Intervention de Cédric O

Monsieur le président, mesdames, messieurs les sénateurs, je suis heureux d’examiner, aujourd’hui, avec vous, cette proposition de loi qui porte sur la mise en place d’une certification de cybersécurité des plateformes destinées au grand public.

Déposé par M. Laurent Lafon le 15 juillet dernier, ce texte a été examiné, la semaine dernière, par la commission des affaires économiques. Sa version amendée conserve fidèlement, je crois, l’esprit de la proposition initiale. Elle témoigne de l’importance que revêtent désormais les sujets de la cybersécurité et de la protection des données, en général.

La place du numérique ne fait que croître dans notre société : je le sais, sans doute, mieux que personne. Ce secteur nous a permis de tenir et de continuer d’avancer durant la crise sanitaire, notamment grâce au télétravail et à l’enseignement à distance. Partout, il a démontré son utilité. Pour autant, nous ne pouvons pas faire preuve de naïveté : notre vie numérique comporte aussi des risques.

Ces risques, inhérents à notre vie numérique, ne sont pas tout à fait semblables aux risques que nous prenons dans notre vie physique quotidienne.

Tout d’abord, ils sont moins tangibles : la violence d’un vol de données, par exemple, ne saurait être comparée à celle d’un vol à main armée.

De plus, ils sont souvent plus difficiles à comprendre et revêtent une sophistication qui dépasse parfois notre capacité de représentation.

Enfin, ils sont moins bien connus, car ils restent jeunes : si cela fait des siècles que l’on braque les diligences, les attaques aux logiciels malveillants n’ont tout au plus que quelques dizaines d’années derrière elles, ce qui les rend peu familières…

Cependant, force est de constater que les choses évoluent et que ces risques sont de mieux en mieux appréhendés. Les scandales de fuites de données chez des géants du numérique, tels que Facebook, Uber ou Yahoo, font ainsi régulièrement la une de l’actualité. De même, les piratages d’entreprises sont désormais partie intégrante de notre quotidien : plus un mois ne passe sans que l’une d’entre elles, et parmi les plus grandes, soit victime d’une attaque informatique !

J’en profite d’ailleurs pour saluer le travail des équipes de l’Anssi, qui luttent quotidiennement contre ces menaces et qui réalisent un travail de grande qualité.

Les risques numériques sont dans notre vie, au même titre que le numérique participe de notre quotidien. Pour s’en protéger, deux réponses s’imposent : l’une, systémique, doit être portée au niveau européen, comme pour le règlement général sur la protection des données, le RGPD ; l’autre réside dans le changement des usages et des comportements.

Apporter une réponse systémique – je le dis –, c’est le sens des travaux que mène la France, mais aussi de ceux qui sont en cours au niveau européen. Ils visent à faire émerger des lignes fortes, solides et transnationales, de nature à assurer au mieux notre souveraineté numérique.

Comme pour le RGPD, l’Europe doit se montrer à la hauteur des enjeux et définir ses propres standards, qui doivent s’imposer à tous les acteurs. De tels changements ne pourront se faire qu’à cette échelle. Nous devons les accompagner ; la France ne doit pas manquer ce rendez-vous important.

La deuxième réponse que nous devons apporter au risque en matière de sécurité numérique doit passer par l’information des utilisateurs, laquelle constitue, avec la transparence, un levier essentiel du changement. Des exemples désormais bien connus permettent de mesurer l’impact de ces deux critères sur les comportements de nos concitoyens et des acteurs économiques.

Le plus emblématique d’entre eux, déjà mentionné, concerne le secteur de l’alimentation. En quelques années, la situation est passée d’opaque à lisible, de sorte que les consommateurs peuvent désormais faire leur choix de manière éclairée, et que le comportement des industriels a évolué.

Il a suffi de mettre à la disposition des consommateurs une information claire et transparente pour que les acteurs économiques en viennent à modifier leur comportement et à adapter leurs recettes et leurs préparations, pour produire une alimentation de meilleure qualité. La transparence et l’information ont enclenché un cercle vertueux. Nous souhaitons reproduire la même dynamique dans le domaine du numérique.

Mesdames, messieurs les sénateurs, si vous me permettez de poursuivre encore l’analogie, en matière d’alimentation, la progression s’est faite par étapes. L’obligation d’affichage des ingrédients, par exemple, a été un premier pas pour renforcer l’information des consommateurs. Cependant, le processus ne pouvait pas s’arrêter là, car l’information n’implique pas forcément la visibilité ni la transparence.

Vous savez comme moi, mesdames, messieurs les sénateurs, qu’une information non hiérarchisée ou bien trop abondante n’est pas utile, non plus que celle qui serait trop technique et impossible à analyser.

L’affichage des ingrédients utilisés pour produire les aliments constituait cette information utile, mais non hiérarchisée, et parfois trop technique. Il a fallu la simplifier dans un symbole clair, lisible et transparent, même si des marges d’amélioration subsistent : le Nutriscore. Ce logo simple, clair et transparent, je le répète, a permis d’influencer des industries entières.

Nous pouvons nous inspirer de cet exemple, riche d’enseignements, car si la plupart des informations sont aujourd’hui accessibles sur internet, elles restent encore trop souvent noyées dans la masse de celles qui sont disponibles.

J’en veux pour preuve les conditions générales d’utilisation, ou CGU, qui contiennent déjà une grande partie des informations qu’un consommateur avisé pourrait vouloir rechercher. Pourtant, elles restent largement inexploitables en pratique, car elles sont trop souvent noyées parmi d’autres, ou bien formulées dans des termes techniques qui les rendent inutilisables ou inaccessibles à nos concitoyens.

Voilà ce à quoi nous devons remédier pour que les industriels progressent vers des pratiques plus vertueuses, comme ils l’ont fait dans le secteur de l’alimentation.

Dans cette perspective, il nous faut garder pour objectif l’établissement d’une symbolique qui garantira aux consommateurs une compréhension claire des conditions d’hébergement de leurs données, de leur assujettissement à des lois extraterritoriales et de leur exploitation à des fins commerciales.

Pour toutes ces raisons, le Gouvernement soutient la proposition de loi déposée par M. Lafon et souhaite compléter le texte issu des travaux de la commission par quelques modifications, présentées dans un esprit constructif. En effet, le sujet est important, et nous partageons le même objectif.

Ces aménagements portent principalement sur la mécanique de diagnostic : elle ne peut reposer que sur l’entreprise elle-même, car les plateformes changent très souvent d’algorithmes, à un rythme souvent hebdomadaire, de sorte qu’un système d’audit ou de diagnostic par un tiers serait inopérant en pratique.

Par conséquent, les opérateurs doivent être considérés comme responsables des informations qu’ils affichent et s’assurer qu’elles restent exactes à chaque mise à jour de leur logiciel.

Les ajouts proposés par le Gouvernement concernent également le champ d’application du dispositif, afin de le restreindre, dans un premier temps, aux plateformes de taille mondiale, soit les acteurs auprès desquels il est le plus important d’intervenir.

Enfin, ces changements concernent l’inscription dans le code de la commande publique, qui ne me semble pas être la voie la plus efficace pour agir : j’y reviendrai.

Cela dit, je souhaite vous redire la volonté constructive du Gouvernement sur ce texte. Celui-ci traite d’un sujet important et ouvre les perspectives prometteuses d’une meilleure information du consommateur et d’une plus grande transparence. Il pose ainsi les bases d’un cercle vertueux qui a fait ses preuves et qui serait, je le crois, très utile pour favoriser une plus grande cybersécurisation des opérateurs.

Je souhaite que nous puissions avancer sur le sujet, non seulement dans le cadre des débats qui vont suivre, mais aussi au cours de la navette parlementaire.

Pour finir, je me permets cette brève remarque, madame la rapporteure, puisque vous m’avez interpellé au travers d’une question précise. Comme je l’ai déjà indiqué voilà deux semaines devant une commission d’enquête du Sénat, le Gouvernement a pris la décision de faire migrer, prochainement, le Health Data Hub sur une plateforme européenne, afin de tenir compte, notamment, de la décision de la Cour de justice de l’Union européenne invalidant, au travers de son arrêt du 16 juillet 2020, Schrems II, la décision relative au Privacy Shield.