

Alors que le Gouvernement français entend légiférer sur la régulation des contenus haineux, Facebook a annoncé sa volonté de mettre en place une « cour suprême indépendante », chargée d'arbitrer les litiges relatifs à la diffusion de contenus pouvant être considérés comme violents ou haineux. Pouvez-vous nous préciser l'articulation de cette solution avec les lois qui pourraient être votées au niveau national ?

Enfin, Mark Zuckerberg a récemment affirmé qu'« il est temps d'actualiser les règles qui régissent Internet afin de définir clairement les responsabilités des personnes, des entreprises et des gouvernements ». Concrètement, quelles solutions l'entreprise Facebook préconise-t-elle ?

Et ayons bien en tête la hiérarchie des normes américaines. Le Quatrième Amendement de la Constitution des États-Unis a été écrit à la suite du traumatisme des colons américains - les Britanniques ayant le droit d'entrer dans les maisons sans préavis et sans aucun contrôle d'une autorité judiciaire. Le Code de procédure criminelle est donc placé sous l'égide du Quatrième Amendement, et il contient lui-même le Stored Communications Act, qui fixe le régime juridique d'une donnée stockée. C'est ce dernier texte que le Cloud Act est venu amender. Tout ceci correspond à peu près à notre code de procédure pénale ou à notre code pénal. Le Cloud Act intervient donc dans un cadre juridique très déterminé.

Avant de répondre à vos questions, permettez-moi de vous présenter rapidement l'entreprise Facebook. En France, environ 36 millions d'utilisateurs utilisent Facebook au moins une fois par mois ; Facebook dispose de 200 salariés en France. Enfin, nous avons réalisé dans ce pays un investissement stratégique via l'ouverture, il y a quelques années, d'un laboratoire d'intelligence artificielle. Il s'agit du seul laboratoire que l'entreprise a ouvert en dehors des États-Unis. Celui-ci est d'ailleurs bien intégré dans l'écosystème français de la recherche, et travaille notamment avec station F. En outre, nous investissons dans la formation ainsi que dans diverses causes sociétales, via la fondation compétence numérique ou à notre fondation de civisme en ligne à laquelle nous avons consacré un million d'euros.

En aucun cas, Facebook n'essaye de supplanter les États. Facebook est un réseau social sur lequel les personnes viennent échanger avec leur famille, défendre une cause qui leur tient à coeur, notamment en s'associant au sein de groupes. Notre réseau est multifacette et a vocation à présenter de nouveaux produits : le market place, le développement de la messagerie. Notre entreprise fournit un service. Certes elle s'est fortement développée dernièrement - nous avons acquis récemment Whatsapp et Instagram -, mais cela reste une entreprise, internationale.

Pour autant, une entreprise n'a-t-elle pas vocation à avoir une responsabilité sociétale ? Vous avez présenté l'outil « Safety check » comme un élément régalien. Je n'irai pas jusque-là. En tout cas, il rend service à la société. Il a été activé pour la première fois en France lors des attentats du Bataclan en 2015. Il existe aujourd'hui un consensus pour dire que nous avons bien fait, car il a permis à beaucoup de personnes se signaler en sécurité dans une situation de crise. D'ailleurs, cet outil est tellement intéressant que l'État est venu nous voir il y a un an, lorsque le ministère de l'Intérieur a arrêté sa propre solution d'alerte - le système d'alerte et d'information des populations (SAIP). Nous avons désormais un partenariat, afin de développer une synergie pragmatique et intelligente entre un service privé et les services de l'État, pour rendre un service à la population. Nous l'avons fait sans hésitation, et je tiens à dire que cela ne coûte pas un euro au contribuable. Il me paraît important de le souligner, car, selon les informations que reçues du ministère de l'Intérieur, lorsque la solution de l'envoi d'un SMS était envisagée, les opérateurs souhaitaient faire payer ce type de solution. Mais, nous avons pris nos responsabilités et nous le faisons de la manière la plus directe possible.

Vous évoquez l'identité numérique. Il ne s'agit pas dans le cas présent de mettre en place une identité officielle comme peut le faire France connect, mais de proposer un service Dans les faits, il est possible d'utiliser ses identifiants Facebook pour se connecter à d'autres sites, sans avoir à recréer un profil. Nous avons considérablement augmenté les contrôles afin de permettre aux utilisateurs de ne pas partager les données qu'ils ne souhaitent pas partager avec des tiers. Des audits sont également conduits à posteriori. En outre, si vous ne vous êtes pas connectés à un site utilisant vos identifiants Facebook pendant un certain temps - 100 jours il me semble - ce site ne peut plus user de vos données.

En 30 ans, internet a énormément changé. Aujourd'hui, on peut en quelques secondes envoyer à quiconque dans le monde des données, des fichiers, des photos. Ce constat a conduit à nos réflexions sur le Libra. Comment se fait-il qu'avec toute cette technologie, il y ait autant de difficultés pour transférer de l'argent d'un point A vers un point B à l'heure de l'économie et des services mondialisés ? Aujourd'hui, 1,7 milliard de personnes dans le monde sont exclues du système bancaire et sont dépendantes de transferts d'argent de leurs familles d'un pays vers un autre. Elles ont également besoin d'un accès au capital et d'un service monétaire. En utilisant la technologie blockchain, ainsi que d'autres technologies, nous avons annoncé la mise en place de cet outil en partenariat avec 27 autres membres très divers - UBER, Visa, Iliad - dont le nombre est appelé à augmenter. Je tiens immédiatement à préciser qu'il ne s'agit pas de la monnaie de Facebook mais de cette organisation regroupant plusieurs entreprises.

L'association Libra est une association indépendante au sein de laquelle Facebook dispose d'une voix parmi les autres. Elle est basée en Suisse et sera supervisée depuis ce pays. M. Marcus en a expliqué les raisons. Le Libra sera assis sur une « réserve libra », composée de plusieurs devises : le dollar, l'euro, le yen et la livre sterling, des monnaies étatiques. Je tiens à le préciser : sans monnaie étatique, il ne peut pas y avoir de Libra. Cet outil ne représente en rien une substitution de l'État, il ne fonctionnera qu'au sein du réseau Libra, mais il apportera de vraies facilités à des millions de personnes dans le monde. Vous m'interrogez sur la sécurité de cette nouvelle monnaie. Aujourd'hui, l'argent noir représente un réel problème. La cryptomonnaie n'est pas quelque chose de nouveau. Le bitcoin existe depuis plusieurs années. Il est utilisé sur le darkweb, à des fins diverses et variées, pour des bonnes ou de mauvaises raisons. Le Libra est une opportunité de disposer d'un service porté par de grandes entreprises connues et qui utilise la blockchain, une technologie traçable et transparente, contrairement à des paiements en cash ou via d'autres types de services numériques intraçables.

Il n'y aura pas de fusion des bases de données entre Facebook et Libra. Je tiens par ailleurs à souligner que nous lançons cet outil en toute transparence. Nous allons rencontrer les régulateurs, les gouverneurs des banques centrales, les entreprises, les gouvernements. Le G7 s'est saisi de cette question. Il en hors de question d'instaurer cette monnaie sauvagement, ou avant d'avoir obtenu les autorisations nécessaires. En effet, nous entrons dans un secteur où la culture de la régulation est très forte, et nous n'avons aucune raison de ne pas suivre cette régulation. Ce que nous proposons est l'émergence d'un service de cryptomonnaie stable, globale, portée par des entreprises connues, et qui peut apporter un vrai bénéfice.

Vous avez évoqué, Monsieur le Président, la tribune de Mark Zuckerberg. Si nous devions refaire les règles de l'internet aujourd'hui, les pouvoirs publics auraient sans doute une approche différente. La gestion des contenus doit se faire en fonction de deux éléments : la loi et les conditions générales d'utilisation du service. Les lois sont supérieures aux conditions générales d'utilisation du service, car elles sont l'expression de la volonté générale. Nous avons participé à la mission lancée par le Président de la République et conduite par M. Loutrel. Nous avons largement ouvert Facebook, pour montrer ce que nous faisons en matière de modération et pour réfléchir collectivement à ce qui peut être amélioré. Le rapport de M. Loutrel et de son équipe rendu au mois de mai donne beaucoup de pistes en la matière. Par ailleurs, la proposition de loi de Mme la députée Laëtitia Avia visant à lutter contre la haine sur internet a été votée en première lecture à l'Assemblée nationale. Elle renforce la responsabilité des plateformes.

Le comité de supervision, proposé par Mark Zuckerberg, ne remet pas en cause ce principe. Ce dernier a utilisé l'expression de « cour suprême », pour illustrer l'outil qu'il veut mettre en place. Il vise à répondre à un problème régulièrement soulevé par les pouvoirs publics, parle milieu associatif et par les experts. Aujourd'hui, en cas de désaccord sur la suppression d'un contenu en vertu des conditions d'utilisation du service, la personne concernée peut faire appel de cette décision au sein de l'entreprise. Pour un certain nombre de cas - les plus compliqués -, c'est Mark Zuckerberg, seul, qui décide si le contenu respecte ou non les conditions générales et s'il doit être en conséquent supprimé. Nous proposons de transférer cette décision prise par un seul homme basé aux États-Unis à un groupe d'une quarantaine d'experts internationaux indépendants. Pour nous, cela représente objectivement un progrès. Nous avons organisé plusieurs dizaines de réunions dans de nombreux pays et nous avons notamment présenté cette solution à des experts et associations françaises. Nous avons des retours constructifs, certains très francs, nous permettant de réfléchir à un comité en capacité de fonctionner correctement. Il s'agit d'un outil propre à notre service, utilisé pour régler ses questions internes. Cette « cour suprême » ne viendra donc pas en conflit avec la Cour de cassation, le Conseil d'État, la Cour européenne des droits de l'homme ou la Cour de justice européenne.

Nous sommes effectivement dans le cadre d'une procédure sous le contrôle d'une autorité judiciaire indépendante.

Concrètement, si un mandat est demandé, il appartient au juge indépendant de décider ou non de le mettre en oeuvre. Le Procureur demandant le « warrant » on mandat devra démontrer qu'il existe de sérieuses présomptions d'une infraction, justifiant que les données visées se trouvent sur le compte ou l'espace de stockage de la personne concernée. C'est sur ces bases que le juge se déterminera pour délivrer un mandat, et sur la base de ce mandat que nous répondrons, ou non, à la demande.

Le département de la Justice américaine a publié, en avril 2019, un Livre blanc comportant une série de recommandations et principes directeurs permettant d'éclairer la manière de mettre en oeuvre ce texte. Une des recommandations vise à demander aux Procureurs fédéraux de s'adresser d'abord directement à l'entreprise dont ils souhaitent obtenir les données, l'intermédiaire technique n'étant sollicité que subsidiairement, si l'enquête l'exige.

Le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car c'est tant les données personnelles que les données stratégiques des entreprises qui peuvent ainsi être pillées. Or, Facebook détient des données très précises sur 36 millions d'utilisateurs réguliers français. Pouvez-vous nous assurer que Facebook ne permet ni ne permettra aux autorités américaines de prendre connaissance des données de nos concitoyens ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?

Qu'en est-il de la communication des avis juridiques internes de nos entreprises ?

Le Cloud Act est une réponse à un problème juridique. Le Mutual legal assistance treaty, qui permet la coopération judiciaire internationale, a été rédigé et signé à une époque où le numérique n'existait pas. Aussi, le traitement des demandes de données entre les deux rives de l'Atlantique pouvait prendre des mois. Le Cloud Act vise à remédier à ces difficultés. Je tiens toutefois à préciser qu'il s'appliquera uniquement sur demandes judiciaires. Il ne s'agit nullement d'une porte dérobée permettant à tout à chacun d'avoir accès aux données. Le quatrième amendement de la Constitution américaine continue à s'appliquer, tout comme l'ensemble des garanties apportées par l'État de droit américain. Par ailleurs, l'Union européenne se dote d'un instrument comparable, avec le règlement e-evidence. Le Cloud Act prévoit également la signature d'accords spéciaux entre les États-Unis et les autorités d'un pays afin de faciliter les échanges bilatéraux de données. Le Royaume-Uni a signé un tel accord et des discussions sont en cours avec d'autres pays européens. Notre entreprise multinationale souhaite ne pas avoir à affronter de conflit de droit. Nous ne pouvons qu'encourager de tels processus internationaux, permettant de déployer une nouvelle architecture juridique pour régler ces problèmes. Ce n'est pas à nous de les régler. Nous sommes en effet constamment sollicités pour plus de collaboration, pour transmettre les données nécessaires aux enquêtes. Nous voulons appliquer ces dispositifs avec le plus grand sérieux sur la base de règles édictées par les États. De même, nous mettons un point d'honneur à respecter le RGPD, pour plusieurs raisons : d'une part, les sanctions sont très dissuasives, d'autre part, et au-delà de la sanction légale et politique, l'application du RGPD est essentielle pour conserver la confiance de l'utilisateur.

C'est un excellent exemple, mais le Cloud Act n'est pas spécifiquement en cause sur ce point : c'est, de façon générale, le droit français qui est trop faible, indépendamment de l'évolution de nos pratiques numériques. En effet, les avis des juristes internes des entreprises en France ne bénéficient malheureusement pas du principe de confidentialité, alors que les juristes de la plupart des grands États en bénéficient - soit 18 ou 20 États de l'Union européenne il me semble. Indépendamment du Cloud Act, les documents que vous évoquez sont donc effectivement moins bien protégés en France.

Dans le projet de règlement européen « e-evidence » sur les preuves électroniques que j'évoquais, un article spécifique prévoit que les données protégées par une immunité ou un privilège fassent l'objet de garanties supplémentaires. Dans le droit européen, entre États membres de l'Union européenne, les entreprises françaises seront donc effectivement moins bien protégées que leurs concurrentes d'autres pays de l'Union européenne.

Je vais être très directe : peut-on encore faire confiance à Facebook, sachant que Mark Zuckerberg n'a pas dit la vérité devant le Congrès américain ? Un récent article du New York Times a démontré que Facebook était au courant de l'infiltration des Russes sur les réseaux dès 2014. Pourquoi est-ce que le comité exécutif, alerté, n'a pas pris toutes les mesures utiles pour faire remonter les informations vers les États concernés ? Quelles mesures ont été mises en place par Facebook afin d'empêcher une cyber-préemption du réseau social, qui doit rester partagé et neutre ?

En outre, pourquoi Mark Zuckerberg n'accepte-t-il jamais de se rendre aux convocations parlementaires ? Il n'a ainsi pas donné suite à l'invitation à participer à une audition à Londres lancée par 11 parlements. Or, vous pouvez mesurer l'inquiétude des parlementaires face à l'utilisation des données par Facebook dans l'affaire Cambridge Analytica.

Avec quelles entreprises d'agrégation travaillez-vous ? Une récente décision allemande interdit la collecte et l'agrégation des données pour atteindre un objectif particulier. Comment comptez-vous appliquer cette mesure, et retrouver ainsi la confiance de l'utilisateur ?

Enfin, aux États-Unis, des voix se font entendre - parlementaires, ingénieurs, Chris Hughes, le cofondateur de Facebook - plaidant pour une segmentation de l'entreprise. Nous savons qu'Instagram et Whatsapp sont corrélés à Facebook. Que répondez-vous à ces idées ? Ne serait-ce pas également une façon de retrouver la confiance de l'utilisateur ?

Cette question précise pourrait donc très bien être réglée par le Parlement français...

Nous n'avons aucun intérêt à agir d'une façon qui nous ferait perdre la confiance des utilisateurs. De même qu'une compagnie aérienne n'est rien sans passager, Facebook n'est rien sans ses utilisateurs. La question n'est pas de savoir si nous avons fait des erreurs. Nous le savons ; des erreurs ont été faites. Mais des compagnies aériennes connaissent des tragédies aériennes et s'en remettent. Toutes les entreprises sont confrontées à des crises graves, entamant la confiance, et elles doivent y répondre.

Je ne commenterai pas l'article du New York Times ni vos commentaires sur le fait de savoir si Mark Zuckerberg aurait ou non menti.

En 2016, l'élection américaine a montré à quel point les outils que nous avions conçus pouvaient être détournés en période électorale. Qu'avons-nous fait depuis ? Nous avons mis en place des équipes qui travaillent à temps plein contre ces menaces. Nous détectons régulièrement des comportements de manipulation - en période électorale ou hors période électorale - et faisons tomber les pages concernées. Nous avons également rencontré les autorités françaises et mis en place un dispositif spécial pour les élections. Aux États-Unis, le recours aux publicités se fait dans un contexte différent. Nous nous sommes rendus compte lors de l'élection de 2016 que les publicités sur un réseau social pouvaient être utilisées pour cibler des personnes afin d'orienter leurs convictions politiques. Nous avons mis en place des mesures, permettant d'archiver ces publicités, de connaître l'identité des émetteurs ainsi que les montants dépensés. Nous visons un « phénomène vampire » : lorsque vous braquez la lumière sur quelque chose, vous espérez que le phénomène s'arrête. La loi sur la manipulation de l'information a repris ces dispositions pour la France et les a renforcées. Nous avons également pris nos responsabilités et mis en place les mêmes dispositions à l'échelle européenne, en l'absence d'ailleurs d'une réglementation européenne harmonisée en la matière. En tant qu'entreprise privée, nous avons donc dû prendre des mesures relevant sans doute de la sphère publique. Nous ne pouvons qu'inviter les pouvoirs publics européens à régler ces questions.

Face aux « fake news », nous avons également signé des partenariats avec des Fact Checkers - notamment Le Monde et l'AFP. Est-ce que cela empêchera ces phénomènes de se reproduire ? Personne ne peut le dire, mais nous faisons tout pour que cela n'arrive pas.

Vous regrettez le fait que Mark Zuckerberg ne viennent pas aux convocations parlementaires. Laissez-moi vous rappeler qu'il est venu s'exprimer devant le Congrès américain et le Parlement européen la même année.

Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.

J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.

Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.

Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...

Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.

La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.

Le groupe des 11 parlements regroupait également des pays qui n'étaient ni les États-Unis, ni membres de l'Union européenne.

Merci de ces éclaircissements, mais êtes-vous en mesure de fournir des éléments de preuve de cette manière de procéder ?

Mark Zuckerberg n'a fait aucune difficulté pour venir s'exprimer devant le Parlement européen, qui représente plus de 500 millions d'individus. Il a répondu aux questions posées par tous les groupes politiques et cette rencontre s'est faite dans un climat collaboratif. Je ne suis pas en capacité de vous dire comment il prend la décision de s'exprimer devant tel ou tel parlement. En revanche, pour l'Union européenne, il l'a fait devant le Parlement européen, et je suis sûr que personne dans cette salle ne remet en cause la légitimité de cette institution.

Vous m'interrogez sur une décision juridique allemande. Je ne dispose pas à cet instant des informations nécessaires pour répondre à cette question technique, car je suis en charge des affaires publiques de Facebook en France. En revanche, je reviendrai vers vous à la suite de cet entretien avec les éléments nécessaires.

Vous évoquez également l'opportunité de scinder Facebook en plusieurs entités. La réponse que je vais vous faire est proche de celle de Nick Clegg. Le droit de la concurrence a pour but d'éviter des abus notamment sur les prix, et permettre aux consommateurs d'avoir accès à des produits divers. Facebook ne doit pas être considéré comme un bloc monolithique. Nous ne sommes pas numéro un pour la messagerie, la vidéo ou encore en place de marché (market place). Lorsqu'on parle de concurrence, il faut regarder le périmètre des activités concernées.

En outre, le droit de la concurrence n'est pas conçu pour sanctionner le succès. Il y a deux milliards et demis d'utilisateurs de Facebook, un milliard d'Instagram et un milliard de Whatsapp. Même si les différents services étaient séparés, ils continueraient à former chacun d'entre eux, des gros blocs. Les problèmes seraient les mêmes. Le droit de la concurrence n'est pas la réponse à tous les problèmes de sûreté.

Nos contrats contiennent de tels éléments, et en pratique nous nous y sommes déjà opposés, en portant l'affaire jusqu'à la Cour suprême !

Une séparation des différents services pourrait créer une forme d'émulation et recréer des conditions de confiance. Votre réponse est toujours la même : en l'absence de réglementation, vous rejetez la faute sur le politique, pour les usages, vous renvoyez aux utilisateurs. C'est toujours sous la contrainte que vous prenez des mesures d'autorégulation pour tenter de retrouver la confiance des utilisateurs. Il faut agir de manière structurelle. Mon homologue britannique traite votre organisation de « gangster ». Je suis étonnée que vous ne travailliez pas avec votre homologue allemand, et que vous ne soyez pas au courant de cette régulation outre-rhin. Je suis frappée par cette absence de collaboration et d'approche stratégique au sein d'une grande entreprise internationale comme la vôtre. En outre, je vous ai adressé un courrier le 13 mars dernier, auquel je n'ai jamais eu de réponse.

Nos contrats comprennent effectivement une clause stipulant que « Microsoft ne fournit pas : a) un accès direct, indirect, général ou libre aux données clients ; b) les clés de chiffrement utilisées pour sécuriser les données clients ou la possibilité de forcer ce chiffrement ».

Nous reportons donc la responsabilité du dialogue entre l'autorité d'enquête et notre client sur leur relation bipartite. Nous ne souhaitons pas être au milieu de ce dialogue.

Le chiffrement constitue aussi une possibilité : chaque entreprise doit se protéger des cyberattaques, ce qui peut passer par le chiffrement, avec des clés créées pour accéder les données. À un certain niveau de chiffrement, le client est seul maître du déchiffrement et même Microsoft ne peut alors accéder aux données du client.

Il faut bien distinguer les données du client de l'infrastructure. Le Cloud computing offert par Microsoft correspond au stockage informatique, via une infrastructure - ou ferme de serveurs -de données qui appartiennent au client. C'est le client qui définit le degré de chiffrement de ses données...

Je ne commenterai pas le terme de gangster que vous avez utilisé et vous en laisse la responsabilité. Je travaille en étroite collaboration avec mes homologues des autres pays européens. Cependant, je suis sous serment, et je ne veux pas apporter des propos inexacts ou incomplets. J'assume ne pas être au courant de tous les litiges que connaît Facebook en dehors du territoire français. Toutefois, je me suis engagé à vous apporter une réponse à la suite de cette audition.

Je suis désolé que vous n'ayez pas reçu de réponse à votre courrier du 13 mars dernier. Je vais me rapprocher de mes services.

C'est lui qui le conçoit ?

Je préside l'office parlementaire des choix techniques et scientifiques, où nous venons d'examiner le rapport de notre collègue député Didier Baichère sur la reconnaissance faciale, qui est un des aspects de la souveraineté numérique.

Vous êtes l'un des principaux investisseurs dans les câbles sous-marins. Dans quel esprit Facebook intervient-il dans ce domaine ? Jusqu'à présent, comme tous les opérateurs du numérique, vous utilisiez les réseaux existants. Quel est l'objectif de cette très forte implication : est-ce dans le but de disposer d'un maillage plus fin ? S'agit-il d'un manque de confiance envers les opérateurs, d'une insuffisance des services fournis ?

Tout à fait, en fonction du service qu'il achète, il a la possibilité de prévoir le chiffrement de ses données, dont il détient lui-même les clés, via son responsable de la sécurité informatique. Dans ce cas, nous ne sommes pas en mesure de fournir une donnée déchiffrée - et nous nous engageons contractuellement à ne pas la fournir aux autorités.

Je répondrai également avec prudence. La compréhension que j'ai de cet investissement technologique est qu'il doit permettre - comme pour les investissements dans les centres de données - à notre service de fonctionner plus rapidement et au plus près de l'utilisateur. Nous avons signé un partenariat avec un opérateur - Orange il me semble - afin de déployer ces câbles. Toutefois, je ne connais pas les détails de ces programmes industriels.

Concernant ma question portant sur ce qui s'est passé en Allemagne ? Les faits sont-ils avérés ?

Pourrez-vous nous transmettre une note d'orientation ? Ce réseau sera-t-il ouvert aux autres opérateurs ?

C'est l'autorité en charge de la protection des données du Land de Hesse qui est à l'origine de ces questions, dont je ne connais pas les détails. Nous avons pour principe d'entrer en dialogue avec le régulateur qui nous interroge. Nous avons mis en oeuvre le RGPD, pas simplement en Europe, mais aussi dans le monde entier puisque l'Europe a ainsi fixé un standard international. Nous allons clarifier ces questions et résoudre la difficulté si elle existe.

Au-delà des textes mis en oeuvre, la protection des données personnelles est un sujet compliqué et assez nouveau : même si des normes existaient avant le RGPD, pendant longtemps, personne n'y portait une attention si conséquente. Nous nous sommes engagés très tôt sur la protection de la vie privée, nous étions ainsi les premiers à mettre en oeuvre les clauses contractuelles types de la Commission européenne dans les contrats de cloud qui nous semblaient tout à fait importants. Il est heureux que cette question de protection de la vie privée fasse désormais partie des questionnements quotidiens et de la culture économique.

Différents modèles économiques existent dans le numérique : le nôtre n'est pas fondé sur la publicité. Nous sommes plutôt dans des logiques de « B2B » et de « B2B2C », c'est-à-dire de partenariats et d'écosystèmes. Ces questions se trouvent au coeur de notre modèle et supposent que, par des preuves concrètes, nous puissions inspirer confiance à nos clients.

Je reviendrai vers vous sur ces points. Il me semble que ce déploiement se fait de manière mutualisée avec d'autres opérateurs en raison des coûts importants.

Vous considérez que votre modèle économique repose sur la vente de prestations et non du patrimoine ou des données de vos clients.

Facebook a fait retirer de ses pages L'origine du monde de Courbet. Le président de la République va se rendre bientôt à Ornans. Notre collègue député Hervé Novelli, président des amis de Courbet, a été particulièrement ému par cette censure, alors que Facebook est beaucoup plus laxiste pour d'autres sujets de contrebande.

Les données de nos clients restent leurs données. Nous n'avons pas vocation à nous les approprier et à en faire le commerce.

Certes nous évoluons dans une économie de données. De nombreuses entreprises traditionnelles vont devenir des entreprises digitales - dans le monde de l'automobile, de la santé ou même de l'agriculture. Un usage des données existe pour apporter des bénéfices - notre outil Skype dispose ainsi d'une fonctionnalité Skype translator de traduction simultanée, à travers l'apprentissage par la machine de données des langues utilisées. Il ne s'agit pas d'écouter les conversations, mais d'utiliser la donnée pour que la machine apprenne et sache traduire. C'est de l'exploitation de la donnée, non pas à des fins de commercialisation de vos données, mais pour améliorer nos produits, créer des fonctionnalités et les sécuriser.

Nous sommes effectivement dans un monde d'usage de la donnée, puisque l'intelligence artificielle suppose de la donnée. C'est une question de souveraineté numérique : pour que l'Europe et la France puissent avancer et accroître leur compétitivité dans cette révolution industrielle portée par le numérique, il faut que les entreprises accèdent à la donnée et utilisent la donnée. Les voitures connectées se développent sur la base de la donnée. Il existe toutefois une différence entre la collecte et l'utilisation de la donnée à des fins pertinentes pour l'utilisateur ou l'industriel qui développe des solutions et l'usage abusif des données.

Laissez-moi tout d'abord vous indiquer que Facebook ne fait preuve d'aucun laxisme vis-à-vis de la contrebande.

Pour le Courbet, j'ai rencontré le plaignant. Cette affaire a été très médiatisée.

Est-ce que le critère de distinction n'est pas de savoir qui paie ? Le service que vous évoquez de traduction simultanée est bien payé par l'utilisateur, et quand il l'utilise.

Au-delà de cette affaire, se pose la question de la censure et du centre de gravité des valeurs culturelles portées par Facebook.

Absolument. Notre modèle repose sur un accès pour l'utilisateur à l'infrastructure cloud, avec de l'hébergement pur, puis, selon le contrat souscrit, à des briques logicielles. Le client utilise alors ce qu'il souhaite dans le cloud : c'est ce qu'on appelle le « Software as a Service » - les logiciels Word et Excel de la suite Microsoft Office peuvent ainsi être offert au client dans ce cloud, et utilisés depuis l'ordinateur de notre client. Toutes nos briques logicielles, y compris de « machine learning », fonctionnent de la même manière.

Une distinction doit être faite également entre notre rôle de fourniture d'infrastructures et celui de l'intégrateur. Nous intervenons en amont, en vendant l'infrastructure et éventuellement les briques de logiciel, protégées par le droit d'auteur, tandis que l'intégrateur fait communiquer nos outils avec les outils du client final. Nous nous vivons plutôt comme un fournisseur de propriété intellectuelle.

Je tiens à le réaffirmer devant vous. Ce tableau est autorisé, et de manière générale, la peinture de nu est autorisée. Ce tableau est assez réaliste et il y a eu une erreur de modération sur ce tableau.

Quel est le statut de l'intégrateur ?

Que représentent vos équipes de modération ?

Il a un statut commercial et c'est souvent un partenaire de Microsoft. Il contracte avec le client final pour brancher notre système sur celui du client. Nous avons un écosystème de 10 500 partenaires qui sont les premiers à vendre nos produits et services. Il peut même s'agir d'une filiale, comme Microsoft Services.

On accuse souvent Facebook de promouvoir des valeurs puritaines américaines. Ce qui n'est pas autorisé est la nudité sur les photos, afin de lutter contre la pornographie, mais aussi pour protéger les adolescents victimes de revenge porn. Or, à partir du moment où toute photo de nudité est interdite, nous disposons d'une arme forte pour lutter contre ces pratiques. Certes, il y a la question de la photo d'art, et nous reconnaissons que cette difficulté n'est pas résolue.

Nous avons 30 000 modérateurs dans le monde. Nous avons investi des milliards d'euros dans ce domaine. Pour vous donner un ordre d'idée, les montants investis dans la modération sont similaires à la capitalisation de Facebook au moment de son entrée en bourse. Par ailleurs, lorsque vous être propriétaire de plusieurs réseaux sociaux, vous pouvez mutualiser cette question. Les modérateurs couvrent l'ensemble du réseau, 24 heures sur 24, dans une centaine de langues.

Ce sont 85 % des utilisateurs de Facebook qui ne sont pas américains. Ce serait donc une erreur de copier-coller le modèle de valeurs américain au reste du monde. La politique de contenus de Facebook met en balance la liberté et la responsabilité, la liberté et la sécurité.

En 2015, votre entreprise annonçait avoir débloqué une somme conséquente de 70 millions d'euros au service de la French Tech. Quel a été exactement le montant investi ? Dans quelles startups avez-vous investi ? Avez-vous pris des participations, majoritaires ou pas, dans ces entreprises ?

Vos modérateurs sont-ils répartis partout dans le monde ?

Nous avons effectivement annoncé en 2015 cette aide à l'écosystème français. Je ne connais pas le chiffre précis. Nous avons un modèle de support aux startups qui ne passe pas par des prises de participation. Nous les aidons à se développer, à grandir et à accéder à des réseaux de clients nationaux ou internationaux ou à nos partenaires. Avant même cette annonce de 2015, nous avions déjà des programmes autour des startups qui ont permis à certaines de devenir des géants mondiaux, comme Criteo ou Talentsoft.

En effet. Le quotidien Le Monde a d'ailleurs récemment publié un article sur l'équipe située à Barcelone. Une autre équipe se trouve à Dublin. Je suis également impliqué dans des décisions de licéité de contenus. Enfin, nous avons des experts dédiés à certains contenus, notamment des personnes qui ne surveillent que les contenus à caractère terroriste.

Comment vivez-vous votre relation avec Criteo ?

Qu'en est-il de l'interopérabilité entre réseaux sociaux ?

Le programme IDEES avait été créé pour aider les startups à démarrer et Criteo comme Talentsoft ont intégré ce programme. Ces startups n'y restaient que trois ans au maximum et vivaient ensuite leur vie. C'était une forme d'accélérateur.

Ces mécanismes ne reposent pas sur des prises de participation.

Pour répondre à votre question sur les investissements, nous avons conclu un partenariat avec Station F et avons focalisé nos efforts d'aide aux startups sur la question de l'intelligence artificielle. Les startups que nous aidons dans le cadre de Station F travaillent toutes dans le domaine de l'intelligence artificielle, principal vecteur de développement de l'économie numérique.

À l'origine de ces programmes se trouve notre refus du discours selon lequel la France aurait perdu la bataille du logiciel et ne pourrait se développer dans ce domaine, coincée entre la Chine et les États-Unis. Nous considérons au contraire que la France est une terre du logiciel : les succès de la Silicon Valley reposent souvent sur un ingénieur français et Microsoft compte de nombreux ingénieurs français. Il existe en effet une école informatique française et une école mathématique française très puissantes. L'INRIA a une réputation mondiale de ce point de vue et nous avons un partenariat avec elle depuis 2006. Nous nous étions battus contre cette idée que nous aurions perdu cette bataille et nous voulions démontrer qu'il existait un écosystème et les talents en France. Je pense que ces programmes ont pu permettre l'éclosion de certains succès.

La France et l'Europe n'ont pas perdu la bataille de l'intelligence artificielle. L'Europe porte des valeurs qui peuvent clairement cadrer un certain nombre d'évolutions sur le respect des droits et libertés, comme avec le RGPD. Une bonne partie de la révolution industrielle repose non pas simplement sur l'économie numérique mais sur le développement de nos grandes entreprises et PME qui peuvent, grâce au numérique, devenir des acteurs de cette économie.

Nous avons développé des actions pour l'intelligence artificielle en France, avec une vingtaine d'écoles à horizon 2021, et avec des partenaires comme Orange ou Capgemini. Dans le cadre du service civique, nous prévoyons de sensibiliser un million de jeunes au numérique. De nombreuses actions peuvent être menées pour ne pas perdre cette bataille du numérique.

Le RGPD donne le droit à l'utilisateur de pouvoir télécharger l'intégralité de ses données de manière simple et standardisée. C'est la première étape, la portabilité. Mais, une fois cette procédure faite, peut-il facilement mettre ses données ailleurs ? Une initiative industrielle, construite notamment avec Microsoft et Twitter, le Data Transfert project, est en cours. Elle vise à mettre en place les mécanismes techniques nécessaires pour transférer facilement les photos et données d'un site, d'un opérateur vers un autre. C'est également un moyen de disposer d'une concurrence plus forte entre réseaux sociaux. Toutefois, cette interopérabilité pose de nombreux problèmes, par exemple vis-à-vis de la vie privée. Ainsi, mes données Facebook peuvent impliquer d'autres personnes. Si ces dernières sont d'accord pour qu'un tel lien apparaisse sur Facebook, le sont-elles encore pour une utilisation en dehors de notre réseau ?

Quel niveau de formation visez-vous dans ces écoles ?

Vous avez récemment ouvert un laboratoire d'intelligence artificielle à Paris. Vous avez recruté de nombreux chercheurs venant de l'INRIA (institut national de recherche dédié aux sciences du numérique) ou du CNRS (Centre national de la recherche scientifique). Quelle rémunération moyenne annuelle leur versez-vous ?

Les écoles sont sans prérequis. La première est celle d'Issy-les-Moulineaux, avec 24 étudiants. La scolarité comprend 7 mois de scolarité et 12 mois en alternance. Tous les jeunes ont trouvé un emploi, sauf un... qui a créé sa startup. Nous souhaitons implanter des écoles sur les territoires et avons déjà des écoles à Nantes, Castelnau-le-Lez, Biarritz, Lyon... L'objectif est de former des jeunes avec des partenaires, modèle qui peut être dupliqué dans d'autres pays d'Europe.

La nouvelle Présidente de la Commission européenne parlait d'un triplement du programme Erasmus + et des pistes méritent effectivement d'être explorées, notamment pour l'apprentissage, mais aussi pour les salariés déjà en poste dont les métiers vont se transformer. La souveraineté passe aussi par l'importance accordée à la question de la formation qui doit être prioritaire. La transformation digitale constitue une chance pour nos entreprises.

Je ne suis pas informé du montant des rémunérations versées. En revanche, il est certain qu'il faut être extrêmement attractif dans des domaines aussi compétitifs.

Vous détenez un moteur de recherche qui fonctionne, lui, très classiquement dans ce secteur, sur le modèle de l'économie de l'attention, avec des publicités ciblées et l'exploitation des données personnelles. Pensez-vous qu'avec une confiance accrue à l'égard des internautes, il serait possible de se passer de la publicité ciblée pour concevoir une logique de moteur de recherche différente ?

Votre société a mis à profit un internet libre. La faiblesse des règles d'organisation a permis votre expansion. Ce n'est pas un reproche mais un constat. Aujourd'hui, on risque de perdre cette liberté, et les règles d'autorégulation pourraient régir un internet qui ne serait plus libre et vous placeraient en situation de régulateur absolu de tout l'internet. Quelles mesures prenez-vous pour préserver cette liberté dont nous avons besoin ?

Nous avons conclu un partenariat avec Qwant, moteur de recherche français dont l'approche est celle que vous évoquez. Nous lui fournissons des capacités technologiques - puisque nous lui permettons d'être sur notre Plateforme Azure pour renforcer la capacité de calcul.

Plusieurs modèles existent, qui répondent aux attentes diverses des citoyens. L'intérêt du positionnement de Qwant est de montrer qu'il existe des alternatives. Imaginer d'autres façons de pratiquer la recherche sur Internet constitue une piste intéressante. C'est un écosystème en évolution permanente, la compétition est très forte et il convient de répondre aux aspirations des citoyens.

Internet a connu une phase d'intense expansion. À l'époque, j'utilisais Netscape sur Windows 98 pour aller sur Yahoo. Cette période est révolue, et de nouveaux produits apparaissent constamment. D'ailleurs, si vous demandez aux jeunes aujourd'hui quel réseau ils utilisent de Facebook en Tik tok, ce dernier a leur préférence. On constate une diversification des usages, notamment chez les jeunes. Il semble que nous arrivons aujourd'hui dans une phase plus institutionnelle, plus régulée de l'internet. Est-ce que cela ne va pas conduire à installer les acteurs déjà présents ?. C'est toute la problématique des barrières à l'entrée d'un secteur.

Il existe ici une contradiction entre les demandes, d'une part, de conserver un internet libre, et d'autre part, de faire preuve de plus de responsabilité éthique et légale. Dites-nous l'équilibre que vous souhaitez, les responsabilités que vous voulez nous transférer, et nous le ferons sous la responsabilité d'autorités comme le CSA.

En outre, lorsque vous nous demandez de décider de ce qui est légal ou non en 24 heures, c'est un petit transfert de souveraineté. On nous demande de faire quelque chose qui est plutôt du ressort de l'État. Mais dans le même temps, on nous accuse d'avoir trop de pouvoir. La seule façon de sortir de cette contradiction serait un cadre européen. Sinon, nous serons toujours dans l'excès, d'un côté ou de l'autre. De même, face aux barrières à l'entrée, on peut imaginer des règles plus souples pour les start-ups. Attention toutefois à la problématique du franchissement des seuils !

L'univers numérique a-t-il réfléchi à la possibilité que les utilisateurs paient pour un moteur de recherche ? La gratuité est attractive pour le consommateur, mais comprend effectivement des contreparties. Les citoyens, eux, ont peut-être envie de payer pour accéder à un service avec une économie différente et un classement peut-être plus neutre, ou en tous cas moins tributaire des logiques à l'oeuvre chez les autres moteurs de recherches. Un tel modèle vaut pour certaines encyclopédies en ligne. Ce modèle a-t-il du sens ?

Je reviens au projet Libra. Pourquoi devrions-nous vous faire confiance pour la protection nos données financières eu égard aux échecs que vous avez déjà rencontrés dans ce domaine ? M. Marcus a annoncé qu'il n'y aurait pas, « mais pour le moment seulement », de transfert de données entre le Libra et Facebook, sauf consentement de l'usager. Peut-on avoir des garanties sur ce point ?

Êtes-vous favorable à une supervision publique des plateformes, par les États ou des organisations internationales comme l'Union européenne ?

Votre question ouvre de nombreux champs. Le numérique reflète nos sociétés. Il existe des modèles « freemium » avec un accès d'abord gratuit puis un paiement pour un service d'une autre nature, ou offrant des fonctionnalités complémentaires ou un contenu plus riche. Ce modèle s'impose d'ailleurs progressivement dans la presse avec une approche différenciée.

Au cours des dernières années, la montée en puissance de la dimension citoyenne me paraît aussi très forte : pendant longtemps, les avantages immédiats de la gratuité ont été observés. Pour différentes raisons, liées notamment à la protection des données personnelles ou au pluralisme, les aspirations citoyennes ont ensuite pris de l'importance.

La cybersécurité n'est plus un sujet de spécialistes, d'entreprises ou d'États. Avec la place de la presse ou la lutte contre les fake news, ces questions ont pris une autre dimension. Dans le cadre du Forum de Paris de la paix - qui réfléchit à de nouveaux modes de gouvernance - ceci a abouti à la signature par 66 États, 347 entreprises et 130 ONG et think tank d'un accord pour travailler ensemble sur ces sujets, avec une approche multipartite. La souveraineté des États demeure, mais la manière de mettre en oeuvre les attributs de la souveraineté évolue, ainsi que la manière de garantir les droits dans un monde numérique. Le multilatéralisme - en crise à certains égards, peut être complété et renforcé par cette approche.

D'une certaine manière, la souveraineté numérique, c'est la « souveraineté augmentée » grâce au numérique, puisque son coeur - la garantie des droits - peut être renforcé par le numérique et la participation des citoyens.

Nous ne sommes pas naïfs. On sait que la pente est raide en matière de confiance, et qu'une fois perdue, il est très difficile de la regagner. De manière générale, la confiance dans les institutions financières est assez faible. Facebook est conscient de l'image générale de ce secteur. David Marcus a présidé Paypal, il a une vraie légitimité en la matière et il a conscience des difficultés.

Il faut changer la méthode. Si vous lancez un produit, puis que vous en discutez après avec les autorités, cela pose problème. Cela a pourtant été la méthode la plus fréquemment utilisée par la Silicon Valley. Je ne remets pas en cause cette période, qui a été caractérisé par un foisonnement d'innovations. Dans le cas présent, nous proposons un renversement de la méthode de travail : cet outil ne sera pas lancé tant que nous n'aurons pas l'accord pour le faire. En matière financière, les barrières à l'entrée sont importantes, et à juste titre, car il y a un risque systémique. On ne pourra pas nous croire sur parole. Aussi, le lancement du Libra se fera sous les auspices de ceux qui ont la légitimité pour nous en donner l'autorisation et pour contrôler ce que nous ferons. C'est seulement dans ces conditions que la confiance pourra s'installer.

Vous m'interrogez sur les données. Mon banquier sait tout de moi. Il sait où je suis allé, à quelle heure, ce que j'ai acheté. Sur les applications bancaires, il est possible de classer ces dépenses par catégorie. Le RGPD nous indique comment développer de nouveaux services. Si nous avons le consentement des usagers, nous pouvons le faire. Le RGPD ne dit à aucun moment que l'on ne peut plus rien faire ! Ce texte s'inscrit dans une logique de responsabilisation et de sanction. On ne peut rien faire sans l'aval du régulateur. Nous n'avons pas le choix, nous devons demander l'autorisation avant d'agir. D'ailleurs, je ne peux qu'inciter les pouvoirs publics à muscler les régulateurs, à faire en sorte qu'ils soient vraiment en concurrence avec nos entreprises pour attirer les nouveaux talents et recruter les meilleurs. En outre, les serviteurs de l'État peuvent se nourrir d'une expérience du privé.

Nous sommes favorables à une supervision des plateformes. Il faut une régulation complète sur des domaines qui touchent à la vie démocratique telles que les publicités politiques, mais aussi le contrôle des contenus, le transfert de données etc. Faites-le ! Nous nous inscrivons dans une logique de proposition et de dialogue.

La citoyenneté repose quand même sur l'impôt qui donne le droit de participer à la collectivité et de la faire fonctionner...

Pourquoi Microsoft n'a-t-il pas, il me semble, réussi dans le système d'exploitation des smartphones alors que ce type de terminal est de plus en plus décisif aujourd'hui ?

Notre commission a découvert que vous étiez un très gros investisseur dans les câbles sous-marins : quel est votre objectif en la matière ?

Dans nos réflexions sur la loi contre la manipulation de l'information, nous nous sommes interrogés sur la rentabilité de la diffusion des fausses nouvelles. Le clic est rémunérateur. Les plateformes bénéficient d'un régime de non-responsabilité et de non-redevabilité. Que pensez-vous de la proposition qui est faite de rouvrir la directive e-commerce, qui n'est plus adaptée ? Cela permettrait de réfléchir à un nouveau statut pour les plateformes, entre hébergeurs et éditeurs, afin de restaurer la confiance et la redevabilité.

Sur la question relative au système d'exploitation des mobiles, d'autres acteurs ont pris des parts de marché, et la compétition est très vive. Le choix que nous avons effectué, avec des applications fonctionnant sur tous les systèmes d'exploitation, est un mode très interopérable et compatible avec les développements open source. Nous sommes un des principaux contributeurs de Linux et avons acquis GitHub, principale plateforme de développement pour les développeurs open source. La plateforme Azure fonctionne avec de nombreux langages open source.. Face à cette innovation permanente, nous avons su trouver d'autres modèles et une place différente dans un univers conçu autour du cloud et de l'accès à différentes applications, sur les différentes plateformes. L'un des enjeux consiste à donner accès à la puissance de calcul qui permet le développement des applications propres aux entreprises. Le cloud n'est pas seulement du stockage, mais c'est aussi du « Software as a Service » et une « plateforme as a Service », permettant de développer des applications à moindre coûts.

Concernant les câbles sous-marins, la question des infrastructures est aujourd'hui évidemment essentielle. Nous disposons de datacenters partout dans le monde - avec notamment trois datacenters en France - et la question de la circulation et de l'accès à ces données est devenue essentielle.

La loi pour la lutte contre la manipulation de l'information est nécessaire pour combler les manques identifiés par les pouvoirs publics. Le CSA aura un rôle de supervision de nos obligations de moyens de lutte contre la fausse information. Ce travail a déjà commencé. Ce modèle a vocation à s'étendre à d'autres pays et d'autres sujets.

Vous n'en aviez pas ressenti le besoin jusque-là ?

Le Sénat a rejeté cette loi car les solutions proposées ne nous convenaient pas.

Il s'agit de répondre à notre plan de charge avec la perspective d'offrir le meilleur service. Nous fonctionnons beaucoup avec des partenariats en fonction des caractéristiques des câbles nécessaires. Pour plus de précisions techniques, je vous transmettrai la réponse par écrit.

Je pense que le Sénat a manqué une opportunité d'améliorer ce texte. Votre institution a toujours été protectrice des libertés publiques. J'ai ainsi toute confiance dans le Sénat pour apporter sa contribution. La directive e-commerce a déjà été remodelée par d'autres textes : la directive copyright, la directive service média audiovisuel. Il faut une approche plus holistique, reposer la question du statut. Je trouve la démarche de la mission Loutrel très intéressante sur ces sujets.

Les opérateurs télécom ont le sentiment, peut-être caricatural, de construire des autoroutes sur lesquelles vous circulez plus ou moins gratuitement.... Or, vous vous mettez maintenant à construire vous-mêmes ! C'est honorable mais aurez-vous les mêmes contraintes ?

Je vous remercie Monsieur pour les éléments de clarification que vous nous avez apportés.

La réunion est close à 10h45.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Notre commission d'enquête poursuit ses travaux avec l'audition des représentants de Microsoft. Nous recevons Monsieur Marc Mossé, directeur juridique et des affaires publiques de Microsoft Europe, et Monsieur Mathieu Coulaud, directeur juridique de Microsoft France.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à tour de rôle à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Marc Mossé et Mathieu Coulaud prêtent serment.

Nous connaissons tous les activités de Microsoft, du moteur de recherche au cloud en passant par les logiciels de bureautique, la messagerie électronique... C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser.

Je commencerai par deux questions relatives aux données. Le Cloud Act permet aux autorités américaines d'accéder aux données que vous stockez, quel que soit le lieu de stockage ce qui inquiète légitimement les pouvoirs publics français puisque tant les données personnelles que les données stratégiques des entreprises peuvent ainsi être pillées. Or, de grands groupes vous confient leurs données, en utilisant vos solutions de cloud, à l'image de la SNCF, ou nouent des partenariats commerciaux avec vous comme Thalès ou Qwant.

Pouvez-vous nous assurer que Microsoft ou ses filiales ne permettent pas - et ne permettront pas - aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, avec le RGPD ?

Microsoft a récemment changé de discours sur la protection de la vie privée en faisant de ce sujet un de ses axes stratégiques. Une autorité locale allemande vient pourtant de constater une infraction au RGPD la semaine dernière puisque l'utilisation du logiciel bureautique Microsoft Office 365 dans les écoles du Land de Hesse a été déclarée illégale au regard de la loi sur la protection des données. Les données personnelles des enfants seraient stockées dans le cloud de Microsoft de façon peu transparente et peu accessible aux autorités américaines. Devons-nous croire les paroles ou les actes ? Cette question est très importante, car Microsoft est également prestataire pour le ministère de l'Éducation nationale en France.

Ce sujet est majeur. Je me réjouis que soient présents ce jour un responsable national et un responsable Europe, ce qui permet d'avoir une vision globale de la question.

Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.

Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.

Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.

Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.

Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.

Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.

Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.

En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....

Et ayons bien en tête la hiérarchie des normes américaines. Le Quatrième Amendement de la Constitution des États-Unis a été écrit à la suite du traumatisme des colons américains - les Britanniques ayant le droit d'entrer dans les maisons sans préavis et sans aucun contrôle d'une autorité judiciaire. Le Code de procédure criminelle est donc placé sous l'égide du Quatrième Amendement, et il contient lui-même le Stored Communications Act, qui fixe le régime juridique d'une donnée stockée. C'est ce dernier texte que le Cloud Act est venu amender. Tout ceci correspond à peu près à notre code de procédure pénale ou à notre code pénal. Le Cloud Act intervient donc dans un cadre juridique très déterminé.

Nous sommes effectivement dans le cadre d'une procédure sous le contrôle d'une autorité judiciaire indépendante.

Concrètement, si un mandat est demandé, il appartient au juge indépendant de décider ou non de le mettre en oeuvre. Le Procureur demandant le « warrant » on mandat devra démontrer qu'il existe de sérieuses présomptions d'une infraction, justifiant que les données visées se trouvent sur le compte ou l'espace de stockage de la personne concernée. C'est sur ces bases que le juge se déterminera pour délivrer un mandat, et sur la base de ce mandat que nous répondrons, ou non, à la demande.

Le département de la Justice américaine a publié, en avril 2019, un Livre blanc comportant une série de recommandations et principes directeurs permettant d'éclairer la manière de mettre en oeuvre ce texte. Une des recommandations vise à demander aux Procureurs fédéraux de s'adresser d'abord directement à l'entreprise dont ils souhaitent obtenir les données, l'intermédiaire technique n'étant sollicité que subsidiairement, si l'enquête l'exige.

Qu'en est-il de la communication des avis juridiques internes de nos entreprises ?

C'est un excellent exemple, mais le Cloud Act n'est pas spécifiquement en cause sur ce point : c'est, de façon générale, le droit français qui est trop faible, indépendamment de l'évolution de nos pratiques numériques. En effet, les avis des juristes internes des entreprises en France ne bénéficient malheureusement pas du principe de confidentialité, alors que les juristes de la plupart des grands États en bénéficient - soit 18 ou 20 États de l'Union européenne il me semble. Indépendamment du Cloud Act, les documents que vous évoquez sont donc effectivement moins bien protégés en France.

Dans le projet de règlement européen « e-evidence » sur les preuves électroniques que j'évoquais, un article spécifique prévoit que les données protégées par une immunité ou un privilège fassent l'objet de garanties supplémentaires. Dans le droit européen, entre États membres de l'Union européenne, les entreprises françaises seront donc effectivement moins bien protégées que leurs concurrentes d'autres pays de l'Union européenne.

Cette question précise pourrait donc très bien être réglée par le Parlement français...

Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.

J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.

Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.

Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...

Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.

La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.

Merci de ces éclaircissements, mais êtes-vous en mesure de fournir des éléments de preuve de cette manière de procéder ?

Nos contrats contiennent de tels éléments, et en pratique nous nous y sommes déjà opposés, en portant l'affaire jusqu'à la Cour suprême !

Nos contrats comprennent effectivement une clause stipulant que « Microsoft ne fournit pas : a) un accès direct, indirect, général ou libre aux données clients ; b) les clés de chiffrement utilisées pour sécuriser les données clients ou la possibilité de forcer ce chiffrement ».

Nous reportons donc la responsabilité du dialogue entre l'autorité d'enquête et notre client sur leur relation bipartite. Nous ne souhaitons pas être au milieu de ce dialogue.

Le chiffrement constitue aussi une possibilité : chaque entreprise doit se protéger des cyberattaques, ce qui peut passer par le chiffrement, avec des clés créées pour accéder les données. À un certain niveau de chiffrement, le client est seul maître du déchiffrement et même Microsoft ne peut alors accéder aux données du client.

Il faut bien distinguer les données du client de l'infrastructure. Le Cloud computing offert par Microsoft correspond au stockage informatique, via une infrastructure - ou ferme de serveurs -de données qui appartiennent au client. C'est le client qui définit le degré de chiffrement de ses données...

C'est lui qui le conçoit ?

Tout à fait, en fonction du service qu'il achète, il a la possibilité de prévoir le chiffrement de ses données, dont il détient lui-même les clés, via son responsable de la sécurité informatique. Dans ce cas, nous ne sommes pas en mesure de fournir une donnée déchiffrée - et nous nous engageons contractuellement à ne pas la fournir aux autorités.

Concernant ma question portant sur ce qui s'est passé en Allemagne ? Les faits sont-ils avérés ?

C'est l'autorité en charge de la protection des données du Land de Hesse qui est à l'origine de ces questions, dont je ne connais pas les détails. Nous avons pour principe d'entrer en dialogue avec le régulateur qui nous interroge. Nous avons mis en oeuvre le RGPD, pas simplement en Europe, mais aussi dans le monde entier puisque l'Europe a ainsi fixé un standard international. Nous allons clarifier ces questions et résoudre la difficulté si elle existe.

Au-delà des textes mis en oeuvre, la protection des données personnelles est un sujet compliqué et assez nouveau : même si des normes existaient avant le RGPD, pendant longtemps, personne n'y portait une attention si conséquente. Nous nous sommes engagés très tôt sur la protection de la vie privée, nous étions ainsi les premiers à mettre en oeuvre les clauses contractuelles types de la Commission européenne dans les contrats de cloud qui nous semblaient tout à fait importants. Il est heureux que cette question de protection de la vie privée fasse désormais partie des questionnements quotidiens et de la culture économique.

Différents modèles économiques existent dans le numérique : le nôtre n'est pas fondé sur la publicité. Nous sommes plutôt dans des logiques de « B2B » et de « B2B2C », c'est-à-dire de partenariats et d'écosystèmes. Ces questions se trouvent au coeur de notre modèle et supposent que, par des preuves concrètes, nous puissions inspirer confiance à nos clients.

Vous considérez que votre modèle économique repose sur la vente de prestations et non du patrimoine ou des données de vos clients.

Les données de nos clients restent leurs données. Nous n'avons pas vocation à nous les approprier et à en faire le commerce.

Certes nous évoluons dans une économie de données. De nombreuses entreprises traditionnelles vont devenir des entreprises digitales - dans le monde de l'automobile, de la santé ou même de l'agriculture. Un usage des données existe pour apporter des bénéfices - notre outil Skype dispose ainsi d'une fonctionnalité Skype translator de traduction simultanée, à travers l'apprentissage par la machine de données des langues utilisées. Il ne s'agit pas d'écouter les conversations, mais d'utiliser la donnée pour que la machine apprenne et sache traduire. C'est de l'exploitation de la donnée, non pas à des fins de commercialisation de vos données, mais pour améliorer nos produits, créer des fonctionnalités et les sécuriser.

Nous sommes effectivement dans un monde d'usage de la donnée, puisque l'intelligence artificielle suppose de la donnée. C'est une question de souveraineté numérique : pour que l'Europe et la France puissent avancer et accroître leur compétitivité dans cette révolution industrielle portée par le numérique, il faut que les entreprises accèdent à la donnée et utilisent la donnée. Les voitures connectées se développent sur la base de la donnée. Il existe toutefois une différence entre la collecte et l'utilisation de la donnée à des fins pertinentes pour l'utilisateur ou l'industriel qui développe des solutions et l'usage abusif des données.

Est-ce que le critère de distinction n'est pas de savoir qui paie ? Le service que vous évoquez de traduction simultanée est bien payé par l'utilisateur, et quand il l'utilise.

Absolument. Notre modèle repose sur un accès pour l'utilisateur à l'infrastructure cloud, avec de l'hébergement pur, puis, selon le contrat souscrit, à des briques logicielles. Le client utilise alors ce qu'il souhaite dans le cloud : c'est ce qu'on appelle le « Software as a Service » - les logiciels Word et Excel de la suite Microsoft Office peuvent ainsi être offert au client dans ce cloud, et utilisés depuis l'ordinateur de notre client. Toutes nos briques logicielles, y compris de « machine learning », fonctionnent de la même manière.

Une distinction doit être faite également entre notre rôle de fourniture d'infrastructures et celui de l'intégrateur. Nous intervenons en amont, en vendant l'infrastructure et éventuellement les briques de logiciel, protégées par le droit d'auteur, tandis que l'intégrateur fait communiquer nos outils avec les outils du client final. Nous nous vivons plutôt comme un fournisseur de propriété intellectuelle.

Quel est le statut de l'intégrateur ?

Il a un statut commercial et c'est souvent un partenaire de Microsoft. Il contracte avec le client final pour brancher notre système sur celui du client. Nous avons un écosystème de 10 500 partenaires qui sont les premiers à vendre nos produits et services. Il peut même s'agir d'une filiale, comme Microsoft Services.

En 2015, votre entreprise annonçait avoir débloqué une somme conséquente de 70 millions d'euros au service de la French Tech. Quel a été exactement le montant investi ? Dans quelles startups avez-vous investi ? Avez-vous pris des participations, majoritaires ou pas, dans ces entreprises ?

Nous avons effectivement annoncé en 2015 cette aide à l'écosystème français. Je ne connais pas le chiffre précis. Nous avons un modèle de support aux startups qui ne passe pas par des prises de participation. Nous les aidons à se développer, à grandir et à accéder à des réseaux de clients nationaux ou internationaux ou à nos partenaires. Avant même cette annonce de 2015, nous avions déjà des programmes autour des startups qui ont permis à certaines de devenir des géants mondiaux, comme Criteo ou Talentsoft.

Comment vivez-vous votre relation avec Criteo ?

Le programme IDEES avait été créé pour aider les startups à démarrer et Criteo comme Talentsoft ont intégré ce programme. Ces startups n'y restaient que trois ans au maximum et vivaient ensuite leur vie. C'était une forme d'accélérateur.

Ces mécanismes ne reposent pas sur des prises de participation.

Pour répondre à votre question sur les investissements, nous avons conclu un partenariat avec Station F et avons focalisé nos efforts d'aide aux startups sur la question de l'intelligence artificielle. Les startups que nous aidons dans le cadre de Station F travaillent toutes dans le domaine de l'intelligence artificielle, principal vecteur de développement de l'économie numérique.

À l'origine de ces programmes se trouve notre refus du discours selon lequel la France aurait perdu la bataille du logiciel et ne pourrait se développer dans ce domaine, coincée entre la Chine et les États-Unis. Nous considérons au contraire que la France est une terre du logiciel : les succès de la Silicon Valley reposent souvent sur un ingénieur français et Microsoft compte de nombreux ingénieurs français. Il existe en effet une école informatique française et une école mathématique française très puissantes. L'INRIA a une réputation mondiale de ce point de vue et nous avons un partenariat avec elle depuis 2006. Nous nous étions battus contre cette idée que nous aurions perdu cette bataille et nous voulions démontrer qu'il existait un écosystème et les talents en France. Je pense que ces programmes ont pu permettre l'éclosion de certains succès.

La France et l'Europe n'ont pas perdu la bataille de l'intelligence artificielle. L'Europe porte des valeurs qui peuvent clairement cadrer un certain nombre d'évolutions sur le respect des droits et libertés, comme avec le RGPD. Une bonne partie de la révolution industrielle repose non pas simplement sur l'économie numérique mais sur le développement de nos grandes entreprises et PME qui peuvent, grâce au numérique, devenir des acteurs de cette économie.

Nous avons développé des actions pour l'intelligence artificielle en France, avec une vingtaine d'écoles à horizon 2021, et avec des partenaires comme Orange ou Capgemini. Dans le cadre du service civique, nous prévoyons de sensibiliser un million de jeunes au numérique. De nombreuses actions peuvent être menées pour ne pas perdre cette bataille du numérique.

Quel niveau de formation visez-vous dans ces écoles ?

Les écoles sont sans prérequis. La première est celle d'Issy-les-Moulineaux, avec 24 étudiants. La scolarité comprend 7 mois de scolarité et 12 mois en alternance. Tous les jeunes ont trouvé un emploi, sauf un... qui a créé sa startup. Nous souhaitons implanter des écoles sur les territoires et avons déjà des écoles à Nantes, Castelnau-le-Lez, Biarritz, Lyon... L'objectif est de former des jeunes avec des partenaires, modèle qui peut être dupliqué dans d'autres pays d'Europe.

La nouvelle Présidente de la Commission européenne parlait d'un triplement du programme Erasmus + et des pistes méritent effectivement d'être explorées, notamment pour l'apprentissage, mais aussi pour les salariés déjà en poste dont les métiers vont se transformer. La souveraineté passe aussi par l'importance accordée à la question de la formation qui doit être prioritaire. La transformation digitale constitue une chance pour nos entreprises.

Vous détenez un moteur de recherche qui fonctionne, lui, très classiquement dans ce secteur, sur le modèle de l'économie de l'attention, avec des publicités ciblées et l'exploitation des données personnelles. Pensez-vous qu'avec une confiance accrue à l'égard des internautes, il serait possible de se passer de la publicité ciblée pour concevoir une logique de moteur de recherche différente ?

Nous avons conclu un partenariat avec Qwant, moteur de recherche français dont l'approche est celle que vous évoquez. Nous lui fournissons des capacités technologiques - puisque nous lui permettons d'être sur notre Plateforme Azure pour renforcer la capacité de calcul.

Plusieurs modèles existent, qui répondent aux attentes diverses des citoyens. L'intérêt du positionnement de Qwant est de montrer qu'il existe des alternatives. Imaginer d'autres façons de pratiquer la recherche sur Internet constitue une piste intéressante. C'est un écosystème en évolution permanente, la compétition est très forte et il convient de répondre aux aspirations des citoyens.

L'univers numérique a-t-il réfléchi à la possibilité que les utilisateurs paient pour un moteur de recherche ? La gratuité est attractive pour le consommateur, mais comprend effectivement des contreparties. Les citoyens, eux, ont peut-être envie de payer pour accéder à un service avec une économie différente et un classement peut-être plus neutre, ou en tous cas moins tributaire des logiques à l'oeuvre chez les autres moteurs de recherches. Un tel modèle vaut pour certaines encyclopédies en ligne. Ce modèle a-t-il du sens ?

Votre question ouvre de nombreux champs. Le numérique reflète nos sociétés. Il existe des modèles « freemium » avec un accès d'abord gratuit puis un paiement pour un service d'une autre nature, ou offrant des fonctionnalités complémentaires ou un contenu plus riche. Ce modèle s'impose d'ailleurs progressivement dans la presse avec une approche différenciée.

Au cours des dernières années, la montée en puissance de la dimension citoyenne me paraît aussi très forte : pendant longtemps, les avantages immédiats de la gratuité ont été observés. Pour différentes raisons, liées notamment à la protection des données personnelles ou au pluralisme, les aspirations citoyennes ont ensuite pris de l'importance.

La cybersécurité n'est plus un sujet de spécialistes, d'entreprises ou d'États. Avec la place de la presse ou la lutte contre les fake news, ces questions ont pris une autre dimension. Dans le cadre du Forum de Paris de la paix - qui réfléchit à de nouveaux modes de gouvernance - ceci a abouti à la signature par 66 États, 347 entreprises et 130 ONG et think tank d'un accord pour travailler ensemble sur ces sujets, avec une approche multipartite. La souveraineté des États demeure, mais la manière de mettre en oeuvre les attributs de la souveraineté évolue, ainsi que la manière de garantir les droits dans un monde numérique. Le multilatéralisme - en crise à certains égards, peut être complété et renforcé par cette approche.

D'une certaine manière, la souveraineté numérique, c'est la « souveraineté augmentée » grâce au numérique, puisque son coeur - la garantie des droits - peut être renforcé par le numérique et la participation des citoyens.

La citoyenneté repose quand même sur l'impôt qui donne le droit de participer à la collectivité et de la faire fonctionner...

Pourquoi Microsoft n'a-t-il pas, il me semble, réussi dans le système d'exploitation des smartphones alors que ce type de terminal est de plus en plus décisif aujourd'hui ?

Notre commission a découvert que vous étiez un très gros investisseur dans les câbles sous-marins : quel est votre objectif en la matière ?

Sur la question relative au système d'exploitation des mobiles, d'autres acteurs ont pris des parts de marché, et la compétition est très vive. Le choix que nous avons effectué, avec des applications fonctionnant sur tous les systèmes d'exploitation, est un mode très interopérable et compatible avec les développements open source. Nous sommes un des principaux contributeurs de Linux et avons acquis GitHub, principale plateforme de développement pour les développeurs open source. La plateforme Azure fonctionne avec de nombreux langages open source.. Face à cette innovation permanente, nous avons su trouver d'autres modèles et une place différente dans un univers conçu autour du cloud et de l'accès à différentes applications, sur les différentes plateformes. L'un des enjeux consiste à donner accès à la puissance de calcul qui permet le développement des applications propres aux entreprises. Le cloud n'est pas seulement du stockage, mais c'est aussi du « Software as a Service » et une « plateforme as a Service », permettant de développer des applications à moindre coûts.

Concernant les câbles sous-marins, la question des infrastructures est aujourd'hui évidemment essentielle. Nous disposons de datacenters partout dans le monde - avec notamment trois datacenters en France - et la question de la circulation et de l'accès à ces données est devenue essentielle.

Vous n'en aviez pas ressenti le besoin jusque-là ?

Il s'agit de répondre à notre plan de charge avec la perspective d'offrir le meilleur service. Nous fonctionnons beaucoup avec des partenariats en fonction des caractéristiques des câbles nécessaires. Pour plus de précisions techniques, je vous transmettrai la réponse par écrit.

Les opérateurs télécom ont le sentiment, peut-être caricatural, de construire des autoroutes sur lesquelles vous circulez plus ou moins gratuitement.... Or, vous vous mettez maintenant à construire vous-mêmes ! C'est honorable mais aurez-vous les mêmes contraintes ?