Intervention de Christophe Castaner

Je commencerai par répondre à votre dernière question : nos interlocuteurs ne sauraient se résumer aux seuls Gafam - j'y ai insisté, car un réflexe courant, bien naturel, consiste à se focaliser sur ces derniers. Avec les Gafam, nous avons face à nous des gens dotés d'une incarnation physique, de moyens humains et algorithmiques, avec lesquels il est possible de discuter et de travailler. Lorsqu'une contrainte leur est imposée, ils ont la capacité technique d'y faire face - je ne leur prête cependant aucune propension à être naturellement bons, ni, d'ailleurs, naturellement mauvais.

J'ai en tête, a contrario, des exemples de réseaux sociaux où des menaces de mort sont diffusées contre un commissaire de police pendant les manifestations des « gilets jaunes » et où aucun interlocuteur ne nous répond lorsque nous cherchons à identifier les auteurs de ces menaces, l'anonymat étant une valeur absolue desdits réseaux, quand, au contraire, la sécurité exige de la transparence.

Il ne suffit pas, par ailleurs, de poser la question des acteurs : les nouveaux outils posent eux-mêmes un problème de perte de maîtrise - je pense par exemple à la localisation des données hébergées dans le cloud. Aux États-Unis, en vertu du Cloud Act, toute information relevant de la juridiction américaine doit être communiquée aux autorités américaines à la demande. Une législation similaire existe en Chine.

Certains outils, en outre, ont évolué : la 3G a été conçue sur un modèle européen ; tel n'est pas le cas de la 5G. Aujourd'hui, ce que nous savons faire sur la 3G - je parle d'actes autorisés par la loi, interventions techniques, écoutes téléphoniques, par exemple -, nous ne savons pas forcément le faire sur la 5G. Or les cybercriminels savent parfaitement exploiter ce genre de failles. Au-delà des entreprises, donc, de nouveaux supports et outils peuvent nous échapper, ce qui n'est pas sans poser problème du point de vue de la souveraineté nationale. La création de notre propre système de stockage des données me paraît un horizon nécessaire. Nous devons y travailler à l'échelle de l'Europe.

Sur Percev@l et THESEE, j'ai senti de la part de M. le rapporteur une petite pique contre le ministère de l'intérieur. Il peut arriver en effet que la police et la gendarmerie cheminent sans que leurs travaux ne se croisent... Une telle situation peut accoucher d'une saine émulation, mais la convergence est toujours préférable. J'ai donc décidé de fusionner les services de ces deux administrations en une seule direction du numérique. Certains avaient le sentiment de perdre ainsi un volet déterminant de leur action - les discussions ont été parfois difficiles - mais cette fusion ne veut pas dire que la gendarmerie et la police ne pourront pas continuer d'expérimenter chacune de leur côté.

Percev@l est une plateforme de lutte contre les usages frauduleux de la carte bancaire ; THESEE relève d'une démarche analogue, dédiée à la lutte contre les escroqueries en ligne. Ces deux contentieux sont distincts et les projets ont fait l'objet, dès 2015, d'une coordination. L'existence de deux plateformes ne pose donc pas de problème.

S'agissant de l'identité numérique, nous savons tous que l'intelligence artificielle suscite une angoisse profonde, fondée ou non, qui conduit à freiner l'exploitation de certaines techniques. Nous avons tort ! Car elles accroissent l'efficacité de l'action publique pour protéger les Français ; il convient simplement d'entourer leur emploi de toutes les sécurités. Les caméras-piétons par exemple avaient initialement provoqué la polémique. Le ministre de l'époque s'est opposé à leur développement, elles étaient alors perçues comme une contrainte pour les forces de l'ordre. Puis elles sont apparues comme une protection... si bien qu'elles viennent d'être étendues aux sapeurs-pompiers. Naturellement, des contrôles de ce dispositif existent. L'interpellation est filmée : lorsque le policier ou le gendarme revient à son bureau, il n'a pas la possibilité de regarder les images ; celles-ci sont conservées, mais pour un temps déterminé. Leur accès est ainsi limité, afin de préserver les libertés fondamentales.

Il en va de même concernant l'usage de l'intelligence artificielle par les services. Considérez l'attentat qui s'est produit récemment à Lyon devant La Brioche dorée : il a eu lieu un vendredi à 16 h 30 ; 30 enquêteurs ont visionné les images enregistrées par l'ensemble du réseau des caméras de vidéoprotection, c'est ainsi que l'on a retrouvé et identifié l'auteur, le dimanche soir. Il a été interpellé le lendemain matin. Avec l'intelligence artificielle, on aurait su en quinze minutes où il était allé, grâce à la reconnaissance faciale. La technique peut bien entendu faire débat, si elle n'est pas entourée de toutes les protections qui s'imposent. C'est parce qu'il y a effectivement un risque de détournement, qu'il faut des garde-fous. Dans le dispositif d'authentification en ligne certifiée sur mobile (Alicem) que vous avez évoqué, et sur lequel nous travaillons, aucune donnée biométrique ne peut être partagée. La photo extraite de la puce reste stockée sur le téléphone portable de l'utilisateur. La vidéo de reconnaissance faciale créée au moment de l'identification est effacée après vérification. Les données ne font l'objet d'aucun traitement et ne sont bien sûr pas transmises à des tiers.

Grâce à de tels outils, l'État assurera mieux sa mission régalienne de certification des identités dans le monde digital, préfigurant un service numérique plus large. N'oublions pas une chose : ce que nous ne faisons pas, d'autres le feront. Voyez les monnaies parallèles ! Il est indispensable de proposer des systèmes d'identité sécurisés à tous les acteurs publics ou privés. L'enjeu est également de simplifier les démarches administratives. L'échéance de 2022 approche ! La carte d'identité numérique estonienne comporte 15 à 20 services intégrés. Il faut aller le plus loin possible en ce sens, tout en préservant les libertés.

Enfin, ces outils servent à la lutte contre l'usurpation d'identité en ligne. Il importe donc de rassurer nos concitoyens. La Quadrature du net a formé un recours contre le décret en Conseil d'État autorisant cette application mobile : à nous de prouver que le dispositif est sécurisé.

Quant aux élections européennes, aucune attaque significative n'a été identifiée. La loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information a créé le référé civil pour faire cesser la diffusion de fausses informations ; un dispositif ministériel a également été mis en place. Mais il n'a pas été nécessaire de recourir à ces outils. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a effectué à notre demande un audit, et nous avions un dispositif de supervision : aucun dysfonctionnement n'a été détecté. Cependant le « retex » (retour d'expérience) n'est pas achevé : si des anomalies étaient identifiées avant la conclusion de vos travaux, je vous en tiendrais informés.

Le développement du vote électronique n'est pas à notre programme : sujet trop sensible et outil pas forcément indispensable...