La cybersécurité devient vitale pour la société numérique en cours de construction.

L'année qui vient de s'écouler et l'actualité nous en offrent le triste exemple. Au cours de ces derniers mois, il y a eu trois cyberattaques d'ampleur mondiale. En mai, l'attaque WANNA CRY a infecté plus de 300 000 ordinateurs dans 150 pays. En juin, l'attaque PETYA a frappé entreprises et administrations, en particulier en Ukraine et en Russie, mais également Saint-Gobain. Fin juillet, le piratage géant d'EQUIFAX a compromis les données sensibles de 143 millions d'américains.

Très récemment une faille de sécurité a été détectée contre les cartes d'identité électroniques en Estonie. Cet État membre de l'Union Européenne est souvent vu comme le pays le plus avancé en ce qui concerne le numérique. La carte d'identité qui y est délivrée comporte une puce électronique qui permet d'accéder au dossier médical, au dossier fiscal, etc... Pour une population de 1 265 000 habitants, 800 000 cartes d'identité sont à refaire et à mieux sécuriser.

Mais ces grandes cyberattaques sont quelques arbres qui cachent la forêt. En effet, la Commission européenne a recensé 4 000 attaques par rançongiciel chaque jour de 2016. Au total, 80 % des entreprises européennes auraient été touchées par une cyberattaque en 2016.

C'est pourquoi, dans son discours sur l'état de l'Union le 13 septembre dernier, Jean-Claude Juncker a évoqué la cybersécurité et annoncé une série de mesures, dont le texte qui nous est transmis, constitue la colonne vertébrale.

Bien entendu, l'Europe ne part pas de zéro. La commission des lois du Sénat examinera début 2018 la transposition de la directive sur la sécurité des réseaux d'information élaborée en 2016. Cette directive prévoit notamment que :

- chaque État membre doit se doter d'une agence spécialisée dans la cybersécurité ;

- chaque État doit désigner des « opérateurs de services essentiels » au fonctionnement de l'économie et de la société ;

- les administrations, les grandes entreprises et celles travaillant dans des secteurs sensibles ont l'obligation de signaler les attaques dont elles sont victimes ;

- la participation volontaire à une coopération entre États membres. Notez bien le mot volontaire.

La directive prévoit enfin l'adoption de règles européennes communes en matière de cybersécurité pour certains prestataires de services numériques.

C'est un début d'organisation européenne. Ce texte s'appuie sur l'idée forte que chaque État doit se doter des moyens d'assurer sa cybersécurité afin de contribuer, par une coopération volontaire, au renforcement de la cybersécurité européenne.

Ce partage des rôles est tout à fait justifié, car la cybersécurité comprend des éléments de protection qui relèvent de la souveraineté nationale. Or, cette compétence ne peut pas échoir à l'Union.

Mais aujourd'hui, notre Commission n'a pas à se prononcer sur cette directive, mais uniquement à adopter une résolution portant avis motivé sur la proposition de Règlement COM (2017) 477 final de la Commission Européenne.

Cette proposition de règlement a deux objets :

1°/ le renforcement de l'Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA),

2°/ l'établissement d'un cadre européen de certification en cyber sécurité des produits et services de technologies de l'information et de la communication.

Notre proposition de résolution portant avis motivé n'abordera qu'un aspect de la proposition de règlement de la Commission. Mais c'est un aspect essentiel puisqu'il s'agit de vérifier si ce règlement respecte le principe de subsidiarité. Cette vérification est d'autant plus importante que l'initiative de la Commission Européenne n'arrive pas en terrain vierge.

En effet, 14 États européens ont déjà mis en place un processus de certification de cybersécurité des produits et des services du numérique, sur la base de normes mutuellement reconnues. Il s'agit de la France, de l'Allemagne, de l'Autriche, de la Croatie, de l'Espagne, de l'Estonie, de la Finlande, de l'Italie, du Luxembourg, de la Norvège, des Pays Bas, de la Pologne, du Royaume Uni et de la Suède. Étant toutefois précisé :

- que plusieurs de ces pays, dont l'Estonie, sont plutôt clients que fournisseurs,

- que la Grande Bretagne et la Suède regardent vers les États-Unis,

- que la France est le pays moteur du groupe.

Au vu des résultats de ce groupe, on peut dire que dans le domaine de la cybersécurité, l'Europe est en avance sur le reste du monde. Des entreprises américaines et asiatiques font certifier leurs produits en Europe, car nous avons les meilleurs standards. Et, au sein de l'Union, une entreprise comme Siemens fait certifier certains de ses produits en France.

Notre pays a donc développé une véritable expertise dans la certification de cyber sécurité, ce qui est un atout dans la compétition économique mondiale. Ce n'est pas négligeable, car on nous parle beaucoup des objets connectés qui vont envahir nos vies. Or, ces produits, il faudra certifier qu'ils sont sécurisés ! Notre pays a une véritable carte à jouer dans ce secteur.

Après avoir auditionné :

- le conseiller à la transformation numérique auprès du Secrétaire d'État chargé du numérique,

- le président de l'Alliance pour la confiance numérique, le secteur privé de la cybersécurité en France,

- le directeur général de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI),

ma collègue et moi-même, tout en affirmant notre accord avec les orientations de la proposition de règlement, sommes amenés à soulever les problèmes que pose ledit règlement au regard de la subsidiarité.

Je vous remercie pour votre attention, et passe le relais à notre collègue Laurence Harribey.

La question de la cybersécurité dépasse l'organisation du marché unique européen, elle concerne aussi les prérogatives des États membres. Comme René Danési vient de le montrer, le marché européen est fragmenté et il y a une véritable expertise en Europe, et notamment en France.

Dans le cadre du contrôle de subsidiarité auquel nous avons procédé, nous nous sommes efforcés de vérifier que les mesures proposées respectent les prérogatives des États membres et qu'elles n'outrepassent pas ce qui est nécessaire pour atteindre l'objectif fixé. Et je dois dire que nous sommes assez inquiets des propositions qui sont faites.

La cybersécurité dépasse l'organisation du marché unique européen des produits et des services et relève aussi de la sécurité et de la sûreté des États, donc de leur souveraineté et de la Défense nationale. Il s'agit là de prérogatives des États membres et non de l'Union européenne.

Or, concernant la cybersécurité, la Commission européenne fonde son approche uniquement sur les seuls articles 26 et 114 du traité relatifs marché intérieur, ce qui lui donne tout pouvoir ou presque. C'est dangereux. Le dispositif de la proposition doit tenir compte du rôle souverain des États membres en matière de cybersécurité. Je souligne que ce n'est pas contraire à un renforcement des capacités européennes en la matière.

Second point, en ce qui concerne l'ENISA, l'agence européenne de cybersécurité. C'est vrai que c'est une agence modeste et aux moyens limités. On ne peut pas continuer ainsi. La sécurité informatique est devenue trop importante et elle le sera encore plus dans les années à venir. Il faut renforcer également les capacités et les moyens des États membres, notamment de ceux qui ont peu de moyens. Nous sommes en plein accord avec cette ambition.

En ce sens, certains aspects de la proposition nous satisfont : la pérennisation de l'ENISA, l'augmentation de ses moyens, un rôle accru pour aider les États à perfectionner leurs moyens et leurs compétences, le partage de l'information et la participation à la recherche et l'innovation dans la cybersécurité.

Cependant, nous ne pouvons accepter que l'ENISA se substitue aux États membres dans certains cas. Elle ne peut disposer de pouvoirs opérationnels qui lui permettraient d'agir en lieu et place de certains États membres, quand bien même ceux-ci seraient demandeurs. Elle doit aider chaque pays à s'améliorer, faciliter leur coopération et l'action collective, mais pas agir à leur place. Pourquoi donner à une agence européenne les moyens d'assumer une mission qui doit être assurée par les agences nationales ?

Or, le texte prévoit qu'en cas d'attaque touchant plusieurs États membres, l'ENISA dispose de pouvoirs d'enquête pour déterminer ce qui s'est passé. Il prévoit aussi qu'en cas de cyberattaque contre un État membre, une équipe d'intervention de l'ENISA, spécialisée dans la gestion des crises, puisse agir. Cela va trop loin. Au mieux, on va créer des doublons avec des capacités opérationnelles existantes. Au pire, on va empiéter sur la souveraineté des États membres. Cela nous paraît même contraire aux objectifs de la directive SRI que René Danesi vient d'évoquer et qui doit être transposée. Nous sommes d'accord pour renforcer l'ENISA sans excéder ce qui est nécessaire et dans le respect des souverainetés nationales.

Pour ce qui est de la certification, l'ambition est grande, mais la proposition est loin d'être satisfaisante.

Oui, il faut un cadre européen unique de certification. C'est une nécessité pour le bon fonctionnement du marché unique : les produits et les services numériques présenteront les mêmes garanties de sécurité partout dans l'Union. C'est aussi primordial pour faire en sorte que la sécurité électronique soit présente à chaque niveau.

Toutefois, on a l'impression que la Commission a mis le contenu avant le contenant. On nous propose un système très intégré, qui donnerait un rôle central et incontournable à l'ENISA, alors que celle-ci ne dispose actuellement d'aucune compétence ou expérience en la matière. Et dans le nouveau processus, les États membres et leurs représentants n'auraient plus qu'un rôle consultatif. Pire encore, les nouveaux certificats européens seraient créés quasiment ex nihilo et s'imposeraient face à tout ce qui a pu être fait jusqu'à présent.

En outre, le système proposé apparaît trop simple : on ne certifie pas de la même façon une brosse à dents connectée et un système de transports publics. On va tourner le dos à des années de travail, à une expertise reconnue, à une confiance gagnée petit à petit auprès des différents agents économiques, et à un système vertueux qui part de la base, un système « bottom-up ». Nos auditions nous ont montré qu'il faut un système différencié avec une approche proportionnelle.

En effet, aujourd'hui, rien n'oblige une entreprise à faire certifier ses produits. Elle le fait parce qu'elle sait qu'une fois certifiés, elle les vendra mieux. La Commission propose d'inverser le schéma. Ça ne peut pas marcher et on risque d'affaiblir le niveau général de la cybersécurité dans l'Union.

En outre, des normes internationales ont été mises en place depuis 2010 qui sont reconnues mutuellement par les États (dont 13 États membres de l'Union) et qui s'appliquent déjà. Pourquoi ne pas partir de ces normes et les généraliser plutôt que d'en créer de nouvelles, qui devront prouver leur valeur ? Cela n'est pas justifié.

Enfin, nous ne comprenons pas pourquoi on veut répondre à deux problèmes différents en un seul texte. Il serait plus approprié de disposer d'un texte pour l'ENISA et d'un autre texte pour l'instauration d'un cadre de certification.

Pour l'ensemble de ces raisons, nous estimons que la proposition de la Commission européenne ne respecte pas le principe de subsidiarité et c'est le sens de l'avis motivé que nous vous soumettons.

Merci à nos deux rapporteurs pour leur travail sur un sujet complexe. La difficulté, vous l'aurez compris, est de trouver un subtil équilibre entre la nécessaire harmonisation européenne et un standard élevé de protection.

Cela me rappelle le travail que nous avions fait avec Simon Sutour sur la sûreté nucléaire. Dans un premier temps, la France ayant un haut niveau en ce domaine, nous avions prôné une harmonisation. Mais dans un second temps, on s'était rendu compte qu'on s'orientait vers une harmonisation par le bas, ce qui n'était pas l'objectif.

Sur ce texte, je serai plus nuancée que nos deux rapporteurs.

Tout d'abord, il faut savoir que 99 % des attaques sont de nature transfrontalières. Une coordination européenne est donc nécessaire. Toutefois, je trouve ce texte prématuré dans la mesure où une directive vient d'être adoptée sur ce sujet et que les mesures de transposition n'ont pas encore été prises. En outre, les services français en matière de cybersécurité distinguent la réponse à une attaque gérée par la DGSI et la défense gérée par l'ANSSI. Cette distinction paraît fondamentale sur le plan éthique et on ne la retrouve pas partout, notamment dans les pays anglo-saxons. Il ne faudrait pas que cette proposition de règlement aboutisse à une fusion de ces services. Par ailleurs, je rejoins totalement l'avis de nos rapporteurs en ce qui concerne la procédure de certification. Elle fixe un cadre trop contraignant car il n'existe pas de mécanisme de contestation de la norme en dehors des consultations préalables. L'absence de système de recours pose un problème.

En revanche, je ne partage pas la conclusion de nos rapporteurs qui affirment que ce texte ne respecte pas le principe de subsidiarité. En outre, leur exposé des motifs met trop en avant la souveraineté nationale. Ne souhaitant pas que nous apparaissions comme anti-européens sur cette question, j'aurais plutôt conclu en disant que ce texte ne respecte pas en partie le principe de subsidiarité, ce qui est plus modéré. En effet, le texte prévoit bien que l'ENISA n'intervient qu'à la demande des États membres et qu'elle exerce son mandat sans préjudice des compétences des États membres en matière de cybersécurité.

Je suis surpris par le choix de la Commission européenne que je ne comprends pas. Il aurait fallu opter pour la création d'une autorité intervenant en complément et en appui des autorités nationales comme c'est le cas pour le droit de la concurrence.

Pour bien cerner le débat d'aujourd'hui, je souhaiterais dire notamment à nos nouveaux collègues que nous n'émettons pas aujourd'hui un avis sur le fond du texte mais sur sa conformité au principe de subsidiarité. Il s'agit là d'un pouvoir réel que les traités confèrent aux parlements nationaux depuis 2007. Or, dans ce cadre, il n'y a que deux options : le texte respecte ou ne respecte pas le principe de subsidiarité. On peut avoir des nuances, mais le fait est qu'il ne le respecte pas.

C'est bien cela. Je propose maintenant aux rapporteurs de répondre à ces différentes interventions.

À André Gattolin, je préciserai qu'en France, on distingue l'attaque de la défense et du renseignement. Dans le monde anglo-saxon, les trois sont réunis, ce qui ouvre la porte à tous les mauvais coups possibles.

Par ailleurs, on craint une approche mercantile qui nous emmène vers le bas. Alors que nous avons d'excellents laboratoires pour l'évaluation, nous pourrions demain avoir des entreprises étrangères qui proposeraient des certifications moins chères. Et comme on l'a dit, ce n'est pas la même chose de certifier une brosse à dents et la Défense nationale.

L'ENISA n'est composée que de 80 personnes. Son siège est à Héraklion en Crète, un endroit difficile d'accès. Son mandat doit s'arrêter en 2020. Donc, qu'elle soit pérennisée et renforcée, c'est une bonne chose. Mais son rôle doit rester de soutenir l'amélioration des capacités des États et leur coopération.

En réponse à André Gattolin, sur les pouvoirs d'enquête envisagés, le texte est flou : en cas d'attaque transfrontalière d'échelle européenne, si deux États en faisaient la demande, l'ENISA pourrait enquêter dans les pays touchés. Parmi ceux-là, quid de ceux qui n'auraient pas fait de demande ? Cela nous conforte plutôt dans notre analyse.

Concernant la mise en avant de la souveraineté, je préciserai qu'il s'agit d'abord d'un problème de sûreté des États.

Pour répondre à Philippe Bonnecarrère, je dois parler un peu du fond du texte, qui mériterait une analyse approfondie.

Il y avait une demande des acteurs français, tant pour améliorer la coopération dans l'Union que pour un cadre de certification. Mais il ressort de nos auditions, qu'ils sont tombés de l'armoire en découvrant la proposition de la Commission. Il y a unanimité pour revoir le texte.

Nous sommes dans la même perspective. Je pense qu'il y a un moyen de faire évoluer le texte, mais nous devons exercer ce pouvoir de contrôle qui est le nôtre sur la conformité au principe de subsidiarité.

Suite à l'envoi de la proposition de résolution, nous avons approfondi notre réflexion, ce qui nous conduit à vous proposer quelques modifications de la proposition de résolution. Elles apparaissent en gras dans le document qui vous a été distribué.

Il y a des modifications rédactionnelles qui apportent plus de précision aux paragraphes 10, 11, 13, 23, 24 et 29.

Le paragraphe 17 introduit un point important, c'est la séparation du texte en deux : à partir du moment où nous n'estimons que peu légitime la place de l'ENISA dans la certification, rien ne justifie qu'on mette dans un même projet ce qui relève de l'organisationnel, le mandat de l'ENISA, et la mise en place d'un processus de certification. C'est pourquoi il nous parait judicieux de demander deux textes.

Le paragraphe 20 insiste sur un aspect essentiel de la subsidiarité : il faut maintenir la possibilité pour les États membres d'aller plus loin que ce que propose l'Union dans le domaine de la sécurité, y compris en ce qui concerne la certification. Si les futurs standards ne nous paraissent pas assez élevés, nous devons pouvoir continuer à proposer à nos citoyens la sécurité à laquelle ils ont droit.

Voilà, Monsieur le Président, chers collègues, le sens de ces ajouts.

À l'issue du débat, la proposition de résolution a été adoptée à l'unanimité.

(1) La proposition de règlement COM (2017) 477 final sur la cybersécurité vise à renforcer l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et à établir un cadre européen de certification de cybersécurité des produits et services des technologies de l'information et de la communication.

(2) Elle fixe six objectifs :

(3) - développer les moyens et la préparation des États membres ;

(4) - améliorer la coopération et la coordination entre les États membres et les institutions européennes ;

(5) - accroître les moyens au niveau de l'Union pour compléter les actions des États membres en cas de crise transfrontalière ;

(6) - davantage sensibiliser particuliers et entreprises aux questions de cybersécurité ;

(7) - accroître globalement la transparence et l'assurance de la cybersécurité ;

(8) - éviter la multiplication des systèmes de certification dans l'Union, ainsi que des exigences de sécurité et des critères d'évaluation dans les différents États membres.

(9) Pour atteindre ces objectifs, la Commission propose de renforcer l'ENISA et d'en faire l'acteur incontournable de la cybersécurité européenne, alors qu'elle est actuellement une agence aux moyens limités et dont le mandat doit s'achever en 2020.

(10) L'ENISA serait dotée d'un mandat permanent. Son champ d'action serait étendu à de nouvelles missions liées au marché et à la certification de cybersécurité ainsi qu'à la normalisation et à l'assistance technique en cas d'incidents significatifs. Elle conserverait ses missions concernant, d'une part, l'élaboration et la mise en oeuvre de la politique de l'Union européenne en matière de cybersécurité, et, d'autre part, le soutien au renforcement des capacités (moyens et compétences) des États membres, à la coopération opérationnelle et à la gestion des crises.

(11) L'ENISA serait donc pérennisée et verrait ses compétences grandement élargies. Elle pourrait notamment mener des enquêtes techniques au sein des États membres, suite à la signalisation d'un incident de cybersécurité d'ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d'intervention.

(12) La proposition prévoit dans une seconde partie l'instauration d'un cadre unique de certification reflétant le niveau de sécurité des produits et services des technologies de l'information et de la communication dans l'Union européenne, dont l'ENISA serait l'autorité de référence. Un guichet unique permettrait aux entreprises de faire certifier leurs produits.

(13) Alors qu'aujourd'hui la compétence et l'expertise en matière d'évaluation de sécurité se situent au niveau des États membres, la proposition octroie cette compétence à l'ENISA. En outre, dès lors qu'un schéma européen serait créé, tout certificat national se verrait supprimé et il ne serait plus possible à l'avenir d'en adopter un, alors même qu'il proposerait un niveau de sécurité plus élevé. Pour tous les produits et services, le cadre proposé prévoit trois niveaux d'assurance : élémentaire, substantiel et élevé.

(14) Vu l'article 88-6 de la Constitution,

(15) Le Sénat fait les observations suivantes :

(16) - Le Sénat soutient un renforcement des capacités européennes en matière de cybersécurité et la nécessité de disposer d'un cadre européen unique de certification de cybersécurité pour les produits et les services des technologies de l'information et de la communication, ainsi que pour les systèmes de cybersécurité ;

(17) - Cependant, il estime que ces deux sujets devraient faire l'objet de deux textes différents, l'un fixant le mandat de l'ENISA, l'autre établissant un cadre pour la certification ;

(18) Concernant les compétences des États en matière de sécurité :

(19) - Le Sénat souligne que la cybersécurité, de par l'importance qu'elle revêt pour la sécurité des États membres, relève par plusieurs aspects de la souveraineté nationale ;

(20) - Par conséquent, les États membres doivent conserver, d'une part, leur faculté d'adopter des normes et des standards apportant un plus haut niveau de sécurité, et, d'autre part, toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ;

(21) - Pour cette raison, concernant la base juridique de la proposition, il estime qu'un règlement sur la cybersécurité ne peut relever uniquement du fonctionnement du marché intérieur (articles 26 et 114 du Traité sur le fonctionnement de l'Union européenne), mais qu'il doit aussi intégrer les enjeux de sécurité (article 5 du Traité sur l'Union européenne).

(22) Concernant le mandat révisé de l'ENISA :

(23) - Le Sénat estime que les États membres doivent tous disposer de capacités techniques et opérationnelles suffisantes en matière de cybersécurité et qu'il est bienvenu que l'ENISA les soutienne et les accompagne dans cette démarche. Cela implique que l'ENISA ne se substitue pas aux capacités opérationnelles des États membres et qu'elle ne dispose pas d'une équipe d'intervention en cas de crise, dont la création n'est pas justifiée ;

(24) - Le Sénat rappelle que la coopération européenne dans la cybersécurité doit continuer à se faire sur la base de la participation des États membres et de la transmission volontaire d'informations sensibles, voire relevant de la sécurité nationale et que, par conséquent, l'ENISA ne peut disposer de pouvoirs d'enquête tels que prévus à l'article 7, point 5 de la proposition de règlement ;

(25) Concernant la certification de cybersécurité :

(26) - Le Sénat relève que la proposition de règlement place l'ENISA au coeur du processus de certification, alors que cette agence n'a aucune expertise en la matière ;

(27) - Il rappelle que l'action menée depuis plusieurs années par une majorité d'États membres, dont la France, a permis de faire de l'Europe une référence mondiale en termes de certification de cybersécurité ;

(28) - Pour ces raisons, le Sénat estime que la place prépondérante envisagée pour l'ENISA dans la certification de cybersécurité, alors qu'elle ne dispose d'aucune expertise, n'est pas justifiée et qu'elle pourrait entraîner un affaiblissement de la cybersécurité dans l'Union, ce qui est contraire à l'objectif de la proposition ;

(29) - En outre, il convient que les États membres et les autorités nationales de contrôle de la certification conservent leur légitime place au sein du futur processus de certification européen et qu'ils ne soient pas cantonnés à un rôle uniquement consultatif ;

Tandis que le règlement général sur la protection des données personnelles doit entrer en vigueur le 25 mai 2018, la Commission européenne a soumis au Sénat une proposition concernant la libre circulation des données non personnelles. L'objectif politique, réaffirmé lors du Conseil des 19 et 20 octobre par les Chefs d'État et de Gouvernement, est de favoriser la libre circulation de toutes les données dans l'Union le plus vite possible.

La raison est principalement économique : les données sont au coeur de l'économie numérique et de la société de demain. Leur circulation va connaître un essor nouveau avec l'arrivée des objets connectés qui recueilleront et transmettront un nombre incalculable d'entre elles. Une fois analysées et exploitées, elles permettront de proposer de nouveaux services aux personnes et aux entreprises. Du moins, c'est ce qu'on nous promet...

Pour avoir travaillé sur le règlement concernant les données personnelles, je tiens à rappeler que la proposition initiale avait été déposée en 2011, que le règlement a été adopté en 2016 et qu'il doit entrer en vigueur en 2018. Là, M. Juncker annonce un texte en septembre dans son discours sur l'état de l'Union, il nous est transmis le 11 octobre et on voudrait qu'il soit en vigueur dans 6 mois. D'expérience, je pense qu'il y aura un peu de retard...

Et pourtant, c'est un texte court qui nous est proposé. Seulement 10 articles. Mais ce texte n'est pas bon et notre groupe de travail sur la subsidiarité a eu raison de vouloir approfondir notre analyse le concernant, car il pose problème.

Comme dans le cas précédent, nous ne sommes pas au bout de nos investigations. En effet, on ne mesure pas encore le poids et le prix de ces données, même si certains le font. L'Europe a tout intérêt à se défendre.

La Commission européenne présente là un texte contraignant sur un sujet où elle ne montre pas la nécessité de son intervention, ce qui pose problème. Ce règlement ne se justifie pas. Il est fait sur la base de réponses à une consultation publique qui ne reflète que l'avis des contributeurs, dont les contributions peuvent être anonymes. Je souhaiterais que l'on travaille sur ce sujet des consultations et sur la façon dont elles sont faites.

Je ne comprends pas l'intérêt de ce texte qui, tantôt impose des obligations non justifiées aux États, tantôt prône une soft law, sans prouver que cela soit utile. En ce sens, je soutiens l'avis du rapporteur.

Ce qui me gêne le plus c'est l'absence de définition permettant de distinguer clairement ce qu'est une donnée non personnelle de ce qu'est une donnée personnelle. Certes, cette distinction risque d'être obsolète dans quelques années mais il est important qu'elle puisse être précisée aujourd'hui pour garantir une plus grande sécurité de ces données et une meilleure protection.

Il y a un problème de périmètre, d'autant plus sensible, qu'il n'y a pas d'exclusivité : une donnée personnelle peut devenir à un moment une donnée non personnelle ; et l'inverse est vrai, ce qui est plus problématique.

Il y a un enjeu économique et financier dans l'utilisation des données, et nous pourrions nous retrouver en délicatesse s'il y a confusion, dans la pratique, entre les deux types de données.

C'est pourquoi je soutiens moi aussi cet avis.

Je me souviens de l'audition de Pierre Bellanger, le fondateur de Skyrock, qui nous expliquait qu'une donnée personnelle peut être créée pour une personne qui n'est pas membre d'un réseau social juste parce qu'un membre aura mis une information le concernant sur ce réseau. Est-ce une donnée personnelle ou non personnelle ?

L'existence de données personnelles et leur exploitation sans le consentement de la personne posent un grave problème.

Aujourd'hui, le simple fait d'utiliser un moteur de recherche aboutit à la création de données personnelles. Les données personnelles sont censées être encadrées par la CNIL, mais compte tenu de leur nombre, je doute de sa capacité à tout contrôler.

Lorsque j'ai travaillé sur le texte relatif aux taxis et aux VTC, j'ai pu mesurer à quel point les données personnelles représentaient un véritable enjeu. Le Gouvernement souhaitait que celles-ci puissent être compilées pour analyser les trajets, ce que nous avions refusé. On essaie de moraliser la question mais je vous avoue que je ne crois pas au verrouillage des données personnelles.

Il ressort de vos interventions que le sujet n'est pas mûr. Il y a un gros travail à venir sur la mise en oeuvre du règlement sur la protection des données personnelles, comme nous en avait alertés la présidente de la CNIL lors d'une audition conjointe avec la commission des lois.

Là, nous sommes dans notre rôle habituel.

À l'issue du débat, la proposition de résolution a été adoptée à l'unanimité.

(1) La proposition de règlement COM (2017) 495 final prévoit l'établissement d'un cadre juridique unique pour la libre circulation des données non personnelles dans l'Union européenne ;

(2) Cette proposition vise toutes les données autres que les données personnelles telles que définies dans le règlement général pour la protection des données personnelles du 27 avril 2016 ;

(3) Le texte établit le principe de la libre circulation des données non personnelles dans l'Union européenne, selon lequel la localisation des données à des fins de stockage ou de traitement ne pourrait être limitée au territoire d'un seul État membre, sauf pour des raisons de sécurité publique ;

(4) Tout projet d'acte d'un État qui introduirait une nouvelle exigence de localisation devrait être notifié à la Commission européenne et justifié. De la même manière, toute limite existante à la circulation des données devrait faire l'objet d'une justification pour être maintenue ;

(5) Les autorités administratives et judiciaires compétentes continueraient à disposer du droit de de demander et d'obtenir l'accès à des données qui ne sont pas stockées sur le territoire de l'État membre auquel elles appartiennent. En cas de difficulté, elles pourraient bénéficier de l'assistance de l'État membre où sont stockées les données ;

(6) Dans chaque État membre, un point de contact serait institué pour assurer la liaison avec les autres États membres et avec les institutions européennes ;

(7) Des codes de conduite et des lignes directrices fixeraient, au plus tard un an après l'entrée en vigueur du règlement, les conditions de portage des données, c'est-à-dire du changement d'un fournisseur de services de stockage ou de traitement à un autre.

(8) Vu l'article 88-6 de la Constitution,

(9) Le Sénat fait les observations suivantes :

(10) - Le Sénat rappelle son attachement à une libre circulation des données dans l'Union européenne, nécessaire pour le développement de l'économie de la donnée, tout en veillant à assurer la protection des données à caractère personnel ;

(11) - Tandis que plusieurs freins principaux à la libre circulation des données ont été identifiés (les restrictions liées à la localisation géographique des données, l'incertitude juridique autour de ce sujet nouveau, les stratégies de rétention des données entre acteurs économiques et le manque de confiance des utilisateurs dans les solutions d'informatique en nuage), il regrette que la Commission européenne n'ait choisi que de restreindre les obligations de localisation des données édictées par les États membres ;

(12) Concernant l'étude d'impact :

(13) - Le Sénat dénonce la faiblesse de l'étude d'impact qui ne justifie pas l'initiative proposée. Il relève que cette étude d'impact n'identifie qu'un faible nombre d'obligations nationales de localisation et, de fait, qu'un petit nombre de données concernées. Il rappelle en outre que la fragmentation géographique n'est pas uniquement due aux législations nationales ;

(14) - Il constate que le gain espéré pour l'économie européenne de la levée des obligations nationales de localisation est faible proportionnellement à la mesure proposée, de l'ordre de 0,06 % de PIB ;

(15) - Il remarque que la consultation publique lancée au titre de la communication « Créer une économie européenne fondée sur les données » n'a suscité que 289 réponses, parmi lesquelles seules 61,9 % ont estimé que les restrictions liées à la localisation devaient être levées ;

(16) - Il relève qu'une faible majorité de ces participants, 55,3 %, a jugé qu'une mesure législative était le meilleur moyen pour lever les restrictions liées à la localisation des données et que seuls 12 participants - dont uniquement deux États - ont appelé à un règlement ;

(17) - Pour ces raisons, le Sénat estime que le sujet ne faisant pas consensus en Europe, une initiative européenne ne se justifie pas à ce stade ;

(18) Concernant les obligations de localisation des données édictées par les États membres :

(19) - Le Sénat rappelle que la régulation des données relève d'une compétence partagée entre l'Union et les États membres ;

(20) - Il souligne que l'économie de la donnée n'en est qu'à ses débuts et est en constante et rapide évolution. En conséquence, il convient de rester prudent dans son encadrement, et notamment de ne pas démunir les États membres de leur pouvoir souverain de régulation en la matière ;

(21) - Il déplore qu'aucune étude d'impact n'ait été menée afin d'évaluer les risques que ferait courir la levée des obligations de localisation pour les États eux-mêmes et sur la sécurité des données ;

(22) - Il regrette que le texte n'apporte pas de définition des données non personnelles et que la Commission se contente d'une définition par défaut. Il rappelle, en outre, que des données classées sécurité-défense sont par nature exclues d'un règlement européen ;

(23) - Il souligne également que la sécurité publique n'est pas le seul motif permettant aux États membres de restreindre la libre circulation des personnes, des biens, des capitaux et des services dans l'Union. Il en résulte que les États sont légitimes à invoquer, a minima, la sécurité publique, l'ordre public et la santé publique pour imposer une obligation de localisation des données sur leur territoire ;

Nous allons entendre la communication de Didier Marie et Cyril Pellevat sur le plan d'investissement pour l'Europe.

Nous avons beaucoup travaillé sur ce sujet sous la précédente mandature. Je veux rendre hommage à Jean-Paul Emorine qui, avec Didier Marie, nous a éclairés sur le sujet quand il était encore membre de la commission. Nos rapporteurs ont en particulier formalisé nos positions dans des résolutions européennes qui sont devenues résolutions du Sénat. À travers leurs travaux, nous avions en particulier mis l'accent sur les enjeux pour les collectivités territoriales.

Dans son discours sur l'état de l'Union devant le Parlement européen, le 14 septembre 2016, le président Juncker avait fait deux principales annonces : d'une part, un doublement à la fois de la durée et de la capacité financière du FEIS (Fonds européen d'investissement stratégique) ; d'autre part, un volet extérieur en direction de l'Afrique et des pays du voisinage venant compléter le plan.

Un peu plus d'un an après ces annonces, il est donc intéressant de faire un nouveau point global sur la mise en oeuvre du plan et d'examiner ce qu'il est advenu des propositions du président de la Commission européenne.

Dans le cadre du suivi du plan d'investissement pour l'Europe, je reviens devant vous pour la quatrième fois, avec cette fois-ci notre collègue Cyril Pellevat qui a rejoint notre commission en octobre dernier, pour un nouveau point d'étape et une analyse des perspectives ouvertes par la prolongation du plan d'investissement pour l'Europe jusqu'en décembre 2020.

Notre commission suit en effet ce plan depuis l'origine ; il a même fait l'objet d'une première communication dès son annonce par le président de la Commission européenne en septembre 2014. Pleinement opérationnel depuis septembre 2015, le plan d'investissement pour l'Europe, dit « plan Juncker », vise à relancer les investissements stratégiques dans l'Union européenne avec un outil à fort effet de levier : le Fonds européen d'investissement stratégique (FEIS), dont la Banque européenne d'investissement (BEI) est l'acteur majeur.

Le plan d'investissement entend répondre à trois objectifs stratégiques. Tout d'abord stimuler l'investissement, en s'assurant que les ressources publiques, limitées par nature, sont utilisées pour mobiliser l'investissement privé, afin de cibler les défaillances du marché de manière efficace, en attirant les capitaux privés. Deuxième objectif : renforcer la compétitivité en améliorant l'environnement en matière d'investissement, tant au niveau européen que dans chaque État membre. Enfin, troisième objectif : favoriser la croissance économique à long terme dans l'Union européenne et donc l'investissement dans l'économie réelle.

Le plan comporte des objectifs chiffrés. Il s'agissait en effet de mobiliser 315 milliards d'euros d'investissements entre 2015 et 2017, avec un effet de levier de 15 grâce à la dotation du Fonds européen d'investissement stratégique à hauteur de 63 milliards d'euros et à la garantie que le fonds apporte aux investissements les plus risqués qui, sans cela, ne trouveraient pas de financement.

Outre le fonds, le plan prend appui sur deux piliers techniques et un volet réglementaire. Le premier pilier technique est la plateforme européenne de conseil en investissement, qui appuie le recensement, la préparation et le développement de projets d'investissement, et fournit un conseil technique au financement de projets dans l'Union, en particulier en matière d'ingénierie financière. Le second est le portail européen des projets d'investissement : un site qui fournit des informations sur des projets d'investissement qui n'ont pas encore trouvé de financements.

Quant au volet réglementaire, il est en lien direct avec les politiques de l'Union européenne, pour créer un environnement propice aux investissements, en levant les obstacles réglementaires, en renforçant le marché unique, notamment dans le cadre de l'union des marchés de capitaux, et en supprimant les obstacles à l'investissement dans le marché unique numérique ou de l'énergie. Il s'agit de démultiplier les effets du plan et de rendre l'Union européenne plus attractive pour les investisseurs.

Le plan Juncker finance des projets industriels au sein de l'Union européenne. Deux grandes catégories de projets sont concernées : des grands projets portant sur un secteur d'avenir : les infrastructures (transport, haut débit, énergie, numérique...), l'utilisation plus efficace des ressources et énergies renouvelables, des fonds d'investissement de long terme pour la recherche et l'innovation, d'une part ; des projets innovants portés par des PME (capital et micro crédits) ou des ETI (crédits de financement des projets de recherche et développement, capital risque pour des prototypes), d'autre part.

Ces projets sont généralement financés via le Fonds européen d'investissement stratégique, qui apporte sa garantie aux banques nationales de développement, -lesquelles sont les points d'entrée du Plan : la Caisse des dépôts et Bpifrance pour la France, la coordination interministérielle étant assurée en France par le Commissariat général à l'investissement.

Les projets doivent répondre à cinq critères d'éligibilité. Le premier est d'être viable sur les plans économique et technique. Le deuxième, d'être compatibles avec les politiques de l'Union en matière de croissance intelligente, durable et inclusive, de création d'emplois de qualité et de cohésion économique, sociale et territoriale. Le troisième est d'apporter une additionnalité, autrement dit le projet n'aurait pas pu être financé sans la garantie qu'il apporte via les circuits traditionnels. Le quatrième critère est la maximisation de la mobilisation de capitaux du secteur privé. Enfin le cinquième est sectoriel. L'investissement doit en effet porter sur au moins l'un des sept secteurs priorisés : la recherche, le développement et l'innovation ; le développement du secteur de l'énergie ; le développement des infrastructures et des équipements de transport et des nouvelles technologies dans le domaine des transports ; la fourniture, par le FEI et la BEI, d'un soutien financier aux entités comptant jusqu'à 3 000 salariés, en ciblant particulièrement les PME et les ETI qui ont vocation à bénéficier du quart des financements ; le développement et le déploiement des technologies de l'information et de la communication ; la protection de l'environnement et l'utilisation efficace des ressources ; enfin, la promotion du capital humain, de la culture et de la santé. Il est à noter que très peu de projets ont été financés dans ces deux derniers secteurs.

Quel bilan peut-on dresser de la mise en oeuvre du plan à ce jour ?

Première observation : la mise en oeuvre s'est effectuée rapidement. Le FEIS a été déployé à compter de janvier 2015, les programmes d'assistance technique de la plateforme de conseil en investissement ont été adaptés et progressivement complétés en 2016-2017 et il nous a été indiqué qu'il y aurait de nouveaux enrichissements en 2018. Enfin les points d'entrée nationaux ont été rapidement opérationnels en Europe de l'Ouest, déployant des plateformes d'assistance technique et des véhicules de financement, y compris, plus récemment, des plateformes d'investissement regroupant des projets par thèmes ou par zones géographiques et accueillant, depuis le début de l'année 2017, des projets de plus petite taille. Mis en place tardivement et relancé en septembre le portail des projets d'investissement contient 150 projets, dont le tiers dans le domaine énergétique.

Deuxième observation : les investissements générés sont en ligne avec les objectifs affichés. Je rappelle que sur les 315 milliards d'euros de financement qui devaient être générés sur la durée du plan, 240 milliards (soit les 3/4) devaient été affectés aux investissements à long terme et 75 milliards (le dernier quart) aux PME et ETI. Selon la BEI, près de trois quarts des financements disponibles pour le plan avaient été mobilisés à la mi-septembre, soit plus de 287 milliards d'euros.

Troisième observation : la couverture géographique est inégale. La France est le principal pays bénéficiaire en valeur absolue avec des réseaux numériques très haut débit (dans le Nord, le Grand Est) et des fonds d'infrastructures (comme Gingko pour la dépollution des friches industrielles autour de Lyon ou Capenergie 3 pour l'efficacité énergétique), ainsi que des projets de transition énergétique, même si l'Italie a plus bénéficié de la garantie. Par rapport au PIB par habitant, les principaux pays bénéficiaires sont la Finlande, les pays baltes, la Bulgarie, l'Espagne et le Portugal, la France se situant au milieu.

En France, ce sont les PME-ETI qui ont bénéficié de 29 % des financements, suivies par les projets énergétiques et de recherche, développement et innovation (RDI), pour 22 % chacun, une répartition atypique si on la compare à celle des autres pays européens mais satisfaisante dans l'absolu. Le développement des plateformes d'investissement et l'abaissement récent des seuils d'éligibilité ont en outre permis de financer de plus petites opérations, en prêts comme en capital.

De manière générale, les économistes de la BEI constatent que le plan a une incidence marquée sur la croissance et sur l'emploi et estiment que, d'ici à 2020, le PIB de l'Union européenne en ressortira accru de 0,7 % et que 690 000 emplois auront été créés. De manière générale, ils considèrent qu'il s'agit d'une réponse probante à la défaillance du marché dans une situation de baisse des investissements.

C'est dans ce contexte que les discussions autour de la prolongation du plan ont été lancées fin 2016.

Les discussions sur la prolongation du Plan ont été longues et difficiles même si les résultats obtenus ont été salués. La prolongation consiste en un doublement de la durée du plan mais avec des montants plus limités qu'espérés notamment par la France.

Le président de la Commission européenne, Jean-Claude Juncker, a proposé à la rentrée 2016, dans son discours sur l'état de l'Union, de doubler la durée du plan. La Commission prévoyait également de porter le FEIS de 21 milliards à 33,5 milliards, ce qui permettrait de mobiliser 500 milliards d'investissements d'ici à fin 2020. Quant à la garantie, elle est relevée de 16 à 26 milliards d'euros.

La proposition de règlement publiée en septembre 2016 prévoit que les fonds seront concentrés sur les investissements durables afin de contribuer à atteindre les objectifs de l'Accord de Paris.

Une amélioration de la couverture géographique, notamment dans les régions les moins développées est en outre souhaitée (un accord vient d'ailleurs d'être signé il y a quelques jours en Guyane). Enfin de nouveaux secteurs sont introduits : la pêche et l'agriculture durables.

La Commission met par ailleurs tout particulièrement l'accent sur la nécessaire additionnalité des financements garantis et les critères de sélection des projets : les interventions du Fonds seront désormais motivées et rendues publiques. Cet élément de transparence, très demandé par le Parlement européen, est une avancée qu'il convient de saluer et qui facilitera également le contrôle des parlements nationaux.

Enfin, la Commission promet un renforcement des outils techniques afin de couvrir plus efficacement les besoins.

Après d'âpres négociations, la finalisation de l'adoption de la prolongation du plan est imminente. Les principales améliorations apportées, notamment l'extension de la couverture géographique et sectorielle ainsi que la priorité donnée aux actions liées au changement climatique sont saluées tant par le Parlement européen que par le Conseil. Le Parlement européen a souhaité, dans une résolution adoptée le 15 juin dernier, que les régions les plus fragiles soient privilégiées et que les investissements risqués soient priorisés. Les commissions du budget et des affaires économiques et monétaires demandaient par ailleurs que les petits projets soient mieux pris en compte.

Les principaux sujets de négociation en juin et septembre ont porté sur le financement du relèvement de la garantie et l'introduction d'un droit de regard du Parlement européen sur la stratégie d'investissement du Fonds.

Sur le premier sujet, un point d'équilibre a finalement été trouvé. À la demande du Parlement européen, les redéploiements de crédits affectés à d'autres programmes européens ont été limités ; il a finalement accepté que 275 millions d'euros provenant du Mécanisme d'interconnexion pour l'Europe (MIE) soient redéployés, le programme cadre de recherche « Horizon 2020 » étant épargné. La provision de garantie a été réduite à 25 %, sauf pour les PME et les investissements en capital pour lesquels elle reste fixée à 50 %, soit légèrement plus que le taux d'échec de ces opérations. Enfin, le Fonds bénéficiera de 125 millions d'euros de flux financiers (remboursements d'emprunts, revenus d'intérêts/du capital...) provenant du MIE. Autre nouveauté : les revenus générés par le FEIS contribueront à hauteur de 525 millions d'euros au financement de la garantie. Enfin, 150 millions d'euros seront ponctionnés sur les marges budgétaires non utilisées sous le plafond d'une ou plusieurs rubriques du cadre financier pluriannuel 2014-2020.

Une autre pierre d'achoppement concernait la gouvernance du comité de pilotage du FEIS. Les députés européens ont obtenu la possibilité de nommer un expert indépendant qui en deviendra le 5ème membre aux côtés des 3 experts nommés par la Commission et d'un expert nommé par la BEI. Toutefois, contrairement à leur souhait, la personnalité qu'ils nomment ne disposera pas du droit de vote.

S'agissant de la tarification des opérations de financement du FEIS, la BEI est invitée à étudier toutes les options possibles (réduction des taux d'intérêt, combinaison avec d'autres programmes locaux/nationaux) de nature à réduire les coûts de financement incombant aux porteurs de projets, notamment dans des pays où les marchés de capitaux ne fonctionnent pas de manière optimale ou pour des projets très innovants, mais aussi très risqués.

L'accord Parlement européen/Conseil a été validé par le Coreper d'hier et sera approuvé par le prochain Conseil, avant d'être entériné par le Parlement européen lors de sa 2ème ou de sa 4ème session plénière, à la mi-novembre ou à la mi-décembre.

Le cadre prolongé et modifié répond-il aux préoccupations de notre commission des affaires européennes et du Sénat ?

Je rappelle que dans le cadre du suivi de la mise en oeuvre du plan, notre commission a notamment mis particulièrement l'accent, dès l'origine, dans ses propositions de résolution et avis politiques, sur le rôle que les collectivités territoriales devaient jouer dans la mise en oeuvre du plan. Fin 2015, le rapport d'information présenté par nos collègues Jean-Paul Emorine et Didier Marie dressait un premier bilan positif de la mise en oeuvre du plan, soulignant le rôle clé des banques publiques de développement mais s'inquiétait du rôle que les collectivités territoriales étaient susceptibles de jouer dans un modèle économique excluant les subventions. La résolution alors adoptée reprend cette préoccupation tout en mettant l'accent sur la nécessité de faciliter le déploiement de projets d'investissements de taille moyenne.

Un an plus tard, la commission relevait avec satisfaction le rééquilibrage sectoriel et géographique en cours mais considérait que la place des collectivités territoriales restait perfectible.

Le nouveau cadre proposé a indéniablement le mérite de proroger la durée du plan et de financer l'augmentation de la garantie qui l'accompagne. L'exigence d'additionnalité, qui justifie l'octroi d'une garantie aux seuls investissements qui ne pourraient être engagés en son absence, pourra désormais être contrôlée grâce à la publication des motifs du comité du Fonds. Le rôle des collectivités territoriales semble de mieux en mieux pris en compte mais pourrait être renforcé. Le Commissariat aux investissements que nous avons entendu ainsi que la Caisse des dépôts et Bpifrance, prévoit d'ailleurs de renforcer sa communication dans leur direction : il nous a ainsi montré la maquette mise à jour de la brochure qu'il a élaborée à leur attention avec la BEI.

Il convient de souligner que plusieurs autres améliorations restent nécessaires : le renforcement de l'articulation avec les fonds structurels, devra être poursuivi ; l'assistance technique apportée aux PME devrait également être améliorée ; enfin le développement de plateformes d'investissement pour le financement de projets de toutes tailles doit être poursuivi, même si la France a été particulièrement réactive en la matière.

Si notre commission en était d'accord, ces différents éléments pourraient être repris dans un communiqué.

Je vous remercie chers collègues pour ce rapport d'étape. C'est là un sujet qui retiendra notre attention pendant encore un certain nombre d'années. Certaines évolutions positives méritent d'être relevées, en particulier la rationalisation des plateformes, l'abaissement du ticket d'entrée et l'inclusion de l'agriculture dans les domaines d'intervention du plan. Je me souviens à ce sujet d'une discussion avec le commissaire Phil Hogan dans le bureau du président du Sénat. N'hésitez pas à nous faire remonter vos expériences de terrain.

On peut se féliciter de cette initiative sans toutefois occulter le fait que si on fait appel à des capitaux privés, c'est parce que l'Union européenne ne dispose pas du budget nécessaire pour réaliser ces opérations. Les objectifs sont largement atteints, en particulier une forte mobilisation des capitaux privés sur des projets qui sans le fonds, la garantie et la BEI n'auraient pas vu le jour. L'inclusion des objectifs de l'accord de Paris doit être relevée : il est en effet important de réaffirmer cette priorité. Enfin l'objectif d'une meilleure répartition géographique est important, certains pays comme Chypre ou la Grèce n'ayant réussi à monter que quelques projets éligibles. Il faudrait pouvoir aller vers les régions défavorisées avec des outils spécifiques.

Quelques nuances maintenant. Un fonds de 3,25 milliards d'euros est prévu pour appuyer le financement de projets en dehors de l'Union européenne. Créé au printemps, il n'est pour l'heure pas financé. La première réunion de son comité stratégique s'est toutefois tenue hier et il a été indiqué qu'il serait opérationnel à compter du début de l'année 2018.

Enfin, si le montant des investissements générés à ce jour s'élève à plus de 280 milliards d'euros, on n'en connaît pas les retombées en termes de créations d'emplois. Il est également impossible de connaître les taux d'intérêt pratiqués par la BEI. Je ne peux que regretter ce manque de transparence de la BEI. La Commission a prévu qu'elle verserait dans le fonds 150 millions d'euros sur intérêts perçus mais qu'elle pourra garder les excédents. Il me semblerait opportun que notre commission lui demande des éléments chiffrés précis sur sa politique de taux d'intérêt et la rémunération de ses prêts.

L'implication de la BEI dans le plan est très forte. La Commission a prévu d'organiser un déplacement à Luxembourg pour la rencontrer.

Je souscris aux remarques de Didier Marie et à la nécessité d'une vigilance sur les régions défavorisées ainsi qu'aux exigences de transparence. Il faudra veiller à ce que l'extension du plan Juncker ne se traduise pas par une remise en cause des moyens attribués à la politique de cohésion. Il faudrait une analyse très fine des impacts territoriaux.

Quels sont les délais d'approbation ou de rejet des demandes des PME ?

Cela est variable. La phase d'examen du projet par la BEI est rapide parce que les dossiers sont préparés par les banques nationales de développement. Ce qui prend du temps, c'est de monter le dossier et cela dépend de la nature du projet et de son porteur.

Il est regrettable que peu de projets soient initiés dans les DOM car les effets de levier de cette politique sont importants.

Un accord vient d'être signé sur un projet en Guyane.

Je regrette que les PTOM ne puissent pas bénéficier du plan Juncker. Le coût serait modeste mais l'effet de levier très important, par exemple pour relancer la pêche à Saint-Pierre-et-Miquelon.

La Commission se montre très vigilante sur la question des fonds de cohésion. Un groupe de travail sera constitué à ce sujet.

Il nous reste à procéder à différentes nominations. Je vous propose de désigner Fabienne Keller et Claude Raynal sur l'Union bancaire ; Jean-François Rapin et Claude Raynal sur l'Union des marchés de capitaux et sur les chambres de compensation ; Pascal Allizard et Didier Marie sur les directives de négociation en vue de la conclusion d'accords de libre-échange avec l'Australie, d'une part, et la Nouvelle Zélande, d'autre part.

En ce qui concerne la commission nationale d'évaluation des politiques de l'État Outre-mer, je vous propose de reconduire Nicole Duranton comme titulaire et Gisèle Jourda comme suppléante.

Seraient membres du groupe de suivi sur le retrait du Royaume-Uni et la refondation de l'Union européenne, qui est commun avec la commission des affaires étrangères et qui comprend dix membres de notre commission : Jean Bizet, Thierry Foucaud, Benoît Huré, Fabienne Keller, Claude Kern, Gisèle Jourda, Didier Marie, Pierre Médevielle, Colette Mélot et Simon Sutour.

En ce qui concerne le groupe de suivi de la réforme de la politique agricole commune, commun avec la commission des affaires économiques et auquel participeront sept membres de notre commission, seraient nommés : Jean Bizet, Yannick Botrel, Daniel Gremillet, Pascale Gruny, Claude Haut, Anne-Catherine Loisier et Colette Mélot.

Pour le groupe de suivi de la stratégie industrielle de l'Union européenne, huit membres de la commission participeraient à ce groupe commun avec la commission des affaires économiques : André Gattolin, Laurence Harribey, Didier Marie, Colette Mélot, Franck Ménonville, Jean-Marie Mizzon, Cyril Pellevat et Michel Raison.

Enfin, le groupe de suivi sur les négociations commerciales, commun avec la commission des affaires économiques et la commission des affaires étrangères comprendrait cinq membres de la commission : Jean Bizet, Pascal Allizard, André Gattolin, Didier Marie et Jean-Marie Mizzon.

Par ailleurs, je retiens l'idée d'André Gattolin d'engager une réflexion sur les consultations publiques de la Commission européenne qui précèdent à la rédaction de livres blancs ou de livres verts. Nous savons que certains acteurs avancent masqués ici pour influencer la Commission. Il serait intéressant de se pencher sur ce sujet. Je fais un appel à candidature.

J'ai participé à ses consultations deux ou trois fois et je peux vous dire qu'en tant que parlementaire, la Commission s'inquiète de notre avis. Le taux de réponse en Allemagne est quarante fois supérieur à ce qu'il est en France, d'où l'influence allemande.

Je suis convaincu de l'importance de ce sujet. André Gattolin et Claude Kern sont donc nommés rapporteurs.

La réunion est close à 10 h 20.