Intervention de Catherine Morin-Desailly

Monsieur le président, madame la ministre, mes chers collègues, pour le rapport que j’ai présenté, en mars dernier, au nom de notre commission des affaires européennes, j’ai retenu un titre volontairement provocateur : L’Union européenne, colonie du monde numérique ?

Oui, la colonisation numérique de l’Europe est en marche, et j’ai souhaité contribuer à une prise de conscience politique et à un sursaut français et européen. En effet, l’approche européenne du numérique manque d’envergure politique : qui se soucie de savoir si l’Union européenne sera consommatrice ou productrice sur le marché unique numérique ? Qui s’inquiète de la perte de souveraineté de l’Union européenne sur ses données?

C’est animée par ces préoccupations que, sur mon initiative, notre commission, dont je remercie le président, a adressé en juin dernier à la Commission européenne un avis politique fondé sur les conclusions de mon rapport. Dans la réponse qu’elle m’a adressée dans le courant du mois de septembre, la Commission énumère tous les projets législatifs en cours qui peuvent contribuer à la croissance numérique de l’Europe. Cette réponse n’est pas à la hauteur de l’enjeu stratégique, je dirais même de l’ « enjeu de civilisation » qui se joue derrière le numérique.

Mais les questions que j’ai soulevées font leur chemin, et je m’en félicite : la semaine prochaine, pour la première fois, le Conseil européen consacrera le premier point de son ordre du jour au numérique. En outre, la commission des affaires européennes de l’Assemblée nationale vient à son tour de publier un rapport appelant à une stratégie européenne concrète en la matière.

Je me suis réjouie à sa lecture : j’y ai en effet retrouvé beaucoup des préconisations que j’avais formulées au printemps dernier.

L’heure du sursaut, madame la ministre, semble donc enfin avoir sonné en France. Elle doit maintenant sonner aussi au niveau européen car, aujourd’hui, la souveraineté de l'Union européenne sur les données qu’elle produit en ligne se trouve menacée.

Les révélations sur le programme Prism déployé par l’agence de sécurité américaine, avec la contribution des géants du net, n’ont constitué, pour moi, qu’une demi-surprise. En effet, dans le rapport, j’insistais déjà très largement sur cette perte de maîtrise des Européens sur leurs données. Perte grave, car elle engage aussi bien la protection de la vie privée que le potentiel économique que représentent ces données.

Bien sûr, l’adoption du nouveau règlement européen harmonisant les législations en la matière permettra d’accroître l’efficacité de la protection des données. Au vu de la résistance affichée par Google, qui refuse d’opérer les modifications demandées par la CNIL et ne semble pas craindre les sanctions prévues par la loi Informatique et libertés, on ne peut qu’espérer une adoption rapide du texte européen.

Malgré tout, je m’interroge sur la capacité de l’Union européenne à maîtriser de manière effective les données de ses citoyens, et ce à un double titre.

Je formulerai ainsi une première réserve concernant les menaces croissantes d’espionnage via les éléments physiques des réseaux. Les textes n’y pourront rien changer. Nous devons donc développer les capacités de cyberdéfense des États membres et renforcer les obligations des opérateurs d'importance vitale en matière de sécurisation informatique.

La Commission européenne semble en être désormais convaincue, mais a-t-elle réalisé que l’Union européenne devait alors disposer d’une base industrielle pérenne en matière de cybersécurité et d’équipements de confiance ? Voilà qui suppose la mise en œuvre d’une véritable politique industrielle dans ce domaine.

À plus court terme, je propose que l’Union européenne conditionne l’achat d’équipements hautement stratégiques, comme les routeurs de cœur de réseau, à leur labellisation par une autorité publique de sécurité. L'objectif est de nous prémunir contre l’espionnage par les pays fournisseurs.

On pourrait aussi inclure dans le périmètre des marchés de sécurité l’achat d’équipements numériques hautement stratégiques afin de pouvoir leur appliquer la préférence communautaire, qui est déjà implicitement reconnue par les règles européennes pour les marchés de défense et de sécurité.

J’en arrive à ma seconde réserve : comment le nouveau texte européen pourrait-il assurer la maîtrise des données face au développement du cloud computing – l'informatique en nuage –, qui mettra toujours plus de données entre les mains de ses fournisseurs ?

Procurant à distance l’accès à un réservoir de données et de services, le cloud computing constitue une chance, surtout pour les PME, qui peuvent ainsi profiter de facilités informatiques à la carte, sans faire d’investissements considérables. Or, ces prestataires de services en nuage sont le plus souvent américains.

Madame la ministre, votre collègue Arnaud Montebourg se trompe quand il dit que la solution, c’est que toute donnée collectée en Europe soit stockée et traitée en Europe. Il devrait connaître le caractère extraterritorial des lois américaines, …