Le robot peut être très utile dans de nombreux cas sans être armé. Nous avons présenté un robot mule pour aider au transport de charges, à l'évacuation de blessés. Mais la question se posera et il vaut mieux y avoir réfléchi. Le comité ministériel d'éthique devra nous y aider.

Sur l'évolution du droit international, nous partagerons avec vous nos travaux conduits avec différents groupes de travail de l'ONU. Nous avons travaillé sur les thèmes suivants : le droit de répondre à toute cyberopération constitutive d'une violation du droit international ; une cyberopération peut constituer une agression armée justifiant l'usage de la légitime défense ; l'attribution d'une cyberopération d'origine étatique relève d'une décision de politique nationale.

L'entreprise Palantir fournit des services utilisés par certains ministères ou services de l'État faute d'alternative souveraine. Notre défi est de développer des solutions de confiance. Le programme Artemis (Architecture de traitement et d'exploitation massive de l'information multi-source) lancé par la DGA sera doté de 60 millions d'euros. Il a pour objectif de trouver une solution souveraine de traitement massif de données pour le ministère des armées à travers un partenariat innovant, avec Thales, Sopra-Steria, Atos et Capgemini, qui a démarré en 2017. L'industrialisation devrait commencer en 2022. Mais ce n'est pas le ministère des armées seul qui pourra assurer le financement de solutions dont notre pays, comme d'autres membres de l'Union européenne, a besoin. Nous ne pouvons pas être dépendants d'un unique fournisseur de services.

Enfin, le partenariat développé par l'école Polytechnique n'est pas sous notre radar.

La réunion est close à 12 h 35.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est ouverte à 16 h 15.

Mes chers collègues, notre commission d'enquête poursuit ses travaux avec l'audition des représentants de l'entreprise Amazon Web Services France, M. Julien Groues, directeur général, et Stéphan Hadinger, directeur technique.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines de prison prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, MM. Julien Groues et Stéphan Hadinger prêtent serment.

Nous connaissons tous les activités d'Amazon, du site de vente en ligne à la place de marché et la logistique en passant par le Cloud, la distribution physique, les assistants vocaux, la maison connectée, la musique, le cinéma, le textile, la reconnaissance faciale, le micro-travail avec Amazon Mechanical Turk ... et même le développement de lanceurs spatiaux, même si cette activité est portée par une entreprise bien distincte d'Amazon. C'est pourquoi je vous invite avant tout à répondre aux questions que nous avons à vous poser ! Je commencerai par deux questions relatives aux données.

Le Cloud Act permet aux autorités américaines de disposer des données que vous stockez, quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français, car sont concernées tant les données personnelles que les données stratégiques des entreprises, qui peuvent ainsi être pillées. Or de nombreuses entreprises françaises vous confient leurs données en utilisant vos solutions de cloud.

Pouvez-vous nous assurer qu'Amazon, ou ses filiales, ne permet pas et ne permettra pas aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles, le RGPD ?

Par ailleurs, en avril dernier, la presse a rendu public le fait qu'Amazon collecte, à travers l'assistant Alexa, les conversations de ses utilisateurs à leur insu. Surtout, les données enregistrées sont transmises à des centres d'écoute où des humains les analysent, afin d'améliorer les performances de reconnaissance vocale. Certains employés de ces centres auraient confié avoir été témoins de moments intimes, criminels, voire des deux. Or cette information n'a jamais été clairement communiquée aux consommateurs et on peut légitimement penser que nombre de ceux-ci n'auraient pas acheté votre enceinte connectée s'ils avaient su qu'ils pouvaient être écoutés par des humains.

Cet été, une autorité allemande de protection des données a ordonné à Google de mettre un terme à cette pratique. Dans la foulée, Apple a annoncé une suspension temporaire de cette pratique, le temps de permettre à ses clients de choisir d'y participer ou non. Quid d'Amazon ? Pourquoi ne pas avoir été plus clair avec les utilisateurs ? Plus généralement, quelle est votre politique de protection des données à caractère personnel ?

Je vous remercie de votre invitation. Ces deux questions d'introduction vont me permettre d'apporter un certain nombre d'éclaircissements. Il s'agit de sujets extrêmement importants et complexes, qui méritent le temps de la réflexion et de l'échange.

Avant d'y répondre et d'aborder le sujet de la souveraineté numérique, qui nous amène ici, je voudrais revenir sur les activités d'Amazon Web Services que nous représentons aujourd'hui - j'utiliserai l'acronyme AWS pour plus de simplicité -, et sur notre approche de la sécurité et la confidentialité.

AWS, au sein du groupe Amazon, est une entité séparée du reste des activités de distribution et de détaillant d'Amazon.com et d'Amazon.fr. Le groupe Amazon.com a ouvert ses portes virtuelles en 1995 et, comme toute entreprise, a eu des besoins grandissants en matière d'informatique, d'infrastructures pour gérer une base de clientèle de plus en plus large, avec des besoins de création d'applications et de mise à disposition de ces applications à un nombre croissant de clients à travers le monde.

Après une décennie où ont été créées ces infrastructures informatiques, nous nous sommes rendu compte que nous avions de réelles compétences dans la création d'applications modernes, sécurisées et rapides, d'une part, et en matière d'opération de centres de données de taille importante, d'autre part.

Depuis environ 13 ans aujourd'hui, c'est-à-dire depuis 2006, où nous avons lancé les premiers services d'AWS, nous proposons des solutions cloud à nos clients. Nous avons désormais une nouvelle mission, qui est d'accompagner les développeurs et les entreprises dans leur utilisation de plateformes webs afin de leur permettre de créer leurs propres applications sécurisées et performantes. Concrètement, nous proposons aujourd'hui 165 services à la demande, que les entreprises et les développeurs peuvent utiliser. Il s'agit principalement de puissance de calcul de stockage, d'intelligence artificielle, avec la reconnaissance faciale, la sécurité, l'Internet des objets, etc.

Nous avons des centres de données dans 22 régions dans le monde, notamment en Europe, aux États-Unis, au Brésil, au Japon et en Afrique du Sud, de sorte que nous pouvons servir nos clients à peu près partout sur la planète. Depuis 2017, nous avons ouvert une « région » en France. Constitue une région, pour AWS, trois zones de disponibilité, chacune disposant au moins d'un centre de données, ce qui nous permet d'offrir des services dans la région de Paris à nos clients, mais aussi à nos clients étrangers qui souhaitent héberger leurs données sur le territoire français.

Il s'agit d'investissements importants, comme vous pouvez l'imaginer, mais qui permettent à nos clients d'avoir des applications extrêmement rapides en France, et aussi, pour ceux qui le souhaitent, de pouvoir héberger leurs données sur le territoire français.

AWS a des millions de clients dans plus de 190 pays aujourd'hui. Cela va des multinationales aux petites entreprises, des universités aux hôpitaux, des agences d'État aux sociétés pharmaceutiques, mais il y a aussi Amazon.com, le détaillant.

On peut dire que nos clients utilisent les services d'AWS pour réinventer l'expérience de leurs propres clients. Cela se voit aujourd'hui dans le divertissement, dans l'hôtellerie, dans le luxe, dans les jeux vidéo. Des organismes privés et publics utilisent les services d'AWS pour améliorer la vie de nos concitoyens. Ainsi, le centre de recherche contre le cancer de Londres utilise la puissance du cloud AWS pour calculer en quelques minutes les dosages des traitements, ce qui améliore la vie des patients. De même, l'organisation Thorn, aux États-Unis, utilise la reconnaissance faciale sur les images d'Internet pour identifier les victimes du trafic d'êtres humains.

En France, nous avons des dizaines de milliers de clients, qui vont des start-up aux multinationales et aux grandes entreprises du CAC 40. Des organisations à but non lucratif bénéficient elles aussi des services du cloud AWS pour innover et améliorer l'expérience de nos concitoyens. Ces entreprises et organismes s'appuient sur un large réseau de partenaires en France, avec notamment Atos, Capgemini ou Accenture.

Aujourd'hui, lorsque nous interrogeons nos clients, ils nous disent faire confiance à AWS pour cinq raisons : l'agilité, la réduction des coûts informatiques, l'élasticité, la capacité à innover et la capacité de se déployer mondialement.

J'en viens à la sécurité, qui faisait l'objet de votre question. Effectivement, c'est une question prioritaire pour nos clients comme pour nous. Je vous rassure, chez AWS, c'est même la première des priorités. D'ailleurs, notre directeur technique nous le rappelle souvent : sans sécurité, nous perdrions bien évidemment la confiance de nos clients.

Il y a, parmi nos clients, des prestataires de services financiers ou de soins, des organisations opérant sur des marchés régulés, qui attachent une importance toute particulière à cette question de la sécurité des données. En général, ils se tournent vers nous pour quatre raisons.

La première, c'est la protection des données. Les infrastructures physiques d'AWS permettent des dispositifs de protection efficace pour assurer la confidentialité des clients. Toutes les données sont stockées dans des centres de données hautement sécurisés.

La deuxième, c'est le respect des exigences en matière de conformité. Nous gérons des dizaines de programmes de conformité dans nos infrastructures, dont nous faisons bénéficier tous nos clients. Nous sommes d'ailleurs contrôlés très fréquemment par des auditeurs tiers.

La troisième raison, c'est la mise à l'échelle rapide. Aujourd'hui, que vous soyez un développeur ou une grande entreprise, vous bénéficiez des mêmes niveaux de sécurité dans le cloud, quelle que soit la taille de votre entreprise.

Enfin, la dernière, c'est de pouvoir réaliser des économies considérables. La sécurité nécessite des investissements extrêmement importants pour les entreprises. En utilisant le cloud AWS, vous bénéficiez des investissements que nous avons réalisés. Nos équipes parlent énormément de sécurité avec nos clients, avec les développeurs, avec les start-up, et les accompagnent pour partager les bonnes pratiques, notamment l'utilisation du chiffrement.

J'en viens au sujet de la souveraineté numérique, qui nous réunit aujourd'hui. C'est un sujet qui est complexe, et vous êtes bien placés pour le savoir après avoir auditionné de nombreuses entreprises, experts et représentants du Gouvernement.

À mon sens, s'agissant de l'utilisation de la technologie cloud, la question de la souveraineté peut se réduire à celle de la sécurité de données qui sont confiés aux fournisseurs tels qu'AWS. Pour répondre à cet enjeu, il faut, selon nous, assurer la combinaison de quatre facteurs. Tout d'abord, il faut que nos clients gardent la propriété et le contrôle de leurs données. Dans les contrats d'Amazon Web Services, ce point est extrêmement clair : nos clients gardent le contrôle de leurs données. Qui y a accès ? À quelles données ? Ce contrôle, c'est nos clients qui le décident. Par ailleurs, même si ces données nous sont confiées pour des traitements, nos clients en gardent la propriété.

Ensuite, nos clients choisissent la localisation de leur stockage, quel que soit leur pays d'origine. En outre, ils ont la garantie de la réversibilité. Ils peuvent changer de fournisseur ou rapatrier leurs données dans leurs propres centres d'hébergement. C'est un point extrêmement important de cette souveraineté. Enfin, l'utilisation de notre technologie permet aux entreprises de libérer de la main-d'oeuvre et des marges de manoeuvre financières qu'elles peuvent concentrer sur l'innovation et la création de nouveaux services.

Pour conclure, et avant de laisser Stéphan Hadinger vous répondre sur la question plus précise du Cloud Act, je tiens à dire que nous offrons de véritables opportunités à nos entreprises pour innover au profit des citoyens. L'avenir des entreprises, c'est de savoir exploiter leurs données pour créer de la valeur. De plus en plus de start-up françaises doivent émerger et se déployer mondialement. C'est pour cela que nous soutenons de nombreux programmes d'éducation avec les universités pour former les personnes qui le souhaitent aux nouvelles technologies. Nous allons former environ 3 000 personnes cette année. Nous fournissons enfin un accompagnement technique aux start-up afin qu'elles puissent se concentrer sur la création de leur modèle d'affaires. C'est un enjeu extrêmement important pour la souveraineté d'un pays que de savoir maîtriser cet environnement.

Le Cloud Act est effectivement une question essentielle qui a suscité de nombreuses interrogations, en particulier depuis son entrée en vigueur début 2018. Nous avons assisté à beaucoup de controverses, notamment sur l'idée que le Cloud Act permettait au gouvernement américain d'avoir un accès libre et sans entrave aux données des clients de fournisseurs de cloud, ce qui est faux. Il a également été avancé que l'on ne pouvait plus avoir confiance dans les fournisseurs de cloud américains, ce qui est également faux. Par ailleurs, il faut savoir qu'il ne s'applique pas qu'aux fournisseurs de cloud.

Je vous propose donc d'aborder quelques-uns des plus grands mythes, qui sont autant d'idées fausses, autour du Cloud Act. Tout d'abord, d'après l'analyse de nos juristes, le Cloud Act ne fournit pas aux autorités judiciaires américaines un accès direct et illimité aux données stockées. C'est un mécanisme qui permet aux autorités de saisir un tribunal pour demander l'accès à des données dans le cadre d'affaires criminelles et pénales graves, comme des cas de terrorisme, des cas de pédophilie ou d'infractions liées à la drogue. Les autorités doivent respecter des normes juridiques rigoureuses pour obtenir un mandat délivré par un tribunal américain. Notamment, un juge indépendant doit conclure que les preuves recherchées sont clairement spécifiées et que les motifs qui sont présentés par les autorités sont raisonnables et directement liés à un crime. Enfin, la demande doit être claire, précise et proportionnée. Notons que ces normes sont parmi les plus strictes au monde.

Ensuite, le Cloud Act ne modifie pas la manière dont AWS protège les données de ses clients. Nous sommes toujours extrêmement précautionneux et rigoureux quant à la protection des données. En effet, le Cloud Act reconnaît spécifiquement le droit pour les fournisseurs de cloud de contester toute demande d'accès. Concrètement, chaque fois que nous recevons une demande, quel qu'en soit, d'ailleurs, le pays d'origine, nous avons une équipe dédiée de juristes qui analyse la demande et qui vérifie que l'émetteur de la demande est bien habilité. Nous informons également nos clients afin qu'ils puissent se défendre contre cette demande. Généralement, l'analyse conclut soit à une contestation de la demande, si elle n'est pas conforme aux normes, ou si nous la jugeons contraire à des lois internationales ou à des intérêts de pays étrangers, soit à une réponse partielle ou complète. Dans ce dernier cas, la décision remonte directement au plus haut niveau de l'entreprise, et, pour nos équipes techniques, ce sujet est traité comme un incident de sécurité.

Les deux points que je viens de présenter englobent la partie juridique de la protection des données, mais il y aussi des mécanismes techniques. Nous invitons très fortement nos clients à chiffrer leurs données, en particulier leurs données sensibles, dans le cloud. Pour cela, nous leur fournissons des services, mais ils sont libres d'utiliser toute technologie qu'ils souhaitent. Notons également que le Cloud Act n'oblige pas les fournisseurs de cloud à déchiffrer les données. Or, comme vous le savez, une donnée chiffrée sans la clé correspondante est complètement inutilisable.

Enfin, il faut savoir que le Cloud Act ne s'applique pas qu'aux fournisseurs de cloud. Ce terme est un acronyme qui signifie clarifying lawful overseas use of data, que je traduirai par « clarifier l'utilisation licite de données à l'étranger ». Malheureusement, l'utilisation de cet acronyme a laissé penser que le Cloud Act ne s'appliquait qu'au cloud, ce qui est une idée fausse. En réalité, il s'applique de manière beaucoup plus large, notamment aux services de télécommunication, et concerne donc les opérateurs de téléphonie mobile ou fixe, aux plateformes de médias sociaux, aux plateformes de messagerie, et bien sûr, aux plateformes de cloud.

Notons également qu'en vertu d'un droit international bien établi et complètement indépendant du Cloud Act, une entreprise est soumise à la juridiction des États-Unis si elle est américaine, bien sûr, mais également si elle entretient des contacts minimaux avec les États-Unis. En conséquence, une société non américaine sera aussi soumise au Cloud Act si elle a, par exemple, une succursale, un bureau, une filiale ou des employés sur le territoire américain. Le ministère de la justice a récemment fait remarquer que le fait d'avoir un site web qui vend à des clients américains, sans même avoir une présence sur le territoire américain, était probablement suffisant pour relever de la juridiction des États-Unis. M. Richard Downing, du département de la justice, a conclu qu'aujourd'hui la plupart des grands fournisseurs de cloud américains ou non américains étaient soumis à la juridiction des États-Unis.

En conclusion, comme vous le constatez, nous prenons le Cloud Act très au sérieux. Nous n'en faisons pas la promotion ; néanmoins, nous appliquons la loi, et nous devons à nos clients des explications et de la transparence. Toutefois, nous constatons qu'il provoque beaucoup de confusion. C'est pourquoi il me semble nécessaire de mener rapidement des négociations entre la France et les États-Unis, ou entre l'Europe et les États-Unis, afin d'établir un cadre juridique clair. C'est d'ailleurs ce qu'a déclaré M. Bruno Le Maire le 2 juillet dernier à Bruxelles.

Vous êtes au fond prestataire des concurrents de votre maison-mère ...

Nous opérons dans de nombreux secteurs, et effectivement, parmi nos millions de clients, certains ont des services ou des offres qui peuvent être concurrents de ceux du groupe Amazon.

Est-ce qu'AWS pourrait exister indépendamment d'Amazon ?

Aujourd'hui, ce sont deux entreprises distinctes, toutes les deux avec un PDG à sa tête. Amazon.com est client d'AWS.

Et AWS a-t-il l'exclusivité des prestations informatiques pour le compte d'Amazon.com ?

Je n'ai pas la réponse. Une majorité de ces prestations, je pense.

Je n'ai pas de question à proprement parler, puisque nous n'avons pas assez de recul par rapport au Cloud Act. Certains de nos interlocuteurs nous ont déjà présenté cet argument qui consiste à dire qu'il ne s'agit pas d'un pouvoir absolu de l'administration américaine, laquelle doit passer par un juge indépendant, ce qui n'est pas tout à fait la même chose, surtout quand on connaît les magistrats américains. Quelle est la procédure d'appel si un magistrat refuse l'accès aux données au Trésor américain ?

Comme vous avez pu le constater, je ne suis pas juriste...

Vous maîtrisez pourtant parfaitement votre sujet !

Je ne pourrai cependant pas entrer dans les détails. Je le répète, la sécurité est vraiment la priorité pour nos clients, et nous leur offrons une protection tant juridique que technique.

J'ai du mal à concevoir que vous puissiez transmettre avec un grand sourire à un procureur américain ayant obtenu satisfaction auprès d'un juge indépendant des données chiffrées, donc parfaitement incompréhensibles...

Nous mettons à disposition de nos clients des solutions de chiffrement intégrées. C'est un progrès pour nombre de nos clients qui devaient suivre un cheminement lent et coûteux quand ils souhaitaient procéder au chiffrement dans leurs propres infrastructures. Avec notre cloud, en quelques clics, vous pouvez assurer la totalité du chiffrement sur la totalité de vos infrastructures. Après, il reste la question des clés de chiffrement. Nous proposons des solutions intégrées où les clés sont gérées dans des boîtiers - des HSM (Hardware Security Module), des modules de sécurité matérielle -, qui sont construits pour que les clés ne puissent jamais en sortir. Cela reste une option, et nos clients peuvent choisir de surchiffrer leurs données les plus sensibles avec des solutions de partenaires tels que Thalès.

Quelle sera l'attitude de l'hébergeur vis-à-vis d'un procureur américain ayant obtenu la communication partielle de données chiffrées et se retrouvant comme une poule avec un couteau ? Il faut bien expliquer à la poule comment fonctionne le couteau...

Ces mécanismes de boîtiers de sécurité que nous utilisons, et que certains de nos partenaires commercialisent, sont conçus techniquement pour que seul le client ait accès aux clés pour déclencher un déchiffrement.

Vous renvoyez donc le procureur vers le client.

Vous ne pouvez donner que ce que vous avez.

Monsieur le directeur, avez-vous un lien autre qu'actionnarial avec votre société-mère ? Autrement dit, est-ce que les données dont vous disposez peuvent être réclamées par votre société-mère ?

Par ailleurs, vous nous avez un peu rassurés sur le Cloud Act, mais qu'est-ce qui empêche de faire un second Cloud Act qui irait un cran plus loin et qui vous obligerait plus qu'avant par rapport aux autorités américaines ? On peut penser à l'affaire du pétrole iranien.

Sur les liens entre Amazon.com et AWS, je le répète, il s'agit de deux entités séparées du groupe Amazon. Au sein d'AWS, nous gérons le groupe Amazon comme tous les autres clients, avec une séparation des données, des environnements et de nos procédures.

Ce n'est pas tout à fait ma question. Sans violer le secret des affaires, pouvez-vous nous dire si vous avez un lien contractuel avec Amazon.com qui vous obligerait à faire remonter vers cette entité des données sur vos autres clients ?

Je n'ai jamais connu ce cas de figure. Je me renseignerai et reviendrai vers vous pour vous donner la réponse.

Existe-t-il des solutions fiables et accessibles financièrement aux particuliers pour le chiffrement des données personnelles ? Je pense par exemple aux données captées par Amazon.com.

Je vais revenir sur le modèle de sécurité, ce que l'on appelle le modèle de responsabilité partagée d'AWS. Nous faisons en sorte que les données appartiennent à tout moment exclusivement à nos clients, qui ont tous les contrôles sur les modalités d'accès à ces données et qui peuvent mettre en place des mécanismes de chiffrement s'ils le souhaitent. Cela signifie aussi qu'eux seuls connaissent la nature de ces données. Nos services opérant de manière automatique, nous n'avons aucune connaissance, dans la majorité des cas, du type de données pour lesquelles nos clients utilisent le cloud AWS. Le seul cas où nous en avons connaissance, c'est quand nous travaillons avec eux sur des références publiques. J'y insiste, grâce à la plateforme, nous n'avons pas connaissance du type de données que mettent de nos clients. Partant de là, nous appliquons des normes de sécurité internationales, comme l'ISO 27001, le PCI DSS (Payment Card Industry Data Security Standard), norme de sécurité protégeant les informations confidentielles, qui est lié à la sécurisation des numéros de carte bancaire, et ce de manière uniforme sur l'ensemble des données de nos millions de clients. Si vous utilisez AWS pour mettre des données personnelles, la plateforme est sécurisée comme s'il s'agissait de données bancaires ou de données de santé, car nous appliquons toujours ce même modèle.

La réponse est donc oui : vous pouvez utiliser le cloud AWS pour vos données personnelles et vous pouvez les chiffrer. Nous proposons un service simple, qui s'active en un seul clic, et dont le coût est nul ou quasi nul selon les cas.

Ce n'est pas tout à fait ma question. Si j'utilise Amazon « commerce » pour une recherche, cela crée un flux de données, de connexions. Est-ce que ces données de navigation, de circulation peuvent rester personnelles et non utilisables par un tiers, fût-il Amazon ?

Vous l'avez compris Amazon.com et Amazon.fr sont des clients d'AWS, et opèrent leurs propres applications ...

Donc vous ne pouvez pas me répondre...

Effectivement, je ne connais pas en détail les mécanismes qu'utilisent Amazon.fr et Amazon.com.

Lorsque l'on cherche quelque chose chez Amazon, la Pierre philosophale, par exemple, on accumule toute une série de de recherches et toutes ces démarches sont chez Amazon.com, qui, peut-être, va demander à AWS de les stocker s'il considère que cela vaut le coup de les garder. AWS n'est pas saisi par le client final. C'est Amazon qui apporte des données à héberger.

Lesquelles données sont réutilisées, mais cela ne me pose pas de problème. Je souhaitais juste des précisions sur l'enjeu fondamental que vous avez pointé, à savoir le chiffrement des données. Pour conclure, j'aurai deux questions à vous poser. Comment prenez-vous en compte d'éventuelles contradictions entre le Cloud Act et le RGPD ? Avez-vous des statistiques concernant les demandes d'accès formulées par les États-Unis ?

Effectivement, entre le RGPD et le Cloud Act, d'après nos juristes, il peut y avoir un confit. Cela nous donne des éléments supplémentaires pour contester les demandes américaines. Le Cloud Act prévoit d'ailleurs ce cas de conflit avec les droits des pays dans lesquels sont stockées les données.

Sur ces questions de sécurité, nous publions des rapports de transparence. Dans les douze derniers mois, nous avons reçu 25 demandes émanant des autorités judiciaires américaines. La majorité de ces demandes concernait des clients américains sur le territoire américain. La majorité de ces demandes a été contestée. Aucune de ces demandes ne concernait une société cotée, une organisation publique ou un client français.

La réunion est close à 16 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est ouverte à 16 h 55.

Nous entendons à présent des représentants de l'entreprise Apple : MM. Michel Coulomb, responsable des ventes pour l'Europe du Sud, Daniel Matray, responsable App Store pour l'Europe, et Erik Neuenschwander, responsable Vie privée des utilisateurs.

Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, MM. Michel Coulomb, Daniel Matray et Erik Neuenschwander prêtent serment.

Nous connaissons tous les activités d'Apple, du concepteur de terminaux - ordinateurs, téléphones intelligents, tablettes - au navigateur web en passant par le système d'exploitation, le magasin d'applications, les assistants vocaux ou encore les objets connectés.

Je commencerai par deux questions relatives aux données.

Le Cloud Act permet aux autorités américaines de disposer des données stockées, et ce quel que soit le lieu de stockage. Cela inquiète légitimement les pouvoirs publics français car les données personnelles aussi bien que les données stratégiques des entreprises peuvent ainsi être pillées. Or de nombreux utilisateurs confient leurs données à iCloud, dans le cadre duquel votre firme a au demeurant recours à des sous-traitants comme Google ou Amazon. Pouvez-vous nous assurer qu'Apple ne permet pas et ne permettra pas aux autorités américaines de prendre connaissance des données de nos concitoyens et de nos entreprises ? Comment comptez-vous concilier ces obligations avec les règles européennes protégeant les données personnelles (RGPD) ?

Par ailleurs, la presse a rendu public le fait que les assistants vocaux d'Amazon, de Google, de Microsoft et d'Apple enregistraient les conversations de ses utilisateurs à leur insu. Les données enregistrées sont transmises à des centres d'écoute où des humains les analysent, afin d'améliorer les performances des systèmes de reconnaissance vocale. Certains employés de ces centres auraient confié avoir été témoins de moments intimes, criminels, voire des deux. Cette information n'a jamais été clairement communiquée aux consommateurs et on peut légitimement penser que nombre d'entre eux n'auraient pas acheté votre enceinte connectée s'ils avaient su qu'ils pouvaient être écoutés par des humains.

Cet été, une autorité allemande de protection des données a ordonné à Google de remédier à cette situation. Dans la foulée, Apple a annoncé une suspension temporaire de cette pratique, le temps de laisser à ses clients la possibilité d'accepter ou de refuser d'y participer. Pourquoi ne pas avoir été plus clair avec vos utilisateurs ?

Enfin, Apple communique beaucoup sur sa volonté de se différencier des autres Gafam, professionnels de la collecte de données personnelles. Quelles mesures avez-vous mises en place pour respecter la vie privée des utilisateurs ?

Le respect de la vie privée est au coeur de nos activités, de la conception et du développement de nos produits et services, depuis 44 ans qu'Apple existe et 38 ans que l'entreprise est implantée en France. Nous respectons toutes les lois européennes en la matière : les données de nos utilisateurs européens sont régies par le RGPD, et nous faisons du respect de ce règlement une priorité absolue.

Nous avons une équipe basée à Cork, en Irlande, dirigée par un officier de protection des données, qui travaille avec les autorités au niveau mondial, afin d'examiner la légitimité des requêtes de ces dernières et d'y répondre. Le RGPD est appliqué à ces requêtes, quel que soit l'endroit où les données sont stockées. Quant aux sous-traitants, ils conservent les données que nous leur confions sous une forme encryptée, sans avoir accès à la clé de décryptage qui est stockée dans les centres de données d'Apple.

Avant même le lancement de l'assistance vocale Siri, nous avons conduit une évaluation sur ses conséquences en matière de vie privée, et appliqué à cet outil le privacy by design (le respect de la vie privée dès la conception), comme à tous nos produits et services. Son principe le plus important est la « minimisation » des données, qui consiste à laisser autant que possible ces données sur l'appareil lui-même et à en « minimiser » la collecte. Nous limitons également l'utilisation des données récoltées au service lui-même. Ainsi les données remontées par Siri ne sont utilisées que pour servir à l'amélioration du programme, avec un identifiant anonymisé généré de manière aléatoire par l'appareil lui-même. Ainsi, les données sont associées à l'appareil, mais pas à l'utilisateur lui-même.

Autres principes importants du privacy by design, la transparence et le consentement. L'utilisation de Siri sur un appareil est au libre choix de son propriétaire : un écran lui propose de donner ou non son consentement, en lui fournissant des informations sur la conception de Siri et en précisant que l'utilisation des données est exclusivement prévue pour améliorer le programme dans une procédure de contrôle qualité appelée grading.

Malgré cela, le public a estimé qu'Apple ne respectait pas ses standards élevés en matière de vie privée. Nous avons donc, de manière proactive, suspendu le grading tout en menant une évaluation en interne afin de garantir que l'ensemble de nos procédures respectent ces standards. Le grading ne sera rétabli qu'après des changements en ce sens. Ainsi, nous ne stockerons plus les données audio des utilisateurs par défaut ; à la place, ceux-ci devront donner leur consentement pour qu'elles soient stockées et utilisées pour améliorer Siri.

Comment stockez-vous et traitez-vous les empreintes digitales que vous recueilliez via TouchID et les photographies qui vous sont envoyées par FaceID ? Ces données restent-elles sur l'appareil ou sont-elles stockées sur l'iCloud ?

Les informations recueillies via FaceID et TouchID sont uniquement stockées sur l'appareil et ni Apple, ni une tierce partie ne peuvent y accéder. Pour les photographies, plusieurs méthodes de stockage sont possibles. Beaucoup de consommateurs préfèrent les stocker sur le cloud afin de les partager. Elles y sont alors stockées sous forme encryptée, et Apple n'y a pas accès.

Que ferez-vous des données recueillies par la nouvelle fonctionnalité de signature de documents ?

Nous avons en effet annoncé au moins de juin cette nouvelle fonctionnalité, Sign In with Apple, qui sera intégrée à la prochaine mise à jour d'iOS et des autres logiciels au mois d'octobre.

Sign in with Apple donne aux utilisateurs la possibilité de s'identifier sans avoir à créer de nouveaux mots de passe - ce qui multiplie les risques d'oubli et expose au phishing, une pratique consistant à subtiliser les mots de passe des utilisateurs pour prendre le contrôle de leur compte.

De plus, nous proposons une authentification à deux facteurs (two-factor authentication) pour améliorer la sécurité des comptes Apple : un code sera envoyé sur le téléphone de l'utilisateur, en plus du code d'accès. La grande majorité de nos comptes ont désormais cette fonctionnalité.

Mais la troisième fonctionnalité est la plus importante, car elle assure que les données collectées ne sont pas utilisées à d'autres fins. D'abord, Apple ne construit pas de profil utilisateur sur la base d'une connexion via l'identification Apple à une application de sport ou de restauration par exemple. Ensuite, Apple donnera la possibilité à l'utilisateur de fournir à chacune des entreprises avec lesquelles il est en relation une adresse électronique ad hoc pour le contacter. Ainsi, il sera plus difficile pour ces entreprises de réunir et combiner les données qu'elles auront reçues.

C'est pourquoi nous estimons que Sign in with Apple améliorera la sécurité et la confidentialité des données des utilisateurs.

Apple fait l'objet d'un récent recours collectif déposé par des développeurs, qui contestent notamment la commission de 30 % prélevée par l'entreprise contre l'accès à son magasin d'applications. Ce chiffre est-il immuable ou négociable ?

Nous avons développé un système d'exploitation pour chacun de nos produits. En revanche, nous développons peu de logiciels nous-mêmes et nous préférons travailler avec des développeurs extérieurs afin d'enrichir le panel à disposition des utilisateurs. 20 millions de développeurs travaillent avec nous dans le monde, dont plusieurs centaines de milliers en France. Nous avons créé une véritable économie à partir de rien, puisque l'App Store n'existait pas il y a onze ans. En une décennie, nous avons versé 1,3 milliard d'euros aux développeurs français au titre des ventes réalisées sur l'App Store en France et partout dans le monde. Nous sommes présents dans 155 pays : autant de marchés accessibles immédiatement aux développeurs qui lancent une application sur notre plateforme.

Nos deux millions d'apps sont disponibles dans 155 pays et 81 langues. L'App Store a révolutionné la distribution de logiciels, qui voici onze ans s'effectuait encore par voie physique.

Notre premier objectif est que les consommateurs puissent trouver sur l'App Store les meilleures applications adaptées à leurs besoins. Le deuxième pilier, c'est que les développeurs d'applications aient un canal de distribution dans les 155 pays où nous sommes présents pour toucher le plus grand nombre possible de clients. Ces 20 millions de développeurs se trouvent aussi bien dans un garage en Californie que dans une grande entreprise à Paris ou une PME dans la Marne. Nous les rencontrons régulièrement, pour leur expliquer les outils et les procédures. Il y a beaucoup de success stories liées à l'App Store en France.

Le développeur peut choisir de rendre son logiciel payant, mais il existe d'autres options comme la publicité ou la vente de produits physiques. Pour les applications gratuites, Apple ne perçoit pas de commission. En revanche, nous prélevons une commission de 30 % pour la vente des applications payantes, qui utilisent nos moyens de paiement. Ayant moi-même été développeur, je rappelle néanmoins qu'à l'époque de la distribution physique de logiciels, la commission était comprise entre 60 et 70 %. Le développeur d'aujourd'hui peut créer une application à domicile, avec toute la technologie mise à disposition par Apple, qui la distribue ensuite. Plus besoin, pour le développeur, de trouver un distributeur local pour chaque marché.

Qu'en est-il de votre pénétration du secteur bancaire, avec le lancement d'ApplePay et bientôt de l'Apple Card ? Qu'en est-il également de vos intentions dans le domaine des véhicules autonomes ?

Nous cherchons à développer des services visant à simplifier la vie de nos utilisateurs. Lancé en France il y a trois ans, ApplePay s'inscrit dans cette logique en proposant sous forme dématérialisée les cartes de crédit de nos 34 banques partenaires. En d'autres termes, c'est une carte de crédit virtuelle. Apple n'est pas un établissement financier, mais se présente comme un relais technologique pour faciliter l'utilisation des cartes de crédit.

L'Apple Card a été lancée au mois de juillet aux États-Unis, en partenariat avec Goldman Sachs.

Quant aux véhicules autonomes, Apple n'a pas annoncé de nouveaux produits pour l'automobile. Nous proposons seulement le logiciel CarPlay, disponible sur presque tous les modèles automobiles, qui fait apparaître les fonctionnalités de l'iPhone sur l'écran de la voiture.

Apple a récemment racheté la start-up Drive.ai, qui travaille sur les véhicules autonomes...

Les rachats de start-ups ne font pas l'objet d'annonces, c'est pourquoi je ne puis vous en dire davantage sur ce point, mais j'essaierai de vous apporter des précisions.

Le fait qu'une partie des données soit exploitée par Apple, et l'autre non rend les choses illisibles et incompréhensibles. Une solution du type « tout ou rien » ne serait-elle pas préférable ?

Comment expliquez-vous qu'Apple n'ait pas percé dans le monde administratif français, laissant d'autres technologies s'imposer ?

Nous avons un succès considérable auprès des consommateurs français et des professionnels : depuis nos débuts, nous sommes présents sur le marché de l'éducation, et dans le monde de l'entreprise et du secteur public. Cependant, nous sommes un fournisseur parmi d'autres, dans un secteur très compétitif, avec un nombre d'options très important pour les utilisateurs et avec des concurrents venant du monde entier.

Toutes les administrations sont présentes sur nos plateformes : la majorité des entreprises publiques ont une application dans l'Apple Store ou sont disponibles sur nos différentes plateformes. Nous sommes très ouverts aux administrations, comme aux entreprises privées, et nous travaillons avec elles pour développer des applications à l'intention de leurs administrés et de leurs clients.

La sécurité est très importante : pour développer une application et accéder à notre plateforme, il faut respecter des règles très précises. Les consommateurs doivent être protégés et connaître la provenance de leurs applications.

La compréhension et la confiance de l'utilisateur constituent une part importante du respect de la vie privée. Nous essayons de diminuer les sources de confusion. Nous y contribuons notamment en développant une technologie embarquée dans l'appareil pour améliorer l'expérience utilisateur sans qu'Apple ait à traiter les données. Ainsi, la reconnaissance faciale est entièrement traitée par l'appareil de l'utilisateur, grâce aux photographies qu'il a fournies, sans remontée jusqu'à Apple. C'est l'ambition que nous nous sommes fixée : améliorer l'expérience utilisateur sous le contrôle direct de ce dernier.

Lorsqu'il est nécessaire de faire remonter des données, nous avons développé les alertes au moment approprié (just in time alerts or just in time consents, l'alerte au bon moment ou le consentement au bon moment) pour avertir le consommateur des avantages d'une utilisation donnée et de l'usage qui sera fait des données transmises. Ce n'est pas parfait, mais nous nous engageons à améliorer nos processus et à réduire les erreurs dans ce domaine.

J'utilise probablement des ordinateurs Mac depuis 38 ans... J'ai commencé avec un Mac 512, à une époque où le logiciel devait être chargé dans l'ordinateur via une disquette. Mais pendant ces 38 ans, Apple a aussi formaté mon esprit, au point que je n'arrive pas à changer de système d'exploitation ! Votre modèle économique est d'autant plus réussi que vous ne vendez plus de logiciels : une grande partie de votre notoriété repose sur votre capacité à formater la manière dont nous utilisons vos produits. N'y voyez aucun reproche, mais plutôt une servitude volontaire ! Apple a néanmoins une certaine réticence à accepter l'interopérabilité et à nous permettre de recréer le même univers numérique avec d'autres matériels. N'y a-t-il pas une contradiction entre ce modèle économique et l'interopérabilité, qui est l'une des conditions de la souveraineté numérique ?

En matière de technologie, 38 ans, c'est une très longue période. Nous avons su conserver la confiance de nos clients en innovant et en créant constamment de nouveaux produits et services sans dévier de nos fondamentaux : excellence des produits, respect de l'environnement et de la vie privée, recherche d'une technologie au croisement avec les sciences humaines. Apple est spécial parce que nous avons toujours développé, de façon synchrone, des produits matériels et des logiciels.

Nous avons fait en sorte que les données des utilisateurs puissent être transférées librement d'un service à l'autre grâce à un portail que nous avons mis à leur disposition, et à partir duquel ils peuvent obtenir des copies de leurs données. C'est l'une des exigences fondamentales du RGPD. Nous sommes heureux de le faire et confiants dans le fait que nos clients resteront convaincus de l'intérêt de nos services.

La très grande majorité de nos services, comme iTunes ou Apple Music, sont disponibles sur d'autres plateformes, que ce soit Windows, Android ou Google. Nous sommes un environnement ouvert. Les applications de l'App Store peuvent être transférées sur des périphériques et d'autres accessoires. Cette liberté, tout en garantissant une sécurité optimale, est dans l'intérêt du consommateur.

Que se passe-t-il si, en vertu du Cloud Act, un juge américain persiste à donner aux autorités des États-Unis un accès à des données personnelles protégées par le RGPD ? Quel volume de demandes a été adressé à Apple par un juge, et combien d'entre elles ont été acceptées ?

Les demandes de ce type sont adressées au bureau de la protection des données d'Apple, qui applique le RGPD.

Les statistiques sur le nombre de demandes et les réponses qui y ont été apportées, pays par pays, sont disponibles sur notre site, sur une page dédiée : www.apple.com/legal/transparency/.

La réunion est close à 17 h 45.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.