Notre ordre du jour appelle l'examen du rapport d'André Gattolin sur la proposition de résolution européenne de Catherine Morin-Desailly sur la régulation des objets connectés et le développement de l'internet des objets en Europe.

Je salue la présence parmi nous de Jean-Marie Janssens qui est le rapporteur de la commission des affaires économiques.

Je rappelle que Catherine Morin-Desailly avait été la rapporteure de la mission commune d'information sur le nouveau rôle et la nouvelle stratégie pour l'Union européenne dans la gouvernance mondiale de l'Internet.

Dans le prolongement de ses travaux, elle a pris l'initiative de déposer plusieurs propositions de résolution européenne. Ce sont autant de messages très concrets que le Sénat entend envoyer aux institutions européennes et au Gouvernement pour que l'Union se montre active et volontariste sur ces problématiques essentielles et stratégiques pour son avenir.

Avec cette nouvelle proposition, elle aborde la question clé de la régulation des objets connectés et de l'internet des objets.

Je donne la parole à notre rapporteur.

Monsieur le Président, mes chers collègues, en préambule, je me félicite de la présence à mes côtés de Jean-Marie Janssens, qui a été désigné rapporteur sur la proposition de résolution au titre de la commission des affaires économiques. Nous avons conduit ensemble les auditions qui nous ont menés à entendre la Direction générale des entreprises, l'Agence française de normalisation et la CNIL. Je crois qu'on peut dire que nous sommes d'accord sur le rapport que je vous présente.

Comme l'a rappelé le Président Bizet, notre collègue Catherine Morin-Desailly est très impliquée dans le suivi du numérique et très volontariste sur le sujet. La résolution qu'elle nous présente s'inscrit dans cette ligne et dans celle qu'elle avait déposé en 2015, pour laquelle j'avais également été nommé rapporteur. Quelle est cette ligne ?

L'Union européenne peine à affirmer sa souveraineté dans le monde numérique, dominé aujourd'hui par les grandes entreprises américaines, les GAFAM, et sûrement chinoises demain (les BATX pour Baidu, Alibaba, Tencent et Xiaomi). Cela a des conséquences au plan économique : les objets connectés que nous consommons ne sont pas d'origine européenne. Cela a également des conséquences sur le plan des valeurs et des droits : notre conception de la vie privée est constamment bafouée par le pillage et la transmission de nos données à caractère personnel et nous, Européens, ne sommes pas assez présents dans la gouvernance mondiale de l'internet.

Catherine Morin-Desailly fait le constat que les objets connectés seront d'ici quelques années partout dans nos vies et au coeur de nos sociétés. Elle a raison : que ce soit les appareils portables qui permettent une meilleure quantification de soi, les maisons connectées pour gérer la consommation énergétique, les villes pour la gestion du trafic automobile, et encore beaucoup d'autres aspects qu'on ne connaît pas encore.

Les chiffres évoqués sont astronomiques : on parle de 20 à 35 milliards d'objets connectés en 2020, contre 10 milliards environ aujourd'hui. Selon certaines études, l'Union européenne pourrait gagner jusqu'à 7 points de PIB. Tout cela est détaillé dans le rapport et je vous laisse vous y référer.

Notre collègue Catherine Morin-Desailly rappelle aussi à juste titre que ces objets sont porteurs de risques et que ceux-ci vont connaître eux aussi une augmentation cruciale. Le premier, c'est la sécurité : plus vous êtes connectés, plus vous êtes soumis à des cyberattaques. Le second, c'est la collecte incontrôlée des données : l'internet des objets repose sur la collecte des données à caractère personnel, qui, une fois croisées et analysées, vont permettre de vous proposer des solutions nouvelles et adaptées à votre situation. Aujourd'hui, on considère que plusieurs centaines de milliards de données sont collectées chaque jour. Qui a conscience de l'importance de ce phénomène ?!

Et, pourtant, les affaires se multiplient déjà ! L'actualité est malheureusement riche des dérives que cette nouvelle donne de données peut engendrer : l'affaire Facebook/Cambridge Analytica et le pillage de données de 87 millions d'internautes, dont 2,7 millions d'Européens et pour laquelle le PDG de Facebook lui-même a avoué que son compte avait été piraté ; les compteurs Linky qui collecteraient un peu trop facilement nos données et pour lesquels il y a eu une mise en demeure de la CNIL. Et je rappellerai aussi les virus informatiques Wannacry et Notpetya qui ont frappé l'occident et mis à mal nombre d'entreprises pour un montant total de pertes qui dépasserait le milliard d'euros.

Face à cela, notre collègue propose trois axes d'action au niveau européen qu'il convient d'analyser.

Le premier, c'est un nouveau cadre réglementaire pour une certification au niveau européen des objets connectés. Deux questions se posent : faut-il une réglementation générale ou propre à l'internet des objets ? Faut-il un nouvel outil réglementaire ?

Comme vous le savez, puisqu'il a fait l'objet d'intenses débats récemment au Sénat, le règlement général sur la protection des données à caractère personnel, le RGPD, entrera en vigueur le 25 mai prochain. Ce n'est pas sans poser des difficultés, notamment pour les collectivités locales et les petites entreprises. Mais ce règlement va imposer des obligations à tous, y compris aux fournisseurs d'objets connectés. Par ailleurs, une proposition de règlement européen sur la cybersécurité a été présentée par la Commission européenne en septembre dernier. Elle est en cours de discussion à Bruxelles. Laurence Harribey et René Danési vous en parleront mieux que moi la semaine prochaine. Ce texte devrait instaurer un système européen unique de certification de cybersécurité des produits, des systèmes et des services. Les niveaux d'exigence seront définis par l'Europe et s'imposeront aussi aux objets connectés.

Ainsi, ces deux corps de règles de portée générale vont créer un cadre juridique européen nouveau, qui vaudra aussi pour l'internet des objets. Il me semble donc qu'un texte spécifique n'est pas nécessaire. Et j'ajoute que si on veut favoriser l'essor d'une industrie européenne des objets connectés, il vaut mieux ne pas changer les règles trop souvent.

En revanche, là où notre collègue a raison, c'est qu'il faut garder en ligne de mire un niveau élevé de protection tant en ce qui concerne la certification de sécurité qu'en ce qui concerne la mise en oeuvre du RGPD. Et pour cela, il faut également renforcer nos moyens de contrôle et ceux de notre organe national, la CNIL. Il n'est pas normal qu'elle ne dispose que d'effectifs réduits - 200 personnes - et je vous propose d'appeler au renfort de ses moyens !

Deuxième axe : imposer la localisation et le traitement des données à caractère personnel des consommateurs européens sur le territoire de l'Union. L'idée est belle. Elle est forte. Elle est claire. Mais elle n'est pas sans défauts et il convient de l'analyser plus longuement, me semble-t-il.

Des révélations d'Edward Snowden sur la surveillance de masse au récent Cloud Act adopté par le Congrès américain en passant par la mise en oeuvre du Privacy shield, nous devons rester vigilants quant au respect du droit des Européens par les États-Unis dans ce secteur. Et nous ne devons pas nous interdire d'envisager de garder les données à caractère personnel sur notre territoire si c'est le seul moyen d'en assurer une protection efficace.

Toutefois, la solution comporte certaines limites. Nos auditions ont montré que la localisation en soi ne suffirait pas. Il faudrait l'assortir d'un renforcement de la sécurisation, de la confidentialité et de la traçabilité. Et c'est là qu'intervient l'aspect économique. Il n'est pas certain qu'imposer plus de règles à nos entreprises pour le traitement des données facilite leur activité par rapport à ce qui se fera dans le reste du monde.

En outre, l'Europe a en ce domaine un retard sur les États-Unis, voire sur la Chine. Si nous savons collecter les données et les transmettre, il nous manque des capacités techniques et technologiques pour les analyser et les exploiter, des superordinateurs et des solutions d'intelligence artificielle. Les capacités humaines font aussi défaut actuellement car nos meilleurs profils ne sont plus en Europe. Tant que nous ne nous sommes pas renforcés en capacités, il pourrait être contreproductif d'imposer une obligation de localisation des données.

C'est pourquoi, le rapport propose que cette option soit considérée avec la plus grande attention, même si elle ne peut être exclue. Notamment si la prochaine évaluation du Privacy shield qui sera publiée en septembre s'avère insatisfaisante.

Enfin, troisième axe sur lequel, je rejoins totalement Catherine Morin-Desailly, c'est le renforcement de la présence européenne dans les enceintes internationales de normalisation dans le secteur numérique. Je crois que notre président partage lui aussi cette préoccupation de longue date.

Nous ne sommes pas assez présents, et c'est également vrai en ce qui concerne l'internet des objets. Il est difficile de mobiliser les acteurs économiques sur ce sujet et, résultat, on se voit imposer des normes qui ne nous satisfont pas.

Toutefois, pour que cela soit effectif, il faut que la demande vienne des professionnels et du niveau national. Il faut donc d'abord mobiliser les acteurs français afin qu'ils travaillent sur les normes qu'ils souhaitent pour les porter ensuite au niveau européen, puis au niveau mondial. L'Union européenne met en place des aides pour cela, les entreprises doivent en profiter ! Notre résolution est un appel en ce sens.

En outre, le système international fonctionnant sur le principe d'une voix par État, il ne faut pas que l'Union européenne se substitue aux États membres mais bien qu'elle les accompagne et les soutienne. C'est la condition pour que l'Europe puisse promouvoir des normes exigeantes dans le domaine numérique. Il faut de la coopération et de l'intelligence collective.

Je retiens que le souci principal, c'est le haut niveau de sécurité. On voit bien qu'au XXIe siècle, celui qui possède l'information et qui peut la transgresser détient une arme. Je l'avais constaté en ce qui concerne la propriété intellectuelle sur les semences.

Le deuxième point, c'est que l'Europe doit être plus présente dans l'élaboration des normes internationales. C'est vrai dans d'autres secteurs, c'est vrai aussi pour le numérique.

Et c'est vrai que nous sommes carencés en ce qui concerne les superordinateurs. Je crois que notre pays en a quatre, mais ils sont d'une ancienne génération. Et leurs capacités sont près de dix mille fois inférieures à celles dont disposent les États-Unis et la Chine.

Quant aux hommes et aux femmes de très grande qualité que nous avons en Europe et particulièrement en France, si on ne les rémunère pas suffisamment, ils s'en vont.

Monsieur le Président, Mes chers collègues, je souhaite d'abord remercier le président Bizet et la présidente Sophie Primas, qui ont souhaité que nous travaillions ensemble sur ce sujet. Ce travail a été effectué en commun en vue de simplifier le processus d'élaboration de la résolution et de travailler plus efficacement.

C'est donc avec plaisir, et un grand intérêt, que j'ai participé, avec le rapporteur André Gattolin, aux auditions. Ces auditions, d'une grande qualité, nous ont permis de nous forger une opinion sur les sujets évoqués par la proposition de résolution.

Contrairement à mon collègue, je suis plutôt néophyte sur le sujet des objets connectés. Les auditions ont néanmoins été l'occasion pour moi de prendre conscience que ce sujet comporte des enjeux d'une importance capitale. Ceux-ci sont d'abord d'ordre économique - je pense à la normalisation. Ils sont également d'ordre politique - je pense à la cybersécurité et à la protection des données à caractère personnel. Le sujet est donc relativement complexe, car il se situe au croisement de nombreuses législations. Notre collègue Catherine Morin-Desailly, présidente de la commission de la culture, a raison de nous alerter, car ces objets connectés vont inonder nos vies, et il convient que le cadre applicable soit suffisamment protecteur des citoyens et favorise le développement d'une industrie européenne de l'internet des objets.

Aussi, je confirme que je partage les conclusions que notre collègue André Gattolin vient de vous présenter. Nous souhaitons appuyer les demandes exigeantes mais pertinentes de Mme Morin-Desailly, même si quelques ajustements sont apparus nécessaires. Ceux-ci ont été parfaitement décrits par le rapporteur.

Merci, Monsieur le président, de m'avoir permis de vous donner mon sentiment en tant que rapporteur pour la commission des affaires économiques.

Je voulais évoquer le problème des compteurs Linky. Sur le terrain, la situation est ambiguë. Pour les préfets aussi, car il y a de nombreuses contestations de la part de citoyens. Je voudrais savoir quels sont les travaux conduits par le Sénat sur le sujet et ce qui en a été conclu.

J'en parlais encore avec le préfet de mon département, qui ne comprend pas cet acharnement sur un dispositif censé améliorer la vie des gens et, à terme, permettre de faire des économies. Si on regarde, EDF nous demande déjà de transmettre nos informations ; sur la base du volontariat, pour nous aider à améliorer notre consommation. Linky, c'est un système d'abonnement.

Je demande une précision technique, même si je ne suis pas certain de l'avoir ce matin, mais c'est un sujet qui est sur la table depuis 2-3 ans.

Merci au rapporteur et à Catherine Morin-Desailly, qui avait évoqué la question des objets connectés lors de la discussion sur la mise en oeuvre du RGPD en France. Elle souhaitait que ces mots y soient inscrits mais elle a reçu une fin de non-recevoir. Pourtant, ce sujet est extrêmement important.

Je partage les conclusions de ce rapport et, singulièrement, la demande d'augmentation des moyens de la CNIL. Là aussi, nous l'avions demandé durant le débat sur la mise en oeuvre du RGPD en droit français. Mais j'ai été très étonnée de la réponse du Gouvernement, qui s'est contenté de dire que ces moyens avaient été augmentés il y a quelques années et que, puisqu'on était passé à un système de mise en conformité, là ou avant il fallait une autorisation, la CNIL aurait moins de travail. On verra ce qu'il en sera dans le prochain projet de loi de finances, mais j'attire l'attention de nos collègues, car c'est une question très importante.

Par ailleurs, j'aimerais que la notion de consentement soit plus clairement mise en avant dans le texte, en insistant sur le fait que l'utilisateur peut à tout moment retirer son consentement. Les deux facettes « in-in et in-out » et leurs conséquences sont bien expliquées, mais sur le consentement, il faudrait être plus précis. C'est une notion très importante en ce qui concerne les données à caractère personnel. Et si je partage la position du rapporteur sur les trois grands axes de la proposition de résolution, l'exigence du consentement me paraît devoir être renforcée dans le texte.

Je remercie le rapporteur pour ce travail, qui s'ajoute à ceux déjà réalisés sur le sujet. Et je pense qu'on devrait les compiler, car on commence à avoir un corpus intéressant et, surtout, pertinent.

Sur le texte concernant la certification de cybersécurité, avec René Danési, nous sortons d'une série d'auditions. Le texte sur lequel nous avions émis un avis motivé de subsidiarité a été beaucoup retravaillé et notre position a été entendue. On se dirige vers une certification vers le haut, même si nous devons rester vigilants.

Ce qui a été dit sur la normalisation vaut aussi, en partie, pour la certification. Je soutiens une certification de cybersécurité européenne, mais je rappelle que les compétences sont dans les États. Il faut donc que l'Union accepte de travailler avec eux pour établir une certification de haut niveau qui lui permettra d'asseoir sa place à l'international.

Un texte propre aux objets connectés pourrait renforcer l'arsenal européen, mais il faudra s'assurer qu'il n'entre pas en contradiction avec le texte général sur la certification.

Sur la localisation des données, nous avons auditionné hier un représentant de Thales, qui était plutôt sceptique sur cette solution. Il évoquait plutôt le chiffrement comme une piste plus plausible. Dans vos auditions, avez-vous eu des éléments là-dessus ?

Je voudrais à mon tour me féliciter de la qualité du travail effectué, notamment par la présidente de la commission de la culture, et rappeler la spécificité de cette commission sur les questions numériques. Je pense que la commission des affaires européennes et la commission de la culture, en lien avec les autres commissions, auront certainement à travailler ensemble sur ces questions à l'avenir.

Je retiens que les données à caractère personnel sont collectées très souvent sans notre consentement et permettent de façon très fine de restituer notre comportement social, voire politique. On sait que certains travaillent à un profilage fin des individus pour soit leur vendre des produits, soit orienter les campagnes électorales, par une programmation de l'orientation des votes.

Comme en matière sportive, j'estime qu'il n'y a pas de petit niveau de dopage : soit on respecte tous la même règle, soit on ne la respecte pas. Donc, en matière électorale, il est essentiel que certaines écuries ne disposent pas de moyens dont les autres seraient privées.

Je pense que notre Haute assemblée a un rôle essentiel à jouer dans la défense des libertés individuelles. Et nous sommes là au coeur du sujet, qui n'est pas un petit sujet. De par notre tradition, nous devons montrer que le Sénat a un rôle à jouer.

Je suis donc très favorable à ce rapport et il faut continuer dans cette direction.

Je salue à mon tour la qualité du rapport et les propos du président sur l'arme détenue par celui qui possède l'information, qui me rappelle mon métier d'origine, le marketing direct. À l'époque, on croisait les mailings et on appelait ça le marketing discriminant. Évidemment les calculateurs étaient beaucoup moins puissants qu'aujourd'hui, mais c'est le même processus.

Je suis assez frappé par l'écart entre l'exigence que la CNIL peut avoir vis-à-vis des données stockées dans les mairies - qui est légitime, en soi - et l'exigence qu'elle a vis-à-vis des GAFA qui est encore trop faible. On le voit, tout tourne autour du consentement.

Quand on regarde l'audition de Mark Zuckerberg, le patron de Facebook, par le Congrès américain, on se dit : soit il est vraiment de bonne foi et c'est quelqu'un qui est à la tête d'une arme qu'il ne maîtrise pas, soit il est de mauvaise foi et il dissimule des choses et ne dit pas toute la vérité. Ce qui est frappant, c'est l'absence d'anticipation.

Il faudra travailler sur cette notion de consentement. Ce n'est pas parce qu'on accepte de partager des informations sur ses loisirs, ses voyages et ses vacances qu'on accepte de voir ses goûts décryptés pour savoir ce que sont ses opinions politiques, philosophiques ou recevoir n'importe quelle offre commerciale ciblée. Or, c'est exactement ce qui se passe !

Et je trouve qu'il y a deux poids- deux mesures dans l'exigence.

Je voudrais mettre l'accent sur le caractère équilibré de cette résolution, qui demande la mise en place rapide d'un haut niveau de certification au niveau européen au point 21 et qui, pour ce faire, demande l'implication plus forte des pays européens, dont le nôtre. Et la mobilisation de tous les acteurs sera nécessaire pour faire monter le niveau.

Et si on évoque le risque de surveillance par des entités non européennes, quid du risque de surveillance en Europe ?

Je m'interroge aussi sur l'obligation de localisation. Je ne suis pas convaincu qu'elle soit exempte de critiques.

Concernant les compteurs Linky, il ne s'agit pas de dire que les compteurs intelligents ne font pas sens. Je vous renvoie sur ce point au rapport de l'Office parlementaire des choix scientifiques et technologiques du 15 février 2018 sur les enjeux des compteurs communicants. En l'espèce, ce qui compte, c'est l'information et le consentement des utilisateurs : on leur fait penser qu'on collecte leurs données pour qu'ils puissent mieux combattre leur consommation, alors qu'on va leur proposer de nouvelles offres marketing. Ce n'est pas le principe même des compteurs communicants qui est en jeu, mais l'usage qui en est fait.

Cela nous ramène à la notion de consentement. Pour certaines entreprises, l'acte d'achat vaut consentement. D'autres vous renvoient à la lecture de clauses écrites en tout petits caractères qu'on ne prend pas le temps de lire et c'est plutôt la question de l'information du consommateur qui est, à mon avis, en jeu. C'est un sujet complexe.

Sur le retrait du consentement, Catherine Morin-Desailly insiste sur un « droit au silence des puces ». L'idée est bonne, mais sa généralisation ne me paraît pas réaliste. Il y a des objets qui ne nécessitent pas ça. Il faut distinguer les objets « in-in » qui ne communiquent pas de données à l'extérieur et les objets « in-out », qui eux le font. C'est de ces derniers qu'on doit pouvoir se déconnecter. Mais, là encore, il faut distinguer : certaines données collectées peuvent être agrégées dans un objectif de santé ou de politique publiques. Par exemple, des données agrégées sur des logements plus ou moins insalubres dans un même espace permettraient de déterminer le meilleurs accès pour les forces d'intervention en cas d'incendie.

Et puis, il y aura des objets connectés, simples, qui auront une technologie peu développée et une durée de vie sûrement limitée. Et il faut quand même rappeler que, quand on achète un objet connecté, c'est justement parce qu'il l'est.

Tout comme Sylvie Robert et Pierre Ouzoulias, je suis favorable à des droits fondamentaux qui s'appliqueraient au numérique et soutiens aussi que notre Assemblée doit avoir un rôle éminent dans leur affirmation. Je suis plus réservé quant à leur généralisation à toutes les situations, car on se rend compte qu'on ne peut pas réglementer tous les aspects.

Je pense également qu'il ne faut pas négliger la régulation par la soft law, comme la certification et la normalisation qui impliquent les acteurs eux-mêmes. Les trois niveaux - national avec l'Afnor, européen et international avec les normes Iso - sont extrêmement importants.

Pour répondre à Sylvie Robert sur le fait d'inclure les termes « objets connectés » dans le projet de loi sur la protection des données, je signalerai que la CNIL nous a confirmé que, de fait, les objets connectés seront concernés par le RGPD, de portée plus large. En faire mention n'aurait rien apporté sur le plan juridique. Et sur le consentement, oui, il faut être plus clair.

Sur la différence d'exigence vis-à-vis des collectivités territoriales et des GAFA, je dirais qu'on essaie d'imposer des règles aux seconds, mais ce n'est pas facile. J'attire votre attention sur le RGPD, qui va quand même assez loin en imposant même des règles protégeant nos citoyens au-delà du seul territoire européen. C'est la première fois que nous avons un texte qui créé de l'extraterritorialité, à l'image de ce que font les États-Unis avec le Cloud Act que j'ai évoqué.

Les sujets sont complexes et un texte entre tout juste en application : attendons déjà de voir comment cela se passe avant de proposer une nouvelle législation. Nous devons aussi être très attentifs à l'application du Privacy Shield signé avec les États-Unis. La Commission européenne doit présenter un rapport sur l'application de cet accord en septembre prochain. Nous en tirerons alors toutes les conséquences.

Concernant la rédaction de la résolution, nous proposons d'ajouter à la fin du point 21 : « incluant notamment le libre consentement des personnes ».

Ça va dans le sens que je souhaitais, mais je voudrais qu'on indique qu'on peut retirer son consentement à tout moment.

Je ne crois pas qu'on pourra le faire pour tous les objets.

Je comprends le point de vue de Sylvie Robert, dont je rappelle qu'elle siège à la CNIL. Je propose qu'on s'en tienne à la rédaction proposée en ce qui concerne la résolution, mais que le rapport explicite plus précisément ce point.