Intervention de Nicole Belloubet

Nous avons déjà abordé le sujet lors de l'examen, en 2017 et 2018, du projet de loi relatif à la protection des données personnelles qui a permis de tirer les conséquences du règlement européen de protection des données (RGPD) et de la directive qui l'accompagnait. Mais la question de la souveraineté numérique telle que vous l'abordez est beaucoup plus vaste et embrasse des champs de réflexion et d'action qui dépassent la seule protection des données personnelles ainsi que le périmètre de compétence de mon ministère.

On compare parfois l'espace numérique à celui des océans. C'est en effet un espace de liberté, avec des îlots de souveraineté qui tentent de s'affirmer juridiquement. Comme jadis, on voit apparaître de grandes compagnies commerciales qui tirent des richesses considérables de cet espace à conquérir - d'autant qu'elles le créent elles-mêmes - et des corsaires ou pirates qui profitent de cette liberté et des faiblesses du droit. Le droit de la mer a été une lente construction au cours des siècles, au prix de conflits, de rivalités, mais aussi d'une coopération réelle entre les États. Il faut que notre droit de l'espace numérique se mette en place plus vite, car les enjeux sont considérables et nous n'avons pas le temps d'attendre.

L'expression de notre souveraineté dans cet espace de liberté est difficile. Les acteurs non étatiques sont puissants et protégés par les États où ils se sont développés, États-Unis ou Chine. Les intérêts privés et nationaux s'entremêlent. L'Europe doit composer avec ses propres difficultés à agir face à des acteurs qui peuvent faire preuve de cynisme tout en comprenant que l'Europe est un marché considérable à ménager. Les révolutions technologiques se succèdent, de plus, à un rythme si soutenu que le droit a du mal à s'adapter.

Défendre, voire reconquérir notre souveraineté numérique est un objectif que nous partageons. La notion de souveraineté recoupe d'ailleurs des notions diverses. Elle renvoie à notre capacité à défendre notre territoire et notre population, à préserver et développer nos intérêts. Elle suppose aussi que nous sachions faire respecter nos valeurs, c'est-à-dire la démocratie politique et l'État de droit, face aux risques liés au déploiement du numérique.

Pour reconquérir une souveraineté numérique, les États doivent d'abord répondre à des défis technologiques, ce qui suppose de développer une forte capacité d'innovation. Sans innovation technologique, nous serons déclassés, réduits à l'impuissance. L'exercice de la justice doit aussi s'appuyer sur ces innovations technologiques.

Mais nous devons aussi disposer des instruments juridiques qui nous permettent de protéger, d'agir et de sanctionner.

L'autre condition réside dans notre capacité à articuler souveraineté nationale et coopération internationale. Dans ce cadre, nous n'avons d'autre horizon qu'européen.

L'adoption du RGPD et sa mise en oeuvre par la loi du 20 juin 2018 relative à la protection des données personnelles illustrent la manière dont nous pouvons agir pour préserver notre souveraineté numérique. Cela passe par une volonté résolue des États, une intégration européenne intense et une prise de conscience des acteurs eux-mêmes sur l'importance de protéger leurs données. II nous appartient de leur donner les outils pour exercer leurs droits de manière efficace contre les grands acteurs du numérique. En la matière, l'union fait la force.

Cette volonté de responsabiliser les acteurs s'est traduite par la nomination d'un délégué à la protection des données dans 53 000 organismes - soit 19 000 délégués au total, car la mutualisation est possible. Un tiers de ces organismes sont publics. Les collectivités territoriales se sont mobilisées : 11 800 communes, 82 départements, 12 régions ont nommé un délégué. Ce résultat est satisfaisant, car il s'agit d'une évolution lourde pour les acteurs. Ils jouent le jeu en dépit des craintes initiales ; la multiplication des délégués est le gage d'une diffusion massive de la culture de « protection des données ».

Les nouveaux outils offerts par la loi sont également utilisés par les citoyens. La loi du 20 juin 2018 a étendu l'obligation de notifier les violations de données à tous les acteurs qui recueillent des données personnelles, sous peine de sanctions très fortes - l'amende administrative pouvant être prononcée a été considérablement renforcée, j'y reviendrai. Au 27 juin 2019, 2 257 violations ont été notifiées en France. Ces violations auraient concerné plus de 95 millions de personnes - y compris bien sûr à l'étranger.

Le niveau de cybersécurité en France reste toutefois trop faible par rapport à l'Allemagne, au Royaume-Uni ou aux Pays-Bas. De nombreux organismes n'identifient pas les atteintes portées à la sécurité des données qu'ils traitent. Il faut donc continuer, avec la Commission nationale de l'informatique et des libertés (CNIL), ce travail d'information et de responsabilisation des acteurs.

La loi du 20 juin 2018 facilite aussi les plaintes auprès de la CNIL pour non-respect des dispositions relatives à la protection des données personnelles. Le nombre de plaintes a bondi en 2018, et on constate une hausse de 23 % au premier semestre 2019 par rapport à la même période en 2018, avant l'entrée en vigueur de la loi. Preuve que les particuliers hésitent de moins en moins à saisir la CNIL, et que la campagne de communication autour de la loi a été efficace. Au-delà des plaintes individuelles, la CNIL a également reçu cinq plaintes collectives, portées par l'association La Quadrature du Net, à l'encontre de Google, Apple, Facebook, Amazon et LinkedIn, réunissant près de 46 000 personnes.

Enfin, la loi du 20 juin 2018 a introduit une nouvelle sanction, avec une amende administrative pouvant désormais atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, contre 3 millions d'euros auparavant, afin de peser sur les grands acteurs mondiaux. À ce jour, quatre sanctions ont été prononcées dont une, spectaculaire, de 50 millions d'euros contre Google, le 21 janvier 2019, pour l'absence d'informations sur la finalité et la conservation des données des utilisateurs, l'exploitation massive et intrusive de celles-ci, ainsi que l'absence de consentement pour la personnalisation de la publicité. Il s'agit d'un montant record, auparavant, pour mémoire, une amende de 400 000 euros avait été infligée à la société Über fin 2018 sur la base de l'ancienne législation. Cette réforme marque bien un tournant dans notre rapport au numérique tout en créant un écosystème juridique global qui permettra à l'Europe de peser sur la scène internationale.

Face à ces enjeux, le ministère de la justice a dû s'organiser pour mieux maîtriser ses outils numériques, contrôler ses données et préserver la capacité du juge à rester maître de ses choix, de ses décisions, voire de ses valeurs dans une société numérisée. L'évolution vers plus de numérique est une nécessité pour le ministère de la justice d'autant plus qu'il a connu, en la matière, un retard regrettable.

Le plan de transformation numérique du ministère est à ce titre essentiel à l'action de la justice : il s'agit de la rendre plus lisible, plus accessible et plus démocratique, en l'ancrant toujours davantage dans le service du citoyen. Ce plan nous oblige à adapter notre socle technique, à développer des applications métiers pour les professionnels et les justiciables, et à construire des capacités d'accompagnement des utilisateurs. Ces sujets touchent au coeur de l'action des magistrats et jouent sur les perceptions de la justice, de son fonctionnement et de son efficacité, voire de sa légitimité.

Cette évolution majeure pose des questions de contrôle et de souveraineté. Les problématiques numériques modifient l'approche classique de traitement de l'information : elles intègrent des tiers externes d'importance grandissante dans le déploiement des infrastructures et des données. L'ère numérique globalise et crée de nouvelles dépendances. Il reste nécessaire de préserver les conditions d'exercice des libertés et les principes garantissant l'autonomie et l'indépendance des acteurs du droit et de la justice.

Ainsi, la justice doit veiller à la protection de son indépendance et des droits du justiciable en garantissant l'intégrité de ses données et la protection du secret. Dans ce cadre, il faut assurer l'intégrité et la traçabilité des informations, et préserver les traitements issus de ses systèmes d'information.

Par ailleurs, les moyens nécessaires à l'exploitation des plateformes numériques induisent une logique commerciale pour les développeurs, et des stratégies d'influence de toutes sortes qui peuvent être peu compatibles avec les logiques régaliennes et de souveraineté. Ces dispositions créent des opportunités permettant d'instrumentaliser des infrastructures ou de s'approprier des données éminemment souveraines. Il s'agit d'être vigilant sur les risques de glissement liés à ce changement d'environnement.

Je prendrai pour exemple la lutte contre la criminalité. La révolution numérique modifie profondément notre manière de mener cette action. Elle offre de nouveaux moyens de commission des infractions, favorisant même la création d'une criminalité spécifique, la cybercriminalité, qui n'existait pas auparavant. Elle entraîne, par ailleurs, une modification de notre rapport à l'application de la loi dans l'espace. Les lieux de commission de l'infraction ne peuvent plus être appréhendés de la même façon. L'accès aux preuves, lorsqu'elles sont numériques, nous invite également à modifier nos pratiques dans la mesure où elles ne peuvent pas être localisées et appréhendées comme le sont des objets matériels. Cette révolution favorise sans conteste une plus grande transnationalité des procédures. Notre ordre juridique interne est donc plus fréquemment confronté à ceux de nos voisins européens, ou au-delà, notamment quand il s'agit de collecter des preuves numériques.

C'est précisément afin de surmonter ces obstacles et de renforcer la coopération que l'Union s'est engagée dans d'importants travaux législatifs.

Tout d'abord, la Commission européenne a proposé deux textes, afin de faciliter l'accès aux preuves numériques entre États membres au sein de l'Union. Sont en cours de négociation une proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale et une proposition de règlement relative à l'accès aux preuves numériques en matière pénale, déterminant les conditions et modalités d'accès par les autorités judiciaires à la preuve numérique détenue par un opérateur fournissant des services sur le territoire de l'UE.

Le Conseil de l'Union européenne a arrêté sa position le 7 décembre 2018 sur la proposition de règlement, et le 7 mars 2019 sur la proposition de directive. Les discussions avec le Parlement ne pourront toutefois intervenir que dans le cadre de la nouvelle législature issue des élections de mai dernier, c'est-à-dire à compter de cet automne.

La France est très investie dans la négociation de ces deux textes et milite pour que ces derniers proposent des mécanismes simples pour les praticiens et efficaces pour les enquêtes judiciaires. Nous devons donc nous organiser pour mieux coopérer entre nous et faire en sorte que nos justices respectives demeurent efficaces face à une criminalité qui ne connaît plus les frontières. Mais nous devons aussi répondre aux défis que nous lancent les grandes puissances du numérique. Je pense en particulier aux États-Unis et au Cloud Act.

Le Cloud Act adopté en 2018 permet aux services d'enquête américains d'obtenir des données électroniques, y compris de contenu, quelle que soit leur localisation, auprès des opérateurs établis sur leur territoire. Il prévoit par ailleurs la conclusion d'accords bilatéraux permettant à des autorités étrangères de faire de même, excepté lorsque les données requises appartiennent à des citoyens américains ou résidents permanents aux États-Unis, avec clause de réciprocité.

A priori, cela peut paraître être une avancée en matière d'enquête, mais le Cloud Act présente à mon sens plus d'inconvénients que d'avantages, notamment en multipliant les hypothèses de conflits de normes - particulièrement en matière de protection des données à caractère personnel - et en réduisant de fait les capacités d'enquête des autorités étrangères par un régime strictement encadré.

Le Cloud Act prévoit donc que la coopération n'est désormais possible qu'à condition qu'un accord ait été conclu avec les États-Unis. Or la clause de réciprocité qui devrait être contenue dans ces accords exécutifs pourrait être difficile à articuler avec le RGPD. En effet, les autorités pénales américaines pourraient requérir, auprès des opérateurs établis dans les États de l'Union, parties à ce type d'accord, la communication de données relatives à des citoyens ou résidents permanents d'autres États de l'Union que celui dans lequel l'opérateur est établi. À titre d'exemple, si la France concluait un tel accord exécutif avec les États-Unis, un hébergeur situé en Allemagne devrait, sur réquisitions des autorités américaines, fournir les données, y compris de contenu, relatives à des utilisateurs français. La conformité d'un tel accord à l'article 48 du RGPD n'est pas acquise.

En outre, on peut sérieusement être préoccupé par le fait que le Cloud Act permettrait à terme aux autorités judiciaires américaines d'accéder à des données, y compris de contenu, de personnes françaises, et donc, potentiellement d'entreprises françaises. Comment éviter cela ? Manifestement la réponse est européenne et l'Union s'est engagée dans la construction de cette réponse, qui n'est pas simple, car de nombreuses incertitudes ou incompréhensions demeurent.

Deux enjeux se font jour : préserver la capacité de nos magistrats à faire leur travail et protéger nos concitoyens contre l'accès illégitime à leurs données personnelles.

L'Union a décidé de s'engager dans la négociation d'un accord bilatéral sur le recueil de preuve numérique avec les États-Unis, car le Cloud Act peut mettre en échec les demandes des magistrats européens lorsqu'ils souhaitent obtenir des preuves numériques auprès des principaux fournisseurs mondiaux de communications électroniques. Cette négociation sera menée par la Commission au nom des Etats-membres. Ceux-ci sont néanmoins étroitement associés et la France a tout particulièrement veillé à ce que le mandat de négociation confié à la Commission le 6 juin dernier soit le plus exigeant possible.

Cette négociation prendra sans doute plusieurs années en raison d'une incompréhension avec les Américains : le Cloud Act prévoit la conclusion d'accords bilatéraux entre États ce qui est impossible légalement côté européen puisqu'aux termes de la jurisprudence de la CJUE l'Union dispose d'une compétence externe exclusive en la matière.

Parmi les points importants de cette négociation, l'un des maîtres mots pour nous le terme « réciprocité ». Par ailleurs, nous avons insisté pour que les personnes morales soient expressément exclues de l'accord futur, afin d'éviter les risques d'intrusion ou de vampirisation des données stratégiques de nos entreprises sous un habillage judiciaire. Enfin, nous avons également pesé pour que soient écartées les données « dont la divulgation serait contraire aux intérêts essentiels d'un État membre ».

D'autres réflexions sont par ailleurs en cours pour peser face à certaines menées américaines. Je pense au renforcement de la protection de nos entreprises à travers la loi de blocage de 1968.

L'adoption récente du Cloud Act permet désormais aux autorités américaines, dans le cadre d'enquêtes pénales, de saisir de manière très simple et directe des données numériques pourtant hébergées à l'étranger, via les fournisseurs de services de communications électroniques américains ou situés aux États-Unis. A contrario, lorsque les autorités judiciaires françaises souhaitent saisir des données numériques hébergées aux États-Unis, elles doivent se plier au mécanisme beaucoup plus lourd et aléatoire de l'entraide judiciaire qui impose d'adresser une demande préalable aux autorités judiciaires américaines, lesquelles sont alors libres d'y donner suite ou non. Il y a donc là une situation d'asymétrie préjudiciable à notre souveraineté judicaire et numérique, plus particulièrement pour la confidentialité des informations stratégiques sensibles de nos entreprises lorsqu'elles sont stockées au format numérique.

Pour y faire face, le Gouvernement a amorcé une réflexion sur la base du rapport récemment remis par le député Raphaël Gauvain, afin d'actualiser la loi de 1968 dite de « blocage ». Pour mémoire, cette loi impose aux autorités administratives et judiciaires étrangères souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France de passer par le canal de la coopération, c'est-à-dire de solliciter la communication de ces informations auprès des autorités nationales et non directement auprès des opérateurs économiques français visés. Le non-respect de la loi de blocage est sanctionné pénalement.

Certes, on pourrait considérer que la loi de 1968 s'applique d'ores et déjà à la transmission de données stratégiques numériques, relatives à des opérateurs économiques français, à des autorités ou entités étrangères. Mais le texte n'est pas explicite, ce qui pourrait faire peser un risque sur la légalité de la sanction pénale prévue, qui elle-même peut sembler insuffisante pour être considérée comme crédible et donc dissuasive pour les entités potentiellement concernées, les grands hébergeurs de données numériques, les Gafam notamment.

Cela dit, le Gouvernement envisage de consacrer un rôle spécifique dans l'avenir au service de l'information stratégique et de la sécurité économiques (Sisse) pour lui conférer un rôle d'accompagnement et de conseil des entreprises qui seraient concernées par des demandes étrangères directes visant à procéder à une saisie numérique. Le rôle du Sisse à cet égard pourrait notamment être d'évaluer la portée des informations confidentielles susceptibles d'être demandées par l'autorité étrangère, de rappeler à l'entreprise les dispositions de la loi de 1968 et d'engager un dialogue avec elle sur la conduite à tenir. Les réflexions sur ces différents aspects sont en cours d'étude et certaines d'entre elles pourraient faire l'objet de dispositions législatives.

Mesdames, messieurs les sénateurs, au travers ces premiers éléments, vous aurez compris que le Gouvernement et la Chancellerie accordent à la question qui vous occupe une très grande attention. Il faut en la matière avoir une pensée offensive et savoir promouvoir notre vision de la souveraineté numérique au sein de l'Union européenne. Nous nous y employons, mais vos travaux, j'en suis certaine, nous permettront de mieux faire valoir nos intérêts et contribueront à nous stimuler dans cette action essentielle.