Nous recevons Mme Vanessa Gouret, conseillère au cabinet de Nicole Bricq, ministre du commerce extérieur. Vous êtes chargée de la politique commerciale et des règles du commerce international : quelle est votre analyse de la gouvernance de l'Internet, et quelles sont les pistes d'action comme de réforme sur ce sujet ?

Mme Nicole Bricq, qui apprécie tout particulièrement de venir au Sénat, n'a pas pu se libérer aujourd'hui et vous prie de l'excuser; je tâcherai de répondre à vos questions et l'en informerai.

Un élément de contexte important : la négociation actuelle de l'accord transatlantique de commerce et d'investissement aura un impact sur la gouvernance de l'Internet, quoique le sujet n'en fasse pas directement partie. Cette négociation a commencé concrètement en juin dernier, avec le mandat donné à la Commission européenne par les Etats-membres - ce mandat n'a pas été rendu public...

On peut cependant le trouver sur Internet...

C'est vrai, mais c'est officieux. La négociation transatlantique porte sur l'accès au marché, sur la régulation et sur les règles de fonctionnement même du commerce entre l'Union européenne et les Etats-Unis, avec l'objectif affiché de renforcer le commerce, moteur de croissance et d'emploi. La France est très attachée à ce que l'accord reconnaisse des objectifs de développement durable : nous y travaillons. Les négociations ont exclu l'accès aux services audiovisuels, et il est également prévu que l'accord transatlantique ne comportera aucune disposition qui porterait atteinte à la diversité culturelle ni aucune mesure autorisant les Etats à restreindre la diversité numérique. La négociation vient d'entrer dans son noyau dur, avec la transmission des offres tarifaires - le premier échange a eu lieu en février 2014 - ; elle devrait durer toute cette année.

La protection des données personnelles est un sujet à part entière. La directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données à un Etat tiers s'il n'assure pas un niveau de protection équivalent à celui qui prévaut dans l'Espace économique européen; ce niveau est apprécié par la Commission européenne, ou par les Etats membres. Cette équivalence de protection a été reconnue pour des pays comme le Canada ou l'Australie. Avec les Etats-Unis, un mécanisme spécifique a été mis en place, en coopération avec le ministère du commerce américain : c'est le Safe Harbor, un ensemble de règles auxquelles les entreprises se conforment pour être habilitées à traiter des données européennes - un millier d'entreprises américaines y ont adhéré, dont les plus importantes d'Internet, par exemple Google ou Facebook. Ce mécanisme est en cours de révision : la Commission européenne a transmis son projet le 25 janvier 2012, le Parlement européen vient de l'adopter - avec modifications - le 12 mars dernier; la présidence grecque a inscrit ce dossier parmi ses priorités, ce qui permet de penser que le Conseil européen pourrait adopter un texte cette année, pour une application l'an prochain.

L'Union européenne va donc renforcer ses règles de protection des données personnelles, ce qui aura un impact sur le Safe Harbor actuel; la Commission européenne, dans son rapport, émet de fortes critiques sur le mécanisme actuel et propose - le Parlement européen également -, que cette procédure d'habilitation permette d'appliquer bien davantage le droit européen, ce qui ne va pas sans inquiéter les Américains.

Les deux négociations - l'accord de libre-échange d'un côté, les règles de protection des données de l'autre - doivent rester séparées : le traité transatlantique ne devrait pas comporter de dispositions sur la protection des données personnelles, même si des passerelles existent, au premier chef le commerce électronique qui crée des flux de données. Le ministère du commerce extérieur a saisi le Conseil national du numérique pour examiner les interférences entre les deux négociations : le rapport devrait nous être remis cette semaine.

L'Europe a une position bien spécifique sur la protection des données, très différente de celle de la Corée par exemple : dans l'accord qu'elle négocie avec les Etats-Unis, l'Union européenne demande un dialogue réglementaire sur le commerce électronique, considérant qu'il est impératif de fixer des règles protectrices des données personnelles ; l'accord entre les Etats-Unis et la Corée, à l'inverse, proscrit aux Etats toute barrière qui limiterait les flux de données, sans faire mention de la protection de ces données - ce qui est bien plus conforme, dans le fond, aux intérêts américains.

L'Europe redéfinit ses règles de protection des données personnelles, nous y travaillons collectivement, en vue d'une adoption sous l'actuelle présidence grecque; et ces règles de droit européen devraient s'appliquer dans le commerce électronique avec les Etats-Unis, dès lors que l'accord transatlantique ferait une part plus grande au droit européen.

Nous connaissons et nous saluons l'intérêt que Nicole Bricq accorde à la protection des données personnelles - elle a du reste été la seule, au Gouvernement, à réagir à nos travaux en la matière.

Comment la protection des indications géographiques, qui fait partie des intérêts offensifs de l'UE dans la négociation du TTIP, peut-elle être assurée si l'ICANN étend les noms de domaine sans y prêter attention - c'est l'exemple du « .vin » ou « .wine » ? La gouvernance de l'Internet risque-t-elle, par ce biais, d'entrer dans le champ de la négociation du TTIP ?

Les indications géographiques sont un sujet important et particulièrement complexe avec les Américains - parce qu'ils y voient une barrière commerciale, dans un environnement juridique largement dominé par le droit des marques, là où, en particulier en Europe du Sud, nous y trouvons un outil pour valoriser et protéger des territoires. Des voix se sont élevées contre les indications géographiques : 55 sénateurs américains ont officiellement demandé que les Etats-Unis s'opposent à ce qu'elles figurent dans l'accord transatlantique, alors qu'avec le Canada par exemple, les indications géographiques commencent à être reconnues.

Très partiellement : la France s'est vue reconnaître seulement 30 appellations pour les fromages...

C'est vrai, mais c'est un début. Avec les Etats-Unis, la première étape sera de faire inscrire les indications géographiques dans l'accord transatlantique, ce qui évitera qu'elles puissent l'être seulement par les noms de domaine : le négociateur en chef de l'Union européenne est mobilisé sur ce dossier. Ensuite, s'agissant des noms de domaines, les Américains paraissent disposés à ouvrir la gestion de l'ICANN.

Le mandat de négociation de la Commission européenne comprend la possibilité de recourir à l'arbitrage en matière de règlement des différends entre les investisseurs et les États. Dans une résolution de juin 2013, le Sénat avait exprimé son inquiétude à l'égard de cette disposition, d'autant plus préoccupante dans le domaine numérique, où les grandes entreprises ont un pouvoir capable de concurrencer celui des Etats : l'existence de ce système d'arbitrage privé ne serait-il pas de nature à remettre en cause la capacité des États à légiférer ?

Ce dispositif de règlement des différends entre Etats et investisseurs est ancien, il a largement servi à promouvoir les investissements internationaux dans des pays en crise ou en transition, par exemple d'Europe de l'Est. Cependant, entre l'Union européenne et les Etats-Unis, un tel dispositif peut effectivement servir à contourner des normes protectrices, dans des matières aussi importantes que la santé publique, par exemple pour l'industrie du tabac. C'est pourquoi le ministère du commerce extérieur s'est prononcé contre l'inscription de ce dispositif dans le traité transatlantique ; la Commission européenne a ouvert le débat, avec une consultation qui est en cours : c'est important et la Commission a paru surprise de l'ampleur du débat. Nous espérons que cette consultation ouvrira sur la position que nous souhaitons, en préservant la capacité des Etats à réguler.

Quel est le calendrier de la négociation sur la protection des données personnelles ? A Bruxelles, on nous a laissé entendre qu'elle pourrait aboutir dès cette année : sur quelles bases ?

Le Parlement européen a adopté son texte et l'on peut espérer que le Conseil européen prendra position cette année - la présidence grecque en fait une priorité. A ce rythme, le trilogue pourrait se tenir l'an prochain et l'on peut déjà augurer un débat nourri : pour mémoire, quelque 4000 amendements ont été déposés au Parlement européen...

A votre avis, vers quel accord se dirige-t-on ? Les grandes lignes de ce que vous pouvez percevoir d'un compromis européen vous paraissent-elles compatibles avec les règles américaines ?

Le projet du président Obama pour le renouvellement en cours de la Trade Promotion Authority (TPA) indique très clairement les orientations stratégiques de l'exécutif américain dans les négociations commerciales, dont il ne faut pas oublier qu'elles sont transatlantiques et transpacifiques. Pour le numérique, cette stratégie se traduit par une volonté d'éviter toute entrave à la libre circulation des données, en particulier toute obligation de localiser des serveurs en fonction de l'origine géographique des données qu'ils contiennent. Cependant, l'Union européenne a changé de paradigme, en plaçant la protection des données personnelles au coeur de ses préoccupations, et le droit européen est appelé à changer en conséquence : les Américains devront bien en tenir compte.

L'OCDE ne paraît pas savoir mesurer les écarts de développement et d'investissement dans le numérique : ces écarts vous paraissent-ils exister ? L'Europe prend-t-elle du retard ?

La relation est asymétrique des deux côtés de l'Atlantique, car les grands de l'Internet sont tous Américains ; cependant, l'Union européenne représente 230 millions de consommateurs en ligne, la France est par exemple au sixième rang mondial pour le commerce électronique : les Américains ont besoin des consommateurs européens, sans compter que l'Europe produit du contenu sur Internet et que notre économie, comme aux Etats-Unis, est fondée sur l'innovation et la recherche. S'il y a un écart, il n'est pas technologique, il est d'abord dans la capacité de donner un développement commercial à l'innovation. C'est bien pourquoi l'accord à trouver est un accord de partenariat.

Comment rester dans la course ? Quelle vous paraît la meilleure échelle pour prendre des initiatives : l'Union européenne, avec, par exemple, un « Airbus du numérique » ? Les Etats européens ?

Vous allez bien au-delà de mon domaine de compétence... Le rapport que nous attendons du Conseil national du numérique devrait nourrir votre réflexion.

L'intelligence économique et l'espionnage industriels font-ils partie des négociations en cours ?

Non, ces sujets sont traités à part et ils sont suivis par le ministère de la justice.

Merci pour votre participation.

Nous auditionnons M. Winston Maxwell, qui exerce sa profession aux Etats-Unis aussi bien qu'en Europe : nous sommes très intéressés par votre vision transatlantique de la gouvernance d'Internet et sur des sujets d'actualité comme la protection des données personnelles, ou encore la neutralité du net.

Effectivement, je travaille des deux côtés de l'Atlantique et je peux vous parler de deux sujets en particulier : la neutralité du réseau, et la législation américaine en matière de surveillance.

Qu'est-ce que « la neutralité de l'internet » ? C'est essentiellement le fait que l'information y circule en toute transparence, sans intervention qui en censurerait ou en orienterait le contenu ; cependant, cette neutralité n'est pas absolue, il y a des exceptions, des raisons légitimes d'interdire des contenus - et ce sont ces exceptions qui délimitent ce qu'on appelle la neutralité, toujours relative, d'Internet. Trois grandes raisons peuvent conduire les autorités à bloquer le réseau. Premièrement : la protection du réseau lui-même, lorsque des flux trop importants le menacent, par exemple - ce type de blocage, temporaire, n'est pas controversé. Deuxièmement : les discriminations commerciales, la possibilité pour un acteur de privilégier un service sur un autre - une sorte d'entente entre un fournisseur d'accès et une entreprise ou un type de service, pour présenter ce service, le référencer, le mettre en avant... Ce type de discrimination n'est pas interdit en Europe, mais elle est « bordée » par le droit de la concurrence : il ne faut pas que la discrimination porte atteinte à la concurrence, c'est ce garde-fou qui peut éviter de devoir adopter une régulation spécifique. Enfin, troisième raison pour les autorités de bloquer des contenus : des objectifs de politique publique, par exemple la lutte contre la pédopornographie, contre le racisme et l'antisémitisme, contre les paris en ligne... C'est ici que les choses deviennent très controversées. Dans sa communication sur la gouvernance de l'Internet, la Commission européenne parle de la protection des droits fondamentaux, mais c'est un sujet très sensible, parce que ces droits varient, à tout le moins sont-ils interprétés différemment selon les sociétés - sous le régime du premier amendement américain, par exemple, des restrictions parfaitement admises en Europe ne seraient pas acceptables, au nom de la liberté d'expression. Les Etats-Unis craignent qu'on ouvre ici une véritable boîte de Pandore, où chaque Etat avancera ses raisons légitimes de bloquer des contenus ou des accès, au risque de balkaniser Internet. L'OCDE a du reste conduit une réflexion sur les intermédiaires techniques d'Internet et les objectifs de politique publique - mais elle a décidé de ne pas communiquer les résultats de ses travaux, par manque de consensus... Des notions comme le droit à l'oubli, par exemple, sont très controversées : en Espagne, un tribunal vient de décider que Google a l'obligation de déréférencer des pages à la demande des personnes mentionnées, ce qui revient à faire de cette entreprise le gardien du droit à l'oubli : cette affaire est en appel devant la CJUE, elle provoque un débat passionné. Autre exemple, l'exception culturelle fait consensus en France, au point d'inspirer des mesures de « neutralité préférentielle » bien peu orthodoxes - le rapport Lescure, par exemple, suggère la signature de conventions avec les sites qui s'engagent à contribuer à la culture française.

Quand bien même ces « arrangements » ou ces restrictions seraient admis, comment les faire respecter ? Comment les intermédiaires techniques sont-ils appelés à coopérer ? Comment gérer les conséquences techniques du blocage de contenus ou de sites ? Dans quel cadre institutionnel, finalement, la restriction est-elle la plus efficace et la moins dommageable au reste du réseau ?

Plusieurs outils sont mobilisables, avec leurs avantages et leurs inconvénients. Il y a le recours au tribunal : c'est le juge, par exemple, qui ordonne de couper l'accès au réseau d'un site négationniste. Il y a, bien plus fréquente et moins visible, l'autorégulation - qui passe par des normes internes aux entreprises d'Internet, à travers les conditions générales d'utilisation mais aussi des procédures internes d'évaluation des contenus.

Quelle légitimité peut avoir ce type de suspension d'accès ?

Il ne s'agit pas alors de suspendre l'accès à Internet, mais de bloquer des contenus ; c'est le cas par exemple pour la nudité sur You Tube : s'il y a peu de nus sur ce site, c'est parce que le gestionnaire bloque les images montrant des corps nus, conformément aux conditions générales d'utilisation de ce site. Quelle est sa légitimité à le faire ? La même que celle d'un président de club qui vous interdirait d'entrer au nom de son règlement intérieur - lequel, cependant, ne doit pas être discriminatoire.

Les critères varient cependant selon la culture, ce qui ne va pas sans toucher à la légitimité de telles interventions...

C'est vrai, et la meilleure parade, c'est la transparence : il faut pouvoir connaître les critères et les procédures d'application ; or, la régulation interne n'a rien de transparent, les sites sont gênés de dire qu'ils écartent des contenus, eux qui prêchent la liberté d'expression...

Parmi les outils, il y a encore l'autorégulation multilatérale, que pratique par exemple l'Association des fournisseurs d'accès et de services internet (AFA) en signalant des sites ou des contenus illégaux ou la régulation par une autorité administrative, par exemple l'Autorité de régulation professionnelle de la publicité (ARPP), qui vérifie le contenu des publicités ; il y a, enfin, le recours à la co-régulation, qui fonctionne un peu comme le droit social où des accords de branche acquièrent force de droit.

Une fois l'outil institutionnel choisi, à quels acteurs et à quels leviers techniques recourt-on ? Est-ce au fournisseur d'accès qu'il revient de bloquer l'accès ? Si l'on bloque un DNS, quelles sont les conséquences pour le reste du réseau ? Lorsque le FBI a bloqué le site Megaupload, on a vu les difficultés que cela pouvait poser au plan technique : les demandes étaient en fait ré-adressées vers le site du FBI, au risque de le saturer et de menacer le système d'adressage du réseau... Si le « droit à l'oubli » est reconnu, Google sera-t-il tenu de déréférencer des pages ? Concernant les jeux en ligne, est-ce aux services de paiement de refuser le paiement si nécessaire ?

On voit par là que la neutralité d'Internet résulte de nombreux facteurs qui demandent des compromis pour former un ensemble cohérent, au service des droits fondamentaux des personnes et tenant compte des caractéristiques techniques d'Internet. La jurisprudence européenne rend très bien compte de cet ensemble de facteurs, en appliquant dans ses décisions un test de proportionnalité : les restrictions éventuelles aux droits doivent être proportionnelles aux bénéfices attendus des politiques publiques, et ces restrictions s'apprécient différemment, dans chaque cas, selon qu'il s'agit de liberté d'expression, de liberté d'entreprise, de protection de la vie privée, ou encore de présomption d'innocence. Et c'est une dimension incontournable, quoique fort complexe, de la gouvernance d'Internet.

Que pensez-vous de la situation où Google, parvenue en position d'intermédiation quasi-obligatoire, monnaye des services dont la valeur est directement liée à cette situation dans le réseau ?

La première question à se poser, c'est de savoir s'il y a atteinte à la concurrence et si le droit de la concurrence permet, ou non, de régler le problème posé. A mon avis, le coeur de métier du droit de la concurrence, c'est d'apprécier s'il faut, ou non, des règles spécifiques pour protéger le marché, sachant que toute réglementation spécifique peut être trop restreinte et elle-même une source d'erreur. De ce point de vue, c'est seulement quand il y a une défaillance du marché, que la règle spécifique devient légitime.

Pensez-vous que notre conception des droits fondamentaux puisse se concilier avec la vision commerciale qu'ont les Américains des données personnelles ?

Oui, je le pense, mais à condition qu'on recherche des solutions pratiques, plutôt qu'à trancher au préalable le débat théorique : les théories peuvent diverger et elles sont parfois irréconciliables, mais les Américains parviennent souvent à des solutions proches de celles des Européens, on l'a vu pour les applications en téléphonie mobile.

Comment parvenir à un équilibre ?

Le monde étant imparfait, il me semble illusoire d'attendre que le droit empêche les comportements illicites ; des abus existent, il faut les réprimer : la Federal Trade Commission (FTC) n'est pas moins sévère que ses consoeurs européennes, loin s'en faut. La différence tient cependant à la taille des entreprises, donc à leurs moyens d'échapper à la loi ; cependant, les choses changent outre-Atlantique, la volonté politique d'appliquer la loi se renforce.

Pensez-vous qu'il faille abandonner, ou renforcer le Safe Harbour ?

Certainement pas l'abandonner : lorsque le Parlement européen le propose, c'est, je crois, par provocation ou par mouvement d'humeur, mais la Commission européenne est bien plus nuancée, elle reconnaît que la FTC applique les règles. Le problème est plutôt que la NSA n'entre pas dans le champ des règles négociées, du moins publiquement.

Comment faire évoluer ce point ? Pensez-vous qu'un accord-cadre soit possible, qui inclurait la NSA ?

Le domaine est secret et je ne suis pas certain que les questions touchant à la sécurité nationale se prêtent à un accord-cadre touchant à l'échange de données. Cependant, l'affaire Snowden, en créant une crise de confiance dans certains produits américains, a entraîné des dommages pour l'industrie américaine, qui sont estimés à une dizaine de milliards de dollars - ce qui fait une forte pression interne aux Etats-Unis. Dans son discours sur l'état de l'Union, le 14 janvier dernier, le président Obama a évoqué les difficultés nées de ces révélations, pour la sécurité nationale autant que pour la protection de la vie privée des Américains, mais aussi pour la confiance de leurs alliés et amis, en soulignant l'importance de cette confiance pour l'économie américaine. Et il semble que le gouvernement américain veuille mettre en place des mesures pour que les non-Américains soient mieux protégés juridiquement.

Quelques mots sur les règles américaines en matière d'écoutes et de surveillance. Dans les années 1960, lors de la guerre du Vietnam et du mouvement pour les droits civiques, l'administration se livrait à des écoutes sauvages, en l'absence de toute règle puisqu'on reconnaissait alors une sorte de pouvoir général à l'exécutif en matière de sécurité. Puis la presse a révélé que des personnalités comme Martin Luther King et bien des dissidents étaient sur écoute, ce qui a entraîné de fortes protestations. C'est sur cette base qu'ont été élaborées, dans les années 1970, les premières règles encadrant les écoutes et interceptions de sécurité, avec la constitution de cours spéciales - formées de juges fédéraux, civils, nommés pour sept ans, habilités au secret défense - auxquelles les agences de renseignement devaient demander une autorisation expresse avant toute écoute. Après le 11-Septembre, les agences de renseignement ont fait valoir que cette procédure était trop lourde contre le terrorisme ; elle a donc été allégée pour les non-Américains, les cours spéciales étant désormais habilitées à délivrer une « autorisation-cadre » aux agences, valant pour une période donnée. Le président Obama a demandé deux rapports indépendants sur ces procédures, qui préconisent des réformes légales - ce qui paraît difficile dans le climat actuel aux Etats-Unis, très sécuritaire, quand bien même il a été révélé que la CIA écoutait certains sénateurs américains... Une autre piste consiste à désigner, dans la procédure actuelle, un avocat pour y défendre les droits fondamentaux, ce qui revient à introduire le principe du contradictoire ; on parle aussi d'obliger les cours spéciales à publier les écoutes dès lors qu'elles ne mettent pas en jeu la sécurité nationale : ces pistes sont manifestement à l'étude.

L'autorisation-cadre dont vous nous parlez fonctionne-t-elle sur une base géographique ? Sectorielle ?

Je ne sais pas, ces décisions sont secrètes. On remarquera, cependant, que l'architecture des procédures dérogatoires est assez similaire des deux côtés de l'Atlantique. Aux Etats-Unis comme en France, des règles encadrent les enquêtes très strictement - en France, c'est le code de procédure pénale - avec l'intervention d'un juge pour autoriser des écoutes ou toute interception de sécurité ; et, des deux côtés de l'Atlantique, des règles dérogatoires sont prévues lorsque la sécurité nationale est en jeu : ces dérogations sont regroupées aux Etats-Unis dans le code de guerre et d'espionnage, en France dans le code de la sécurité intérieure - qui, en particulier, prévoit l'autorisation d'une personne désignée par le Premier ministre et une information de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Il est également d'usage, dans nos deux pays, que ces règles ne s'appliquent pas en dehors du territoire national. La principale différence, me semble-t-il, tient aux moyens : la NSA est devenue si puissante et dispose d'une telle technologie, qu'elle est capable de conduire une surveillance généralisée et qu'il y a eu des débordements. Enfin, il est vrai que la technologie a évolué très rapidement ces dernières années : des deux côtés de l'Atlantique, les textes en vigueur commencent à dater, il est temps de les adapter aux technologies actuelles.

Devant qui les instances de gouvernance d'Internet devraient-elles rendre des comptes ? Quel peut-être le poids des Etats dans le modèle de la co-régulation ?

Les pays de l'Union européenne ou de l'OCDE pourraient probablement s'entendre pour une gouvernance équilibrée, mais Internet est mondial. Faut-il un système calqué sur l'ONU ? Ce serait risquer de paralyser tout le réseau. En fait, je n'ai pas de réponse claire à votre question. L'idée fait son chemin que l'adressage ne doit plus dépendre du ministère du commerce américain et les Etats-Unis paraissent prêts à des réformes - qui ne versent pas Internet dans le giron d'une organisation internationale comme l'UIT.

Merci pour toutes ces précisions.