Intervention de Laurent Lafon

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, lorsqu’il lança en 2007 le Grenelle de l’environnement, M. Jean-Louis Borloo, alors ministre de l’écologie, prit une mesure majeure, qui ne retint sans doute pas suffisamment l’attention des observateurs de l’époque : la généralisation du diagnostic de performance énergétique, le DPE.

Peu à peu, ce système d’information coloriel s’est généralisé, de sorte que toute personne qui souhaite acheter sa résidence principale ou louer un nouvel appartement en prend désormais connaissance. Chacun peut ainsi évaluer de manière immédiate et lisible, sans être un spécialiste du sujet, quelle sera sa consommation énergétique.

Chacun, surtout, peut mesurer son impact sur le réchauffement climatique, grâce à l’estimation des émissions de gaz à effet de serre annuelles que fournit le diagnostic.

Le DPE illustre à merveille le rôle fondamental que le pouvoir politique peut jouer pour engager des changements majeurs, sans attendre un grand soir normatif et réglementaire.

L’information reste une priorité dans ce processus. Les consommateurs doivent disposer d’emblée d’éléments clairs, lisibles et factuels, grâce auxquels ils pourront lancer les transformations nécessaires.

Le monde de la recherche a ouvert la voie depuis plus de vingt ans, lorsque, en 2001, George Akerlof reçut le prix Nobel d’économie pour ses travaux sur l’asymétrie d’information. Selon les économistes, il ne peut y avoir de marché libre et efficace si l’État n’intervient pas pour imposer des mécanismes de certification.

Des millions de Français se disaient prêts à agir face à l’urgence climatique, mais restaient impuissants faute bien sûr de pouvoir estimer les émissions annuelles de CO2 par mètre carré de leur logement. Nous leur avons donné une information claire et lisible pour agir.

De même, des millions de Français souhaitaient améliorer la qualité nutritionnelle de leur alimentation, mais butaient sur les subtilités des étiquettes d’emballage, impossibles à déchiffrer dans les rayons d’un supermarché. Grâce aux travaux remarquables du professeur Serge Hercberg et de son équipe, ainsi qu’à la généralisation du logo Nutriscore, nous leur avons donné une information claire et lisible pour agir.

Des millions de Français s’inquiètent des trop grandes failles en matière de cybersécurité, mais manquent d’une information claire et lisible pour agir. Cette proposition de loi veut y remédier.

Les pouvoirs publics, en particulier le Sénat, se sont saisis du sujet depuis plusieurs années. En 2016, la Haute Assemblée a voté la mise en place d’un commissariat à la souveraineté numérique, sur le modèle du Chief Technology Officer de la Maison-Blanche. Plus récemment, elle a créé une commission d’enquête sur la souveraineté numérique.

Une enquête d’opinion menée par la Commission nationale de l’informatique et des libertés (CNIL) a montré combien nos concitoyens restaient préoccupés par le piratage bancaire, les actes malveillants, les risques associés à la confidentialité des données personnelles, à la possibilité de leur fuite ou de leur vente, ou bien encore à leur traitement automatisé. Tous ces sujets d’inquiétude méritaient qu’on leur apporte une réponse.

Cette proposition de loi y contribue, en se donnant pour objectif que les Français disposent d’une information transparente sur le niveau de sécurité garanti par les sites qu’ils fréquentent quotidiennement. Elle entend mettre en place un Cyberscore pour l’ensemble des plateformes numériques, depuis les réseaux sociaux jusqu’aux services de cloud computing, en passant par les marketplaces.

Ce nouveau logo, visible lors de chaque connexion, s’appliquera selon des critères objectifs et techniques définis par arrêté, grâce à l’expertise de l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.

D’une part, il permettra aux Français de privilégier les plateformes dont le niveau de cybersécurité correspond à leurs exigences. D’autre part, et surtout, en offrant une information transparente sur le niveau de sécurité des plateformes, il incitera les opérateurs à changer leurs pratiques.

En effet, quand ils sont mieux informés, les consommateurs peuvent obliger les entreprises à changer de pratiques. J’en veux pour preuve les conséquences qu’a pu avoir la généralisation du dispositif Nutriscore, dont l’usage a été amplifié par des applications comme Yuka : la composition nutritionnelle de milliers de produits alimentaires vendus dans les grandes enseignes a désormais évolué. Il en ira de même – j’en suis profondément convaincu – pour la cybersécurité et la protection des données personnelles.

Quand il s’agit de faire évoluer les plateformes, la réglementation reste moins efficace qu’un consommateur averti et bien informé, une fois levé le voile de l’ignorance ou de la complexité technologique. Par conséquent, je suis très attaché à ce que Cyberscore ne se limite pas à un diagnostic abscons et incompréhensible.

Tout l’objet de cette proposition de loi est de renforcer l’information des citoyens. Il est donc essentiel que le diagnostic de cybersécurité aboutisse à un dispositif coloriel, présenté aux Français lors de chaque connexion au service. Le Cyberscore ne doit surtout pas être relégué dans les abîmes des conditions générales d’utilisation, ce qui reviendrait à vider la proposition de loi de sa substance. J’ai déposé un sous-amendement en ce sens.

À ce stade de mon propos, je veux saluer les travaux conduits par notre collègue Anne-Catherine Loisier, rapporteure de la commission des affaires économiques : ils ont enrichi le texte de manière significative. Le champ d’application de cette proposition de loi en sort renforcé.

La commission a maintenu l’application du Cyberscore aux services de communication au public en ligne et souhaité l’élargir aux services de cloud et aux outils de visioconférence, ce qui est essentiel à mes yeux. En effet, durant le confinement, une plateforme californienne de visioconférence, mondialement connue, a vu le nombre de ses utilisateurs exploser, alors même que le portail France Num du Gouvernement en déconseillait fortement l’utilisation… À l’ère du télétravail, il serait impensable que cette catégorie de services soit exemptée du diagnostic de cybersécurité.

Je me réjouis de voir que le Gouvernement souscrit à notre démarche. Cependant, monsieur le secrétaire d’État, je m’interroge sur la limitation du dispositif à un contrôle a posteriori, plutôt que le contrôle a priori que je proposais initialement : cette modification laissera aux plateformes la possibilité d’autocertifier leur niveau de cybersécurité.

Il faudra aussi que le Gouvernement donne de réels moyens humains, budgétaires et technologiques à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), pour que celle-ci soit en mesure de contrôler la véracité des logos affichés par les plateformes. À défaut, la proposition de loi perdra toute efficacité : les Français seraient induits en erreur par un Cyberscore factice et trompeur, quand bien même il bénéficierait de la bénédiction de l’État.

Je tiens également à préciser que ce dispositif s’inscrit avec cohérence dans le cadre de la politique européenne, qu’il vient même renforcer. En effet, le schéma de certification européen, défini dans le Cybersecurity Act et appelé à se déployer progressivement d’ici à 2023, restera facultatif et ne portera que sur un nombre limité de services.

Pour éviter toute superposition ou parallélisme des textes, je souhaite que les experts de l’Anssi veillent à définir des indicateurs conformes aux exigences du schéma de certification européen : on évitera ainsi la création de procédures concurrentes.

Cette proposition de loi – si vous l’adoptez– ne pourra que donner plus de poids au Cybersecurity Act. Elle le rendra de facto obligatoire. Elle garantira sa diffusion auprès des Français. Elle étendra son champ d’application aux plateformes que nos compatriotes utilisent quotidiennement.

En tant que membre de la commission d’enquête sur la souveraineté numérique et comme président de la commission de la culture, de l’éducation et de la communication, je souhaiterais développer brièvement une réflexion prospective sur ce sujet fondamental des données personnelles et de la filière numérique en Europe. Catherine Morin-Desailly y est très attachée, son excellent travail l’a montré.

À l’ère de la data, l’absence de géant du numérique européen reste un enjeu de souveraineté majeur, car les données sont le pétrole de demain : elles nourrissent le développement de l’intelligence artificielle, dont les implications économiques, éducatives et médicales seront bouleversantes.

La certification que prévoit ce texte répond aux attentes formulées par les acteurs économiques français du numérique. Rassemblés autour de la plateforme Mailo, ils ont signé en juillet dernier une tribune appelant à la création d’un label Numérique souveraineté France, ou label NSF, pour valoriser les entreprises qui œuvrent en faveur de notre souveraineté numérique.

Le Cyberscore peut être un levier utile qui contribuera à faire émerger plus rapidement des services alternatifs aux géants du numérique américains et chinois. Chaque utilisateur qui se connecte à ces plateformes leur livre une matière première dont il ne perçoit pas nécessairement la valeur économique. L’émergence d’une filière numérique européenne est donc indispensable.

Dans son rapport, Anne-Catherine Loisier rappelle à juste titre les mots du directeur général d’OVHcloud, lors de son audition par la commission d’enquête sur la souveraineté numérique : « Choisir un acteur américain ou chinois est lourd de conséquences pour la viabilité à long terme de la filière numérique en Europe. »

Nos concitoyens doivent être conscients que les choix qu’ils font en tant que consommateurs ne sont jamais anodins, qu’il s’agisse de souveraineté numérique ou de cybersécurité. Sur ces sujets complexes, il revient au pouvoir politique de leur apporter a minima des clés de lecture lisibles et factuelles. Tel est l’objet de cette proposition de loi.