Intervention de Patrick Chaize

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, le numérique est décidément à l’honneur au Sénat : le 19 février dernier, nous adoptions à l’unanimité la proposition de loi de notre présidente Sophie Primas visant à garantir le libre choix du consommateur dans le cyberespace – la liberté de choix des utilisateurs d’équipements terminaux et l’interopérabilité des services de communication au public en ligne étaient alors des points cardinaux de ce texte.

Le 24 juin dernier, la commission de l’aménagement du territoire et du développement durable adoptait le rapport d’information de Guillaume Chevrollier et de Jean-Michel Houllegatte sur l’empreinte environnementale du numérique, après les six mois de travaux de la mission d’information que j’ai eu l’honneur de présider.

Le Sénat n’a pas attendu la crise sanitaire pour se pencher sur les nouveaux enjeux du numérique. Force est de reconnaître que nous avons été bien inspirés. Disons-le simplement : les données, qui seront la matière première stratégique du XXIe siècle, ne sont pas encore traitées avec la rigueur qu’il conviendrait de leur réserver.

Les données informatiques ne doivent pas être confondues avec de l’information. Qu’il s’agisse de la gestion de volumes exponentiels, de la protection contre des utilisateurs malveillants ou encore du risque de manipulation, nous n’avons pas encore déterminé de politique publique idoine.

Faut-il légiférer ? Que peut-on espérer du cadre communautaire actuel ? Doit-on attendre le futur Cybersecurity Act, qui doit permettre, à terme, de définir un cadre de certification européen ? Toutes les questions que pose le développement exponentiel des usages ne trouveront pas de réponse aujourd’hui.

Pourtant, cette proposition de loi s’attaque et, je le crois, répond à un chantier essentiel, celui de l’information du public sur la sécurité de l’information qu’il transmet aux plateformes numériques.

Je citerai deux chiffres pour nous convaincre de l’importance du sujet : depuis le début de l’épidémie du coronavirus, le nombre d’utilisateurs du logiciel de la société américaine Zoom a augmenté de 2 900 %, atteignant 300 millions par jour ; entre le 14 et le 21 mars 2020, les téléchargements d’applications de visioconférence ont augmenté de 90 %, soit pas moins de 62 millions de téléchargements.

Aussi, comme le souligne le rapport de notre collègue Anne-Catherine Loisier, que je salue pour la pertinence de ses travaux, si les consommateurs sont protégés, en tant que personnes physiques, par le règlement général de protection des données adopté à l’échelon européen en 2016, ce dernier n’impose cependant pas d’informer sur la cybersécurité des solutions proposées par un prestataire de solutions numériques. Autrement dit, si le droit européen de la cybersécurité prévoit, à terme, des certifications harmonisées de cybersécurité, une telle certification reste, à ce jour, une démarche volontaire de l’entreprise concernée.

L’article 1er de cette proposition de loi, qui oblige les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité, afin de mieux les informer sur la sécurisation de leurs données, répond donc à cette lacune.

Toujours en ce qui concerne l’article 1er, je trouve bienvenu l’amendement de Mme la rapporteure adopté en commission. Je souscris au fait qu’il faille élargir le champ d’application du dispositif à tout fournisseur de services de communication au public en ligne. Je souscris également à la proposition de substituer un arrêté au décret définissant les indicateurs. Enfin, je trouve cohérent de permettre la désignation des organismes habilités par l’Agence nationale de la sécurité des systèmes d’information.

Le recours trop systématique aux décrets d’application était l’un des griefs que l’on pouvait adresser à cette proposition de loi, y compris pour le cœur du dispositif. S’il arrive que le pouvoir législatif déborde maladroitement sur le pouvoir réglementaire, nous n’étions pas loin, en l’espèce, de l’incompétence négative. Désormais, seuls les indicateurs et la durée de validité devraient être fixés par arrêté.

La rédaction actuelle de l’article 1er me semble donc cohérente, même si j’ai cru comprendre qu’elle pouvait encore évoluer d’ici à la fin de notre examen, notamment pour renforcer la cybersécurité des entreprises utilisatrices.

Il est loisible d’émettre des réserves sur les moyens d’atteindre l’objectif fixé à l’article 2, conservé à l’issue de nos travaux en commission. Comme le rappelle notre rapporteure, une loi de portée générale est affaiblie si elle inclut des objectifs particuliers. Les impératifs de cybersécurité ne concernant pas tous les marchés publics, cet ajout n’est peut-être pas indispensable.

Mes chers collègues, vous l’aurez compris, dans sa rédaction actuelle, et compte tenu des évolutions possibles que peut connaître ce texte en séance, notre groupe votera pour cette proposition de loi.