Intervention de Jean-Claude Requier

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, ce texte, issu de la commission des affaires économiques, s’inscrit dans la série de travaux réalisés par le Sénat, depuis un certain temps, dans le domaine du numérique et des technologies de l’information.

Ainsi, rappelons la proposition de loi adoptée en début d’année visant à garantir le libre choix du consommateur dans le cyberespace, la question du statut des travailleurs de plateforme, qui a fait l’objet de plusieurs propositions de loi, et, enfin, la lutte contre l’illectronisme et l’encouragement de l’inclusion numérique, qui ont fait l’objet, sur l’initiative du groupe du RDSE, d’une mission d’information ayant rendu ses conclusions le mois dernier.

La cybersécurité, enjeu de longue date, est une question encore plus centrale depuis les mesures de lutte contre la pandémie de covid-19 et le recours massif au travail à distance, au moyen d’outils numériques. En effet, le confinement a accéléré l’utilisation de ces outils, à des fins tant professionnelles que privées. Dans ce contexte, le recours, parfois dans l’urgence, à des applications de téléconférence n’est pas allé sans augmenter les risques de piratage, d’enregistrement indu ou de détournement de données personnelles.

Je fais également remarquer que les collectivités territoriales, ne bénéficiant souvent pas des mêmes ressources que l’État, sont plus vulnérables à la cybercriminalité.

Avec cette proposition de loi, l’initiative du groupe UC et de notre collègue Laurent Lafon procède d’une intention légitime : renforcer la sécurité des plateformes numériques, en particulier des outils de téléconférence et de commande en ligne, en instaurant une obligation de certification.

Concrètement, les services de communication en ligne devront communiquer les informations relatives à la sécurité des données hébergées par eux ou par un autre prestataire. Cette démarche devra néanmoins s’articuler avec, d’une part, les travaux en cours à l’échelon européen, et, d’autre part, les aspects relevant du domaine réglementaire.

Si la pertinence du sujet ne fait pas de doute, le véritable enjeu se trouve dans sa technicité et dans l’applicabilité de nouvelles dispositions : champ d’application de la certification, niveau adéquat de norme, effectivité face à des acteurs de niveau mondial.

Le groupe du RDSE souscrit en principe à cette initiative. Je me permets simplement d’exprimer une réserve ou, du moins, une interrogation sur les éventuelles conséquences financières de cette nouvelle obligation. La certification sera-t-elle payante ? Les start-up et autres petites entreprises n’ont pas forcément les moyens de remplir ce type d’obligation, ce qui risque de créer une concurrence déloyale avec les plus grands acteurs.

La rapporteure a assuré que la modification adoptée en commission la semaine dernière les protégera de ce risque, mais elle renvoie à un décret pour la définition des seuils d’utilisation. Or on sait que les décrets prennent parfois du temps à être adoptés… Combien de temps faudra-t-il attendre pour obtenir le précieux sésame ?

En conclusion, le groupe du RDSE salue cette initiative dans un domaine pleinement d’actualité, où les risques d’abus sont généralement sous-estimés. La cybersécurité est de la responsabilité de chacun ; la maîtrise minimale des outils et des enjeux du numérique, donc la lutte contre la fracture numérique, sont également un objectif.

Aussi, nous voterons en faveur de l’adoption de ce texte, excepté l’un d’entre nous, qui s’abstiendra.