Intervention de Catherine Morin-Desailly

Madame la présidente, madame la secrétaire d’État, mes chers collègues, en l’état, l’ordre du jour du prochain Conseil européen ne mentionne pas expressément le numérique.

Le Conseil européen sera consacré au suivi des conclusions sur la politique industrielle et sur le marché unique, à la compétitivité et à la productivité à long terme de l’Europe, à la réforme de la gouvernance économique et au bilan sur les capacités de l’Union en matière de sécurité et de défense. Je suis surprise que le numérique ne figure pas à l’ordre du jour. Il constitue l’épine dorsale de nos sociétés. La succession de nouvelles technologies dans ce domaine ne cesse de bouleverser nos modèles économiques et d’affaires. Le sujet est central.

Sous la présidence de Jean-François Rapin, la commission des affaires européennes du Sénat a travaillé et formulé des propositions, anticipant l’adoption des règlements visant à instaurer une régulation européenne du numérique, régulation qui a tant fait défaut durant ces vingt dernières années.

L’heure est maintenant venue, après l’adoption pendant la présidence française de l’Union européenne du DMA, du DSA et du règlement sur la gouvernance des données, le Data Governance Act (DGA), de la transposition. C’est l’objet du projet de loi visant à sécuriser et à réguler l’espace numérique, sur lequel la commission spéciale constituée par le Sénat travaille activement.

Je me réjouis que l’ensemble des propositions d’amélioration figurant dans des résolutions européennes du Sénat – nous les avons adoptées à l’unanimité – aient été prises en compte dans ces textes. Pour autant, si ces derniers constituent des étapes importantes, ils ne résoudront pas tous les abus des grandes plateformes extraeuropéennes ni certains dysfonctionnements qui sont intrinsèquement liés à leur modèle économique, à leur absence de statut, donc de vraie responsabilité.

Le projet européen de régulation de l’intelligence artificielle (IA) vient d’être adopté par les eurodéputés. Nous sommes fiers que l’Union européenne soit la première dans le monde à légiférer sur ce sujet complexe et difficile à appréhender. L’usage de l’IA se généralise et suscite de nombreuses inquiétudes. Cela représente aussi un formidable gisement de croissance. L’Union européenne doit rester dans la course par le biais d’investissements en matière de politique industrielle. C’est pour ces raisons que nous devons nous doter d’un cadre juridique qui encadre les risques liés à son utilisation, mais qui permette également d’être dans la course.

Le Data Act est encore en cours de discussion. Je rappelle que la donnée est l’or noir du numérique. Beaucoup de nos données, qu’il s’agisse de nos administrations, de nos entreprises, de nos infrastructures critiques, sont extrêmement sensibles. Certaines relèvent même de la sécurité nationale, voire du secret-défense. Il est donc impératif, à la faveur de ce texte, de changer d’approche et de profiter de l’occasion pour alerter sur les dangers du recours à des technologies extraeuropéennes pour le traitement de nos données. N’oublions pas que nous sommes toujours sous la coupe de la législation américaine, notamment le Foreign Intelligence Surveillance Act (Fisa).

En résumé, cette ambition de régulation est bienvenue, mais elle ne saurait à elle seule constituer une stratégie de reconquête de notre souveraineté dans le domaine du numérique, cher à Thierry Breton.

Nous nous interrogeons sur la politique industrielle en la matière. Notre commission des affaires européennes a publié un rapport sur le programme d’action numérique de l’Union européenne à l’horizon 2030. Nous avons pointé du doigt une absence de moyens et de vision stratégique. Par exemple, si le programme met en avant la formation, les modalités pratiques restent bien floues. Quels cursus ?

Finalement, on a l’impression que les États membres sont renvoyés à leurs propres responsabilités. Ils devront mettre en œuvre le programme avec leurs propres moyens, il en résultera des situations différenciées, des états d’avancement plus ou moins avancés selon les pays. Si quelques axes forts sont posés, on observe ainsi un manque de coordination.

Il importe que les États et l’Union européenne appréhendent clairement le numérique comme un élément relevant du domaine régalien et se dotent d’une politique industrielle en la matière. Il s’agit de faire monter en puissance l’industrie européenne pour qu’elle puisse garantir à terme notre autonomie technologique, qu’elle contribue à l’affirmation de notre souveraineté et qu’elle soit en mesure d’assurer la sécurité de nos données, y compris les plus sensibles.

Le Data Act est transposé par anticipation dans le projet de loi visant à sécuriser et réguler l’espace numérique, texte que nous examinerons dans quelques jours. Il a pour objet d’éviter que les grandes plateformes ne verrouillent techniquement, juridiquement et financièrement le marché de la donnée par le biais de systèmes informatiques « propriétaires ».

Dans notre rapport d’information sur le Data Act, André Gattolin, Florence Blatrix Contat et moi-même proposons d’accompagner nos entreprises européennes et nos PME dans la création et le développement de clouds souverains, afin que l’on ne dépende plus de législations extraeuropéennes.

N’ayons pas peur des mots, il faut assumer le choix d’une préférence communautaire pour nos entreprises. Les impératifs de sécurité nationale peuvent tout à fait justifier des exemptions aux règles de l’Organisation mondiale du commerce (OMC) et au droit des marchés publics européens. Cyril Pellevat a évoqué tout à l’heure un Buy European Act, mais on pourrait envisager un Small Business Act. Toutes les puissances étrangères – je pense aux États-Unis, à la Chine, à l’Inde – ont mis en place des réglementations en matière de localisation et de traitement des données, et ont instauré des contraintes liées à des considérations de sécurité nationale qui rendent compliquée, voire impossible l’application d’une concurrence libre et non faussée entre acteurs locaux et européens.

Il est temps d’utiliser la commande publique comme levier et de porter cet argument à l’échelon européen. Il y va de notre intérêt.

Enfin, à l’heure actuelle ont lieu des discussions sur le traitement des données sensibles et stratégiques, autour du projet de schéma européen de certification de cybersécurité pour les services de cloud, qui a été présenté en 2020, sur l’initiative de Thierry Breton.