Notre commission d'enquête poursuit ses travaux avec l'audition de M. Christophe Castaner, ministre de l'intérieur. Cette audition sera diffusée en direct sur le site Internet du Sénat et elle fera l'objet d'un compte rendu publié.

Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, M. Christophe Castaner prête serment.

Monsieur le ministre, vous êtes à la tête d'un important ministère régalien, l'Intérieur, qui doit répondre aux défis que représente la révolution des technologies numériques pour notre souveraineté et pour l'intégrité de notre ordre juridique face à des menaces nouvelles.

Votre ministère a publié en juillet dernier un bilan de L'état de la menace liée au numérique en 2019 et cette feuille de route liste la souveraineté numérique parmi les défis stratégiques identifiés. Peut-être pourrez-vous, à titre liminaire, nous exposer l'état de ces menaces ainsi que les réponses que votre ministère contribue y apporte.

La souveraineté à l'ère du numérique pose également le problème de la liberté de conscience et de choix du citoyen, en matière électorale notamment. Le scandale de Cambridge Analytica a révélé la manière dont le vote de certains citoyens américains a été manipulé lors des dernières élections présidentielles. Il serait utile que vous nous présentiez les dispositions prises par votre ministère et le Gouvernement pour éviter de telles dérives, tout en garantissant le choix le plus libre possible du citoyen électeur.

Les modèles économiques des grands acteurs du numérique passent aujourd'hui par la mise en oeuvre de stratégies d'évitement, ce qui leur permet d'échapper aux contraintes traditionnelles de notre ordre juridique. Obtenir, par exemple, la coopération de grandes plateformes situées à l'étranger n'est pas toujours aisé : quelles difficultés vos services d'enquête rencontrent-ils, et quelles solutions nous sont offertes ? Pensez-vous qu'une évolution du statut des plateformes serait de nature à redonner force d'intervention à l'État au titre de l'intérêt général et de la protection de nos concitoyens ?

J'ai pris l'engagement de dire toute la vérité, eu égard à la connaissance que nous avons aujourd'hui en la matière. Or, sur ce sujet, la connaissance d'aujourd'hui n'est jamais celle de demain, ni celle d'après-demain. Ce sujet absolument majeur concerne l'ensemble des ministères : il importe d'être extrêmement vigilant et armé. Vous avez rappelé la fonction régalienne du ministère de l'intérieur, mais presque tous les ministères doivent contribuer à traiter de la question de la souveraineté numérique, ainsi que les collectivités locales et les acteurs publics.

Il faut agir à deux niveaux : tout d'abord, il faut agir sur la conscience. L'intérêt de votre commission d'enquête est d'attirer l'attention sur l'importance de ce sujet en soulignant combien il convient d'être vigilant dans les comportements. Le rapport de 2019 sur la cybermenace pose au préalable la question essentielle de la prévention - il faut avoir conscience du risque. Il faut aussi agir sur la question de la transversalité, avec l'ensemble des autres ministères, dont celui de la défense notamment, et sur celle de la modestie, car la question de la souveraineté numérique relève non pas d'un ministère, mais de la France, qui vit dans un enclos numérique mondial. Compte tenu de tous les enjeux, la France est-elle suffisamment protégée ?

J'apporterai enfin des éléments de réponse à votre question très précise concernant l'attitude des grandes plateformes numériques.

La question de la souveraineté numérique est au coeur des préoccupations du ministère de l'intérieur. Nous aurons beau nous armer de multiples façons, si nous ne sommes pas en capacité de résister à des cyberattaques, c'est tout l'édifice qui tombera. Je l'ai vécu il y a quelques jours avec la préparation du sommet du G7. Nous savions que les cyberattaques étaient l'une des menaces majeures dont nous aurions pu faire les frais. Nous le savons, certains de nos adversaires n'hésitent pas à choisir des moments sensibles ou médiatiques pour attaquer un pays comme la France. Il est donc indispensable que l'ensemble du Gouvernement s'engage sur cette question. J'insiste sur le lien qui existe entre le ministère de l'intérieur et celui de la défense sur la question de la cyberdéfense, sans oublier le travail engagé par le secrétariat d'État au numérique.

Comme je l'ai dit dans mon propos liminaire, il s'agit à la fois d'une question pédagogique et d'une question de travail collectif - c'est ce que j'appelle l'« hygiène cyber ».

Aujourd'hui, il est indispensable que les particuliers, les entreprises, les administrations aient cette hygiène cyber. Nous sommes entrés dans l'ère du numérique par les usages, mais pas forcément par la protection. Les remparts existent, mais ils sont fragiles. C'est de notre capacité à adopter les bonnes pratiques et à ne pas ouvrir nous-mêmes de brèches que dépend notre cybersécurité. Un constat s'impose, le numérique est présent partout : il structure nos échanges, nos déplacements, nos services publics ; il intervient dans toutes les étapes de notre vie et de notre quotidien ; on en est aujourd'hui dépendant. De plus, l'actualité le montre régulièrement, des pans entiers de notre économie s'appuient sur le numérique. Tant le secteur privé que le secteur public sont touchés. Le numérique est un outil formidable qui offre des opportunités extraordinaires, mais si l'on pèche par naïveté, on néglige les risques nouveaux qui y sont associés.

Quand on regarde le seul sujet de la délinquance classique, on voit bien comment les méthodes et le profil des auteurs ont évolué. Par le piratage des données, les mails d'hameçonnage ou d'usurpation d'identité, des champs entiers de criminalité se développent grâce au numérique. L'information est devenue une source d'enjeux et, en parallèle, une source de conflits. La manipulation de l'information peut battre son plein sur internet et peut alimenter des théories totalement délirantes, qui deviennent des vérités pour certains par le biais d'algorithmes. Ceux-ci vont vous envoyer des informations en lien avec ce que vous pensez et non pas ce que vous cherchez. On voit aujourd'hui comment on peut créer un univers qui va vous influencer et, de fait, comment certains vont manipuler l'information pour interférer dans la vie d'un pays, voire, comme vous l'avez relevé, dans le bon déroulement des élections. Notre économie et nos services publics sont, eux aussi, exposés. Il nous faut donc parvenir à construire des remparts.

Nous avons vécu des cyberattaques majeures sur des services publics : un système hospitalier a été attaqué, avec des conséquences extrêmement graves, mais des attaques contre des gares, des moyens logistiques, voire des moyens de production d'énergie peuvent bloquer un pays et donc menacer sa souveraineté.

C'est pourquoi le ministère de l'intérieur agit depuis plusieurs années pour lutter contre la cybercriminalité, les arnaques et les escroqueries en ligne. À cet égard, la plateforme de signalement Percev@l a été créée pour les victimes d'usages frauduleux de leur carte bancaire. L'idée est simple : d'un côté, pouvoir signaler rapidement et facilement afin de limiter le préjudice et, de l'autre, regrouper les éléments d'information et les moyens pour avoir une enquête unique pour des infractions similaires. L'équipement nécessaire pour procéder à une cyberattaque est très différent de celui dont on avait besoin pour braquer une banque.

Par ailleurs, nous avons mis l'accent sur la formation. Aujourd'hui, 80 % de nos policiers et de nos gendarmes sont sensibilisés aux enjeux cyber. Nous formons aussi des enquêteurs spécialisés dans le domaine du numérique. À cet égard, je citerai le réseau cyberGend de la gendarmerie nationale : nous comptons 4 500 enquêteurs cyber sur le territoire, avec l'objectif de parvenir à 6 500 d'ici à la fin du mandat du Président de la République.

Nous sommes particulièrement vigilants en ce qui concerne les attaques contre les entreprises. La Direction générale de la sécurité intérieure (DGSI) se tient à la disposition de toutes les entreprises qui pensent avoir été victimes d'une cyberattaque. Il est essentiel que la Direction générale de la sécurité extérieure (DGSE) centralise les principales attaques pour avoir connaissance des opérations d'ingérence étrangère.

Enfin, nous avons renforcé le dispositif de prévention, et ce dès le plus jeune âge. Pour ne prendre qu'un exemple, j'évoquerai le permis Internet grâce auquel 2 millions d'enfants ont été sensibilisés aux risques d'internet. Ce n'est pas anecdotique ; c'est souvent de cette manière que les bonnes pratiques dont je parle depuis le début de mon propos se développeront. Il faut qu'elles soient des automatismes.

En matière de cybercriminalité, je n'oublie pas que le numérique est un vecteur majeur de menaces terroristes. On voit bien comment les pires actes peuvent s'afficher librement sur les réseaux sociaux. En témoigne l'attentat de Christchurch : alors que la vidéo de treize minutes avait été retirée au bout de vingt-quatre minutes, si je me souviens bien, elle a été vue 1,5 million de fois en vingt-quatre heures - ceux qui la diffusaient s'étant adaptés pour contourner les mesures techniques mises en place par les plateformes.

Sur ce sujet, la France a pris ses responsabilités en créant la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos), qui permet aux internautes de signaler les contenus terroristes ou haineux. Sur le plan européen, elle soutient l'adoption du règlement européen actuellement en cours de négociation afin de permettre le retrait d'un contenu terroriste en moins d'une heure après son signalement. Nous souhaitons que ce dossier puisse très vite revenir devant le nouveau Parlement européen.

Pour réussir en la matière, nous aurons besoin des géants du numérique, mais pas seulement. Lors du premier G7 des ministres de l'intérieur, j'ai invité les responsables des Gafam - Google, Apple, Facebook, Amazon et Microsoft - afin d'avancer sur ce sujet, qui a également été abordé par les chefs d'État et de gouvernement dans le cadre du G7. Ces grands opérateurs ont plutôt été réactifs et se montrent généralement très réceptifs à nos demandes, ce qui a conduit à un infléchissement de la position des États-Unis sur cette question. C'est ce que nous avions appelé « les engagements de Paris » après le G7 ministériel. Le Canada, qui n'était pas du tout offensif en la matière, nous a suivis dans la coopération. Mais nous nous heurtons à une difficulté : concilier la nécessité de lutter contre le terrorisme et la liberté de l'information qui doit circuler sur les réseaux - les Gafam et les entreprises y sont très attachés. Il nous faut donc continuer à faire pression sur ces entreprises.

Concernant la question des grandes plateformes que vous avez évoquée, Monsieur le Président, elles sont plutôt coopératives sur des sujets tels que celui de la lutte contre le terrorisme, contrairement à d'autres opérateurs moins importants mais qui permettent de diffuser des informations et font partie des angles morts, et sur lesquels je voudrais insister.

Les grands opérateurs ont, en effet, des représentants physiques en Europe : Laurent Solly, qui représente Facebook pour la France et l'Europe, est un ancien préfet et un interlocuteur que les administrations connaissent. Ainsi, en matière de lutte contre le terrorisme, Facebook peut se montrer proactif. En revanche - sans même parler du darknet - nous ne disposons pas toujours de correspondant pour d'autres plateformes de communication très utilisées, notamment par les jeunes - le site « jeuxvideo.com » par exemple, s'il ne fallait en citer qu'un exemple. On se focalise beaucoup sur les Gafam - et pour plusieurs raisons, y compris pour des raisons de citoyenneté fiscale, sur lesquelles il ne m'appartient pas de me prononcer - mais le risque se situe aussi au-delà de ces acteurs : les cybercriminels qui utilisent les réseaux savent très bien s'adapter au caractère coopératif ou non des intermédiaires techniques.

Aussi, au fil des années, la plateforme Pharos a enregistré une très forte baisse du nombre de sollicitations, et ce pour plusieurs raisons. Même si elle existe encore, la menace exogène est affaiblie. Daech, qui avait beaucoup utilisé les réseaux sociaux pour diffuser ses outils de haine, est affaiblie, et a aussi compris qu'il avait plus de libertés sur d'autres réseaux, comme le darknet, qui pose de véritables difficultés. Il nous faut donc mener le combat sur ces différents fronts. J'y insiste, se focaliser uniquement sur les Gafam reviendrait à passer à côté d'une partie de la menace.

Pour répondre ensuite à votre question concernant le risque de manipulation de l'information et la sincérité des scrutins, je veux rappeler qu'en France notre mode de scrutin nous protège : la proclamation des résultats ne se fait que sur le fondement des procès-verbaux papier, ce qui limite très sensiblement le risque d'attaque. Il existe certes d'autres types de fraudes, plus locales - je ne pense pas qu'elles soient nombreuses -, mais elles ne sont pas dirigées depuis l'étranger et ne relèvent pas de la question de la souveraineté numérique. Depuis 2007, 66 communes peuvent utiliser des machines à voter, ce qui représente 3 % du corps électoral, leur sécurité est très surveillée, et il n'est pas dans notre intention de revenir sur le moratoire qui avait été décidé sur cette question.

Par ailleurs, des manipulations de l'opinion peuvent être orchestrées par une nation étrangère via la propagation de fausses informations. Ce risque est réel, il touche tous les États occidentaux, cibles de systèmes organisés d'influences. Ainsi a-t-on vu comment 1 % des émetteurs, sur Twitter, pouvaient être à l'origine, sur tel ou tel sujet, de 50 % des tweets, ce qui ne saurait relever du hasard.

En la matière, le ministère de l'intérieur a adopté une posture de grande vigilance. De plus en plus d'outils pour vérifier la véracité d'une information sont à la disposition du public. Des bonnes pratiques existent contre la désinformation en ligne ; la Commission européenne les a recensées dans un guide avant les élections européennes. Le problème reste que chacun peut aujourd'hui se créer sa propre communauté ou banque de données d'informations et s'y enfermer. Les médias traditionnels, y compris les chaînes d'information en continu, sont dépassés par ce phénomène.

J'en viens à énumérer un certain nombre de défis pour notre souveraineté numérique. Premier défi : celui de l'intelligence artificielle. En pleine expansion, elle suscite des débats, notamment sur son usage public, qui doit s'assortir de nécessaires contrôles. À l'heure où toutes les sociétés industrielles investissent massivement dans ce domaine, le ministère de l'intérieur ne saurait passer à côté et il s'est d'ailleurs doté d'un coordonnateur ministériel en matière d'intelligence artificielle.

Autre défi : celui de l'identité numérique, levier fort de garantie de notre souveraineté numérique. Sur ce sujet, nous ne sommes pas en avance, et des pays comme l'Estonie peuvent nous donner des leçons de modernité. Néanmoins, nous avançons : l'année dernière, un programme interministériel chargé de l'identité numérique et hébergé par le ministère de l'intérieur a été mis en place. Il conduit le chantier de la future carte d'identité numérique. Il nous faut garantir le meilleur niveau de sécurité possible.

Dernier défi majeur : celui de la sécurité de nos données. Le piratage de nos données sensibles peut représenter une faille de sécurité majeure pour notre pays et nous placer en situation dangereuse. Nous avons pris des mesures de protection maximales - ce qui ne signifie évidemment pas que le système soit infaillible : j'en appelle à la modestie. Nous assurons nous-mêmes la maîtrise de nos centres d'exploitation informatique, et nous sommes dotés d'un Cloud souverain, particulièrement protégé, pour héberger nos données sensibles. Nous venons de surcroît de créer une direction du numérique unique au sein du ministère - j'ai pris cette décision il y a quelques semaines, et la direction sera opérationnelle au 1er janvier prochain.

La souveraineté numérique est vraiment une question de premier plan. Peut-être ma culture, dans ce domaine, est-elle une culture de l'ancien monde. N'y voyez aucune provocation de la part d'un ministre ayant accompagné la création de La République En Marche : la plupart d'entre nous avons un rapport appris au numérique, et non un rapport d'évidence, comme l'est celui de certains des acteurs auxquels nous avons à faire face. Sur cette question sensible et très complexe, aucune affirmation ne saurait être réputée à l'épreuve du doute, l'imagination de nos ingénieurs et de certains de nos adversaires étant souvent sans limites pour exploiter toutes les failles. J'insisterai sur un mot : vigilance absolue. Et je l'assortirai d'un autre, qui qualifie le mieux l'action du ministère pour lutter contre ces risques : détermination absolue.

Je reprendrai d'ailleurs à mon compte la distinction que vous avez formulée pour conclure, qui me paraît importante pour les sociétés européennes : la différence entre l'appris et l'évident, cette différence ne nous interdisant aucunement de mettre en garde les générations pour lesquelles le numérique est un univers évident, dont elles ne prennent peut-être pas toute la mesure.

Pourquoi les plateformes Percev@l - pour signaler une fraude à la carte bancaire à la police nationale ou à la gendarmerie et THESEE - pour porter plainte pour tout fait d'escroquerie en ligne -se sont-elles développées séparément ? Considère-t-on que la carte de crédit est d'usage universel quand les escroqueries sont par nature plus locales - elles peuvent passer par la carte de crédit, mais pas nécessairement ?

S'agissant de l'identification des personnes, l'identification officielle était historiquement un privilège de l'État ; ce privilège est aujourd'hui de plus en plus contesté par les géants du numérique, qui font valoir leur intérêt, en termes de fidélisation et de captation d'une clientèle, à organiser eux-mêmes l'identification. Quelle place l'État veut-il jouer en matière d'identification à l'intérieur de ce monde numérique - je ne parle pas du monde physique, celui des frontières matérielles ? Existe-t-il une convergence entre l'identification dans l'espace numérique et l'identification dans l'espace matériel ? En particulier, quelle peut être la place de la reconnaissance faciale ? Votre administration, qui a longtemps été la mienne en tant que membre du corps préfectoral, a lancé le projet Alicem - authentification en ligne certifiée sur mobile. Où en sommes-nous ? Comment réagissez-vous aux interrogations exprimées par le monde associatif ou la CNIL (Commission nationale de l'informatique et des libertés) sur le recours obligatoire à la reconnaissance faciale ?

Ma deuxième question a trait à l'intégrité des processus électoraux. En la matière, avez-vous des pistes concrètes ? Vous avez évoqué le vote électronique, qui reste aujourd'hui marginal en France. Dans certaines organisations administratives ou associatives ou à l'occasion d'un éventuel recours accru au référendum, on peut imaginer que le vote électronique pourrait se développer. Le ministère doit-il prendre, à cet égard, des initiatives ?

Troisième question - nous la poserons également à votre collègue Mme la Garde des sceaux : quid de l'utilisation des algorithmes dans vos champs de compétence ? Certains services, en particulier dans la gendarmerie, réfléchissent à développer des logiciels d'anticipation et d'analyse décisionnelle -pourquoi pas en matière de circulation automobile par exemple. Que pouvez-vous nous dire des projets en cours ?

Dernier sujet sur lequel je souhaite vous interroger : vous avez dit quelque chose de vrai, mais qui mérite, me semble-t-il, un approfondissement. Les Gafam, avez-vous dit, ont l'immense mérite d'avoir une taille critique leur permettant de mettre en place des structures et de travailler avec vous. Quel type de coopération pouvez-vous justement imaginer afin de promouvoir, de leur part, une attitude plus conforme à nos intérêts nationaux ? Vous semblez penser que les Gafam sont plus enclins à adopter des comportements responsables que des acteurs dont l'objectif est simplement d'obtenir un profit immédiat sans endosser les responsabilités inhérentes à l'action d'une grande structure justifiant par-là d'adopter à l'égard de ces géants numériques une attitude ouverte...

Je commencerai par répondre à votre dernière question : nos interlocuteurs ne sauraient se résumer aux seuls Gafam - j'y ai insisté, car un réflexe courant, bien naturel, consiste à se focaliser sur ces derniers. Avec les Gafam, nous avons face à nous des gens dotés d'une incarnation physique, de moyens humains et algorithmiques, avec lesquels il est possible de discuter et de travailler. Lorsqu'une contrainte leur est imposée, ils ont la capacité technique d'y faire face - je ne leur prête cependant aucune propension à être naturellement bons, ni, d'ailleurs, naturellement mauvais.

J'ai en tête, a contrario, des exemples de réseaux sociaux où des menaces de mort sont diffusées contre un commissaire de police pendant les manifestations des « gilets jaunes » et où aucun interlocuteur ne nous répond lorsque nous cherchons à identifier les auteurs de ces menaces, l'anonymat étant une valeur absolue desdits réseaux, quand, au contraire, la sécurité exige de la transparence.

Il ne suffit pas, par ailleurs, de poser la question des acteurs : les nouveaux outils posent eux-mêmes un problème de perte de maîtrise - je pense par exemple à la localisation des données hébergées dans le cloud. Aux États-Unis, en vertu du Cloud Act, toute information relevant de la juridiction américaine doit être communiquée aux autorités américaines à la demande. Une législation similaire existe en Chine.

Certains outils, en outre, ont évolué : la 3G a été conçue sur un modèle européen ; tel n'est pas le cas de la 5G. Aujourd'hui, ce que nous savons faire sur la 3G - je parle d'actes autorisés par la loi, interventions techniques, écoutes téléphoniques, par exemple -, nous ne savons pas forcément le faire sur la 5G. Or les cybercriminels savent parfaitement exploiter ce genre de failles. Au-delà des entreprises, donc, de nouveaux supports et outils peuvent nous échapper, ce qui n'est pas sans poser problème du point de vue de la souveraineté nationale. La création de notre propre système de stockage des données me paraît un horizon nécessaire. Nous devons y travailler à l'échelle de l'Europe.

Sur Percev@l et THESEE, j'ai senti de la part de M. le rapporteur une petite pique contre le ministère de l'intérieur. Il peut arriver en effet que la police et la gendarmerie cheminent sans que leurs travaux ne se croisent... Une telle situation peut accoucher d'une saine émulation, mais la convergence est toujours préférable. J'ai donc décidé de fusionner les services de ces deux administrations en une seule direction du numérique. Certains avaient le sentiment de perdre ainsi un volet déterminant de leur action - les discussions ont été parfois difficiles - mais cette fusion ne veut pas dire que la gendarmerie et la police ne pourront pas continuer d'expérimenter chacune de leur côté.

Percev@l est une plateforme de lutte contre les usages frauduleux de la carte bancaire ; THESEE relève d'une démarche analogue, dédiée à la lutte contre les escroqueries en ligne. Ces deux contentieux sont distincts et les projets ont fait l'objet, dès 2015, d'une coordination. L'existence de deux plateformes ne pose donc pas de problème.

S'agissant de l'identité numérique, nous savons tous que l'intelligence artificielle suscite une angoisse profonde, fondée ou non, qui conduit à freiner l'exploitation de certaines techniques. Nous avons tort ! Car elles accroissent l'efficacité de l'action publique pour protéger les Français ; il convient simplement d'entourer leur emploi de toutes les sécurités. Les caméras-piétons par exemple avaient initialement provoqué la polémique. Le ministre de l'époque s'est opposé à leur développement, elles étaient alors perçues comme une contrainte pour les forces de l'ordre. Puis elles sont apparues comme une protection... si bien qu'elles viennent d'être étendues aux sapeurs-pompiers. Naturellement, des contrôles de ce dispositif existent. L'interpellation est filmée : lorsque le policier ou le gendarme revient à son bureau, il n'a pas la possibilité de regarder les images ; celles-ci sont conservées, mais pour un temps déterminé. Leur accès est ainsi limité, afin de préserver les libertés fondamentales.

Il en va de même concernant l'usage de l'intelligence artificielle par les services. Considérez l'attentat qui s'est produit récemment à Lyon devant La Brioche dorée : il a eu lieu un vendredi à 16 h 30 ; 30 enquêteurs ont visionné les images enregistrées par l'ensemble du réseau des caméras de vidéoprotection, c'est ainsi que l'on a retrouvé et identifié l'auteur, le dimanche soir. Il a été interpellé le lendemain matin. Avec l'intelligence artificielle, on aurait su en quinze minutes où il était allé, grâce à la reconnaissance faciale. La technique peut bien entendu faire débat, si elle n'est pas entourée de toutes les protections qui s'imposent. C'est parce qu'il y a effectivement un risque de détournement, qu'il faut des garde-fous. Dans le dispositif d'authentification en ligne certifiée sur mobile (Alicem) que vous avez évoqué, et sur lequel nous travaillons, aucune donnée biométrique ne peut être partagée. La photo extraite de la puce reste stockée sur le téléphone portable de l'utilisateur. La vidéo de reconnaissance faciale créée au moment de l'identification est effacée après vérification. Les données ne font l'objet d'aucun traitement et ne sont bien sûr pas transmises à des tiers.

Grâce à de tels outils, l'État assurera mieux sa mission régalienne de certification des identités dans le monde digital, préfigurant un service numérique plus large. N'oublions pas une chose : ce que nous ne faisons pas, d'autres le feront. Voyez les monnaies parallèles ! Il est indispensable de proposer des systèmes d'identité sécurisés à tous les acteurs publics ou privés. L'enjeu est également de simplifier les démarches administratives. L'échéance de 2022 approche ! La carte d'identité numérique estonienne comporte 15 à 20 services intégrés. Il faut aller le plus loin possible en ce sens, tout en préservant les libertés.

Enfin, ces outils servent à la lutte contre l'usurpation d'identité en ligne. Il importe donc de rassurer nos concitoyens. La Quadrature du net a formé un recours contre le décret en Conseil d'État autorisant cette application mobile : à nous de prouver que le dispositif est sécurisé.

Quant aux élections européennes, aucune attaque significative n'a été identifiée. La loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information a créé le référé civil pour faire cesser la diffusion de fausses informations ; un dispositif ministériel a également été mis en place. Mais il n'a pas été nécessaire de recourir à ces outils. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a effectué à notre demande un audit, et nous avions un dispositif de supervision : aucun dysfonctionnement n'a été détecté. Cependant le « retex » (retour d'expérience) n'est pas achevé : si des anomalies étaient identifiées avant la conclusion de vos travaux, je vous en tiendrais informés.

Le développement du vote électronique n'est pas à notre programme : sujet trop sensible et outil pas forcément indispensable...

Il ne faut pas casser l'ambiance des soirées électorales !

C'est ce que j'allais dire. Comme élu rural des Alpes-de-Haute-Provence, j'y suis attaché ! La question de la dématérialisation de la propagande électorale reviendra en revanche à l'ordre du jour... N'oublions pas la rupture numérique, de plus en plus réduite, mais qui existe.

Un mot sur votre question sur l'utilisation des algorithmes. Une expérience a été menée par la gendarmerie au moyen d'un algorithme d'intelligence artificielle pour avancer dans la connaissance du phénomène délictuel. Depuis le XIXe siècle, des travaux ont été menés en matière de criminologie prédictive - je songe à ceux des époux Glueck - qui visaient à définir une sorte de prédestination au comportement délictuel. Des études ont plus récemment montré que les heures propices aux actes criminels n'étaient pas les mêmes en Haute-Savoie, à Marseille ou à Paris. L'intelligence artificielle travaille à partir des infractions ciblées, sans utiliser les données personnelles, mais en traitant des informations de masse et en procédant à des recoupements territoriaux. Il ne s'agit pas de prédire l'avenir, mais ce type d'expérience préfigure ce que pourrait être la police ou la gendarmerie de demain, pour gagner en efficacité. Même chose pour la sécurité routière : en identifiant des paramètres tels que les aléas météorologiques ou les heures auxquels les actes délictueux sont plus fréquents, on pourrait ajuster la présence préventive des patrouilles sur le terrain.

Les risques de détournement des outils numériques existent. Il ne faut pas en avoir peur ni, à l'inverse, être trop candide : nos partenaires n'appliquent pas forcément les mêmes limites que nous, et nos adversaires, lorsqu'ils soutiennent la cybercriminalité, n'ont aucune limite... N'ayons pas de ces pudeurs de gazelle qui empêcheraient même d'aborder le sujet. Nous pouvons en parler ! La décision, elle, revient au Parlement. Mais il est clair que nous avons besoin de dispositifs de contrôle, d'arbitres et de juges extérieurs, afin de garantir le meilleur usage de ces outils.

Êtes-vous en relation avec les autres responsables européens pour définir des types de coopération possibles avec les Gafam ?

Bien sûr, et le récent sommet des ministres de l'intérieur à Helsinki a consacré sa première partie à ce sujet, afin de parvenir à une position commune pour négocier avec les Gafam et d'autres. La présidence finlandaise a aussi présenté une initiative sur l'intelligence artificielle afin que chaque État membre n'avance pas seul dans son coin. J'ajoute que le Parlement européen est très jaloux des libertés - un peu comme la commission des lois du Sénat !

Une question liminaire puisque nous abordons le vote électronique : pour les personnes handicapées, et notamment pour les non-voyants, ne pourrait-il tout de même pas être envisagé ?

Vous avez beaucoup parlé des comportements : il faut donc parler éducation et formation ! À cet égard, quelles actions sont menées conjointement avec les autres ministres ? Car le numérique est un sujet transversal. J'ai milité en ce sens ; nous avons créé un groupe d'études numériques qui regroupe l'ensemble de nos commissions. Hélas, le secrétariat d'État au numérique n'est plus sous la responsabilité transversale du Premier ministre et je ne perçois guère cette transversalité au Gouvernement. Comment le sujet est-il traité en son sein ?

J'aimerais avoir votre avis sur le texte « anti Huawei » - la proposition de loi sur la sécurité des réseaux mobiles - adopté il y a quelques semaines par le Parlement. C'est le ministre de l'économie qui participait à la discussion ; or il s'agit de sécurité intérieure !

Monsieur le ministre, vous avez dressé une véritable revue de la question, sans omettre les points de vigilance, et en montrant combien la souveraineté numérique est une mission régalienne essentielle de l'État. Celui-ci doit poser un cadre transversal : je souhaite que vous nous disiez plus précisément comment l'exécutif organise le travail collectif sur cette mission si importante, qui concerne tous les ministères.

Vous avez parlé de la prise de conscience, de la vigilance, de la prévention et de l'éducation : il y faut des moyens humains et financiers, un personnel très compétent, à l'affût de toutes les novations utilisées par nos adversaires. Quels moyens, concrètement, sont mis en oeuvre ? Quels moyens seraient nécessaires ?

Les jeunes et les enfants devraient recevoir une formation qui leur donne de bons réflexes pour leur vie entière : vous avez parlé du permis Internet, un laissez-passer favorisant un bon usage d'internet... Mais la vigilance conduit parfois à la défiance, et certaines associations, voire certains élus, contestent des dispositifs simples, tels que les compteurs Linky. Sincérité et confiance sont essentielles en politique : comment convaincre que les dispositifs sont sûrs, qu'il ne sera pas fait un usage détourné d'une future identité numérique ?

Un éventuel blackout numérique nous exposerait à des risques immenses, notamment pour la santé publique. Dans ce domaine, envisage-t-on des solutions de secours, des situations offline, une forme de « plan Orsec » en cas de catastrophe numérique locale ou nationale ? Sans tomber dans la science-fiction, ces questions font-elles l'objet de réflexions ?

En matière internationale, on vante le multilatéralisme, mais on doit souvent se contenter d'accords bilatéraux, et les conventions fiscales historiques ont bien du mal à tenir compte de l'extraterritorialité des entreprises. Le numérique nous place également face à des difficultés pour lutter contre la criminalité. Disposons-nous aujourd'hui des instruments législatifs nécessaires ? Il y a quatre ans, la France a conclu un accord d'extradition avec un grand pays d'Orient : elle a réclamé plusieurs centaines d'extraditions au titre des fraudes bancaires, et l'État en question n'a jamais répondu à nos demandes, alors que, de notre côté, nous extradions vers lui des personnes accusées de crime. Comment adapter le cadre juridique au monde globalisé dans lequel nous vivons ?

En matière de cybercriminalité, on a le sentiment, peut-être à tort, d'être systématiquement sur la défensive. Se développe ainsi de manière insidieuse le sentiment d'impunité des cybercriminels, dont l'identification est très difficile, et qui sont rarement situés sur le territoire national.

Premièrement, cette impunité est-elle réelle ou bien vos services parviennent-ils à mener des enquêtes approfondies sur les personnes physiques coupables de ces actes ? Deuxièmement, quels sont, en la matière, les liens entre votre ministère et le ministère de la justice ? Bien sûr, je poserai également cette question à Madame la Garde des sceaux, que nous auditionnerons demain. Troisièmement, quel est l'état exact des coopérations internationales existantes, notamment avec les pays de l'Est de l'Europe ? Vous avez évoqué l'Union européenne et le G7 ; mais la plupart des cybercriminels semblent ailleurs, dans des pays où les libertés publiques et individuelles n'ont pas forcément la même force que chez nous. Peut-on développer la collaboration internationale en la matière, comme on l'a fait pour lutter contre le terrorisme, à la suite des attentats ?

Nous sommes effectivement engagés dans une démarche essentiellement défensive, qui vise en particulier les Gafam. En la matière, le Gouvernement appelle de ses voeux une souveraineté européenne : on ne peut qu'être d'accord avec lui sur ce point. Peut-on également envisager une souveraineté industrielle européenne, ou bien est-il trop tard ?

Quant aux géants chinois du numérique, les BATX - Baidu, Alibaba, Tencent, Xiaomi -, ils semblent pour l'heure rester l'arme au pied ; mais, ici où là, ils entrent tout de même dans le jeu. Quel est votre sentiment à leur égard ?

Pourriez-vous nous préciser votre réponse au sujet des manipulations électorales, non au moment du vote, mais en amont ? Nous pensons notamment à l'affaire Cambridge Analytica. Ces manipulations de grande envergure sont une véritable préoccupation.

Sur ce point, lors des dernières élections européennes, nous avons mis en place un dispositif interministériel à même de contrer la moindre attaque de fake news ; en l'occurrence, il n'y en a pas eu. J'ajoute que je n'ai pas de retour d'expérience quant aux élections précédentes...

Ma question va au-delà des fake news ; je pense à des manipulations de données, à l'insu des citoyens, destinées à influencer leur vote et déployées à une échelle industrielle.