Intervention de André Gattolin

Monsieur le Président, mes chers collègues, en préambule, je me félicite de la présence à mes côtés de Jean-Marie Janssens, qui a été désigné rapporteur sur la proposition de résolution au titre de la commission des affaires économiques. Nous avons conduit ensemble les auditions qui nous ont menés à entendre la Direction générale des entreprises, l'Agence française de normalisation et la CNIL. Je crois qu'on peut dire que nous sommes d'accord sur le rapport que je vous présente.

Comme l'a rappelé le Président Bizet, notre collègue Catherine Morin-Desailly est très impliquée dans le suivi du numérique et très volontariste sur le sujet. La résolution qu'elle nous présente s'inscrit dans cette ligne et dans celle qu'elle avait déposé en 2015, pour laquelle j'avais également été nommé rapporteur. Quelle est cette ligne ?

L'Union européenne peine à affirmer sa souveraineté dans le monde numérique, dominé aujourd'hui par les grandes entreprises américaines, les GAFAM, et sûrement chinoises demain (les BATX pour Baidu, Alibaba, Tencent et Xiaomi). Cela a des conséquences au plan économique : les objets connectés que nous consommons ne sont pas d'origine européenne. Cela a également des conséquences sur le plan des valeurs et des droits : notre conception de la vie privée est constamment bafouée par le pillage et la transmission de nos données à caractère personnel et nous, Européens, ne sommes pas assez présents dans la gouvernance mondiale de l'internet.

Catherine Morin-Desailly fait le constat que les objets connectés seront d'ici quelques années partout dans nos vies et au coeur de nos sociétés. Elle a raison : que ce soit les appareils portables qui permettent une meilleure quantification de soi, les maisons connectées pour gérer la consommation énergétique, les villes pour la gestion du trafic automobile, et encore beaucoup d'autres aspects qu'on ne connaît pas encore.

Les chiffres évoqués sont astronomiques : on parle de 20 à 35 milliards d'objets connectés en 2020, contre 10 milliards environ aujourd'hui. Selon certaines études, l'Union européenne pourrait gagner jusqu'à 7 points de PIB. Tout cela est détaillé dans le rapport et je vous laisse vous y référer.

Notre collègue Catherine Morin-Desailly rappelle aussi à juste titre que ces objets sont porteurs de risques et que ceux-ci vont connaître eux aussi une augmentation cruciale. Le premier, c'est la sécurité : plus vous êtes connectés, plus vous êtes soumis à des cyberattaques. Le second, c'est la collecte incontrôlée des données : l'internet des objets repose sur la collecte des données à caractère personnel, qui, une fois croisées et analysées, vont permettre de vous proposer des solutions nouvelles et adaptées à votre situation. Aujourd'hui, on considère que plusieurs centaines de milliards de données sont collectées chaque jour. Qui a conscience de l'importance de ce phénomène ?!

Et, pourtant, les affaires se multiplient déjà ! L'actualité est malheureusement riche des dérives que cette nouvelle donne de données peut engendrer : l'affaire Facebook/Cambridge Analytica et le pillage de données de 87 millions d'internautes, dont 2,7 millions d'Européens et pour laquelle le PDG de Facebook lui-même a avoué que son compte avait été piraté ; les compteurs Linky qui collecteraient un peu trop facilement nos données et pour lesquels il y a eu une mise en demeure de la CNIL. Et je rappellerai aussi les virus informatiques Wannacry et Notpetya qui ont frappé l'occident et mis à mal nombre d'entreprises pour un montant total de pertes qui dépasserait le milliard d'euros.

Face à cela, notre collègue propose trois axes d'action au niveau européen qu'il convient d'analyser.

Le premier, c'est un nouveau cadre réglementaire pour une certification au niveau européen des objets connectés. Deux questions se posent : faut-il une réglementation générale ou propre à l'internet des objets ? Faut-il un nouvel outil réglementaire ?

Comme vous le savez, puisqu'il a fait l'objet d'intenses débats récemment au Sénat, le règlement général sur la protection des données à caractère personnel, le RGPD, entrera en vigueur le 25 mai prochain. Ce n'est pas sans poser des difficultés, notamment pour les collectivités locales et les petites entreprises. Mais ce règlement va imposer des obligations à tous, y compris aux fournisseurs d'objets connectés. Par ailleurs, une proposition de règlement européen sur la cybersécurité a été présentée par la Commission européenne en septembre dernier. Elle est en cours de discussion à Bruxelles. Laurence Harribey et René Danési vous en parleront mieux que moi la semaine prochaine. Ce texte devrait instaurer un système européen unique de certification de cybersécurité des produits, des systèmes et des services. Les niveaux d'exigence seront définis par l'Europe et s'imposeront aussi aux objets connectés.

Ainsi, ces deux corps de règles de portée générale vont créer un cadre juridique européen nouveau, qui vaudra aussi pour l'internet des objets. Il me semble donc qu'un texte spécifique n'est pas nécessaire. Et j'ajoute que si on veut favoriser l'essor d'une industrie européenne des objets connectés, il vaut mieux ne pas changer les règles trop souvent.

En revanche, là où notre collègue a raison, c'est qu'il faut garder en ligne de mire un niveau élevé de protection tant en ce qui concerne la certification de sécurité qu'en ce qui concerne la mise en oeuvre du RGPD. Et pour cela, il faut également renforcer nos moyens de contrôle et ceux de notre organe national, la CNIL. Il n'est pas normal qu'elle ne dispose que d'effectifs réduits - 200 personnes - et je vous propose d'appeler au renfort de ses moyens !

Deuxième axe : imposer la localisation et le traitement des données à caractère personnel des consommateurs européens sur le territoire de l'Union. L'idée est belle. Elle est forte. Elle est claire. Mais elle n'est pas sans défauts et il convient de l'analyser plus longuement, me semble-t-il.

Des révélations d'Edward Snowden sur la surveillance de masse au récent Cloud Act adopté par le Congrès américain en passant par la mise en oeuvre du Privacy shield, nous devons rester vigilants quant au respect du droit des Européens par les États-Unis dans ce secteur. Et nous ne devons pas nous interdire d'envisager de garder les données à caractère personnel sur notre territoire si c'est le seul moyen d'en assurer une protection efficace.

Toutefois, la solution comporte certaines limites. Nos auditions ont montré que la localisation en soi ne suffirait pas. Il faudrait l'assortir d'un renforcement de la sécurisation, de la confidentialité et de la traçabilité. Et c'est là qu'intervient l'aspect économique. Il n'est pas certain qu'imposer plus de règles à nos entreprises pour le traitement des données facilite leur activité par rapport à ce qui se fera dans le reste du monde.

En outre, l'Europe a en ce domaine un retard sur les États-Unis, voire sur la Chine. Si nous savons collecter les données et les transmettre, il nous manque des capacités techniques et technologiques pour les analyser et les exploiter, des superordinateurs et des solutions d'intelligence artificielle. Les capacités humaines font aussi défaut actuellement car nos meilleurs profils ne sont plus en Europe. Tant que nous ne nous sommes pas renforcés en capacités, il pourrait être contreproductif d'imposer une obligation de localisation des données.

C'est pourquoi, le rapport propose que cette option soit considérée avec la plus grande attention, même si elle ne peut être exclue. Notamment si la prochaine évaluation du Privacy shield qui sera publiée en septembre s'avère insatisfaisante.

Enfin, troisième axe sur lequel, je rejoins totalement Catherine Morin-Desailly, c'est le renforcement de la présence européenne dans les enceintes internationales de normalisation dans le secteur numérique. Je crois que notre président partage lui aussi cette préoccupation de longue date.

Nous ne sommes pas assez présents, et c'est également vrai en ce qui concerne l'internet des objets. Il est difficile de mobiliser les acteurs économiques sur ce sujet et, résultat, on se voit imposer des normes qui ne nous satisfont pas.

Toutefois, pour que cela soit effectif, il faut que la demande vienne des professionnels et du niveau national. Il faut donc d'abord mobiliser les acteurs français afin qu'ils travaillent sur les normes qu'ils souhaitent pour les porter ensuite au niveau européen, puis au niveau mondial. L'Union européenne met en place des aides pour cela, les entreprises doivent en profiter ! Notre résolution est un appel en ce sens.

En outre, le système international fonctionnant sur le principe d'une voix par État, il ne faut pas que l'Union européenne se substitue aux États membres mais bien qu'elle les accompagne et les soutienne. C'est la condition pour que l'Europe puisse promouvoir des normes exigeantes dans le domaine numérique. Il faut de la coopération et de l'intelligence collective.