Notre commission d'enquête poursuit ses travaux avec l'audition de Mme Nicole Belloubet, garde des sceaux, ministre de la justice. Cette audition sera diffusée en direct sur le site Internet du Sénat et fera l'objet d'un compte rendu publié. Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, Mme Nicole Belloubet prête serment.

Le développement du numérique voit s'affronter des États et des espaces continentaux sur le terrain de l'économie mais aussi du droit, utilisé comme un moyen de conquête et de protection. La confrontation des cultures et des systèmes juridiques dans le champ du numérique ainsi que le rapport de force qui en résulte affectent la souveraineté de notre État.

Notre droit national et continental place la loi au centre ; le droit anglo-saxon de common law procède d'une autre logique, sans cesse plus forte, jusqu'à donner l'impression que notre loi, sur notre propre sol, s'efface de fait.

Dans ce contexte, madame la Garde des sceaux, votre ministère doit répondre aux défis que représente la révolution numérique pour notre souveraineté, pour l'intégrité de notre ordre juridique et l'autorité de nos magistrats et de nos lois.

Les modèles économiques des grands acteurs du numérique - gratuité d'accès, collecte massive, utilisation et valorisation des données personnelles, vente de publicités ciblées - passent par des stratégies d'évitement permettant d'échapper aux contraintes de notre ordre juridique. Obtenir la coopération de grandes plateformes situées à l'étranger n'est pas toujours aisé. Quelles difficultés nos magistrats et vos services rencontrent-ils, et quelles solutions nous sont offertes ?

Pire, certains de ces acteurs sont susceptibles d'être en France les vecteurs, consentants ou non, d'ordres juridiques étrangers : les géants américains sont soumis à des régimes de sanctions extraterritoriales ou à des règles d'accès aux preuves électroniques, comme le Cloud Act. Comment s'explique ce contournement des traités d'assistance judiciaire mutuelle et comment l'éviter ? Faut-il renforcer la loi de blocage pour interdire, par exemple, la transmission d'informations stratégiques hors de ce cadre protecteur ?

Nous avons déjà abordé le sujet lors de l'examen, en 2017 et 2018, du projet de loi relatif à la protection des données personnelles qui a permis de tirer les conséquences du règlement européen de protection des données (RGPD) et de la directive qui l'accompagnait. Mais la question de la souveraineté numérique telle que vous l'abordez est beaucoup plus vaste et embrasse des champs de réflexion et d'action qui dépassent la seule protection des données personnelles ainsi que le périmètre de compétence de mon ministère.

On compare parfois l'espace numérique à celui des océans. C'est en effet un espace de liberté, avec des îlots de souveraineté qui tentent de s'affirmer juridiquement. Comme jadis, on voit apparaître de grandes compagnies commerciales qui tirent des richesses considérables de cet espace à conquérir - d'autant qu'elles le créent elles-mêmes - et des corsaires ou pirates qui profitent de cette liberté et des faiblesses du droit. Le droit de la mer a été une lente construction au cours des siècles, au prix de conflits, de rivalités, mais aussi d'une coopération réelle entre les États. Il faut que notre droit de l'espace numérique se mette en place plus vite, car les enjeux sont considérables et nous n'avons pas le temps d'attendre.

L'expression de notre souveraineté dans cet espace de liberté est difficile. Les acteurs non étatiques sont puissants et protégés par les États où ils se sont développés, États-Unis ou Chine. Les intérêts privés et nationaux s'entremêlent. L'Europe doit composer avec ses propres difficultés à agir face à des acteurs qui peuvent faire preuve de cynisme tout en comprenant que l'Europe est un marché considérable à ménager. Les révolutions technologiques se succèdent, de plus, à un rythme si soutenu que le droit a du mal à s'adapter.

Défendre, voire reconquérir notre souveraineté numérique est un objectif que nous partageons. La notion de souveraineté recoupe d'ailleurs des notions diverses. Elle renvoie à notre capacité à défendre notre territoire et notre population, à préserver et développer nos intérêts. Elle suppose aussi que nous sachions faire respecter nos valeurs, c'est-à-dire la démocratie politique et l'État de droit, face aux risques liés au déploiement du numérique.

Pour reconquérir une souveraineté numérique, les États doivent d'abord répondre à des défis technologiques, ce qui suppose de développer une forte capacité d'innovation. Sans innovation technologique, nous serons déclassés, réduits à l'impuissance. L'exercice de la justice doit aussi s'appuyer sur ces innovations technologiques.

Mais nous devons aussi disposer des instruments juridiques qui nous permettent de protéger, d'agir et de sanctionner.

L'autre condition réside dans notre capacité à articuler souveraineté nationale et coopération internationale. Dans ce cadre, nous n'avons d'autre horizon qu'européen.

L'adoption du RGPD et sa mise en oeuvre par la loi du 20 juin 2018 relative à la protection des données personnelles illustrent la manière dont nous pouvons agir pour préserver notre souveraineté numérique. Cela passe par une volonté résolue des États, une intégration européenne intense et une prise de conscience des acteurs eux-mêmes sur l'importance de protéger leurs données. II nous appartient de leur donner les outils pour exercer leurs droits de manière efficace contre les grands acteurs du numérique. En la matière, l'union fait la force.

Cette volonté de responsabiliser les acteurs s'est traduite par la nomination d'un délégué à la protection des données dans 53 000 organismes - soit 19 000 délégués au total, car la mutualisation est possible. Un tiers de ces organismes sont publics. Les collectivités territoriales se sont mobilisées : 11 800 communes, 82 départements, 12 régions ont nommé un délégué. Ce résultat est satisfaisant, car il s'agit d'une évolution lourde pour les acteurs. Ils jouent le jeu en dépit des craintes initiales ; la multiplication des délégués est le gage d'une diffusion massive de la culture de « protection des données ».

Les nouveaux outils offerts par la loi sont également utilisés par les citoyens. La loi du 20 juin 2018 a étendu l'obligation de notifier les violations de données à tous les acteurs qui recueillent des données personnelles, sous peine de sanctions très fortes - l'amende administrative pouvant être prononcée a été considérablement renforcée, j'y reviendrai. Au 27 juin 2019, 2 257 violations ont été notifiées en France. Ces violations auraient concerné plus de 95 millions de personnes - y compris bien sûr à l'étranger.

Le niveau de cybersécurité en France reste toutefois trop faible par rapport à l'Allemagne, au Royaume-Uni ou aux Pays-Bas. De nombreux organismes n'identifient pas les atteintes portées à la sécurité des données qu'ils traitent. Il faut donc continuer, avec la Commission nationale de l'informatique et des libertés (CNIL), ce travail d'information et de responsabilisation des acteurs.

La loi du 20 juin 2018 facilite aussi les plaintes auprès de la CNIL pour non-respect des dispositions relatives à la protection des données personnelles. Le nombre de plaintes a bondi en 2018, et on constate une hausse de 23 % au premier semestre 2019 par rapport à la même période en 2018, avant l'entrée en vigueur de la loi. Preuve que les particuliers hésitent de moins en moins à saisir la CNIL, et que la campagne de communication autour de la loi a été efficace. Au-delà des plaintes individuelles, la CNIL a également reçu cinq plaintes collectives, portées par l'association La Quadrature du Net, à l'encontre de Google, Apple, Facebook, Amazon et LinkedIn, réunissant près de 46 000 personnes.

Enfin, la loi du 20 juin 2018 a introduit une nouvelle sanction, avec une amende administrative pouvant désormais atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, contre 3 millions d'euros auparavant, afin de peser sur les grands acteurs mondiaux. À ce jour, quatre sanctions ont été prononcées dont une, spectaculaire, de 50 millions d'euros contre Google, le 21 janvier 2019, pour l'absence d'informations sur la finalité et la conservation des données des utilisateurs, l'exploitation massive et intrusive de celles-ci, ainsi que l'absence de consentement pour la personnalisation de la publicité. Il s'agit d'un montant record, auparavant, pour mémoire, une amende de 400 000 euros avait été infligée à la société Über fin 2018 sur la base de l'ancienne législation. Cette réforme marque bien un tournant dans notre rapport au numérique tout en créant un écosystème juridique global qui permettra à l'Europe de peser sur la scène internationale.

Face à ces enjeux, le ministère de la justice a dû s'organiser pour mieux maîtriser ses outils numériques, contrôler ses données et préserver la capacité du juge à rester maître de ses choix, de ses décisions, voire de ses valeurs dans une société numérisée. L'évolution vers plus de numérique est une nécessité pour le ministère de la justice d'autant plus qu'il a connu, en la matière, un retard regrettable.

Le plan de transformation numérique du ministère est à ce titre essentiel à l'action de la justice : il s'agit de la rendre plus lisible, plus accessible et plus démocratique, en l'ancrant toujours davantage dans le service du citoyen. Ce plan nous oblige à adapter notre socle technique, à développer des applications métiers pour les professionnels et les justiciables, et à construire des capacités d'accompagnement des utilisateurs. Ces sujets touchent au coeur de l'action des magistrats et jouent sur les perceptions de la justice, de son fonctionnement et de son efficacité, voire de sa légitimité.

Cette évolution majeure pose des questions de contrôle et de souveraineté. Les problématiques numériques modifient l'approche classique de traitement de l'information : elles intègrent des tiers externes d'importance grandissante dans le déploiement des infrastructures et des données. L'ère numérique globalise et crée de nouvelles dépendances. Il reste nécessaire de préserver les conditions d'exercice des libertés et les principes garantissant l'autonomie et l'indépendance des acteurs du droit et de la justice.

Ainsi, la justice doit veiller à la protection de son indépendance et des droits du justiciable en garantissant l'intégrité de ses données et la protection du secret. Dans ce cadre, il faut assurer l'intégrité et la traçabilité des informations, et préserver les traitements issus de ses systèmes d'information.

Par ailleurs, les moyens nécessaires à l'exploitation des plateformes numériques induisent une logique commerciale pour les développeurs, et des stratégies d'influence de toutes sortes qui peuvent être peu compatibles avec les logiques régaliennes et de souveraineté. Ces dispositions créent des opportunités permettant d'instrumentaliser des infrastructures ou de s'approprier des données éminemment souveraines. Il s'agit d'être vigilant sur les risques de glissement liés à ce changement d'environnement.

Je prendrai pour exemple la lutte contre la criminalité. La révolution numérique modifie profondément notre manière de mener cette action. Elle offre de nouveaux moyens de commission des infractions, favorisant même la création d'une criminalité spécifique, la cybercriminalité, qui n'existait pas auparavant. Elle entraîne, par ailleurs, une modification de notre rapport à l'application de la loi dans l'espace. Les lieux de commission de l'infraction ne peuvent plus être appréhendés de la même façon. L'accès aux preuves, lorsqu'elles sont numériques, nous invite également à modifier nos pratiques dans la mesure où elles ne peuvent pas être localisées et appréhendées comme le sont des objets matériels. Cette révolution favorise sans conteste une plus grande transnationalité des procédures. Notre ordre juridique interne est donc plus fréquemment confronté à ceux de nos voisins européens, ou au-delà, notamment quand il s'agit de collecter des preuves numériques.

C'est précisément afin de surmonter ces obstacles et de renforcer la coopération que l'Union s'est engagée dans d'importants travaux législatifs.

Tout d'abord, la Commission européenne a proposé deux textes, afin de faciliter l'accès aux preuves numériques entre États membres au sein de l'Union. Sont en cours de négociation une proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale et une proposition de règlement relative à l'accès aux preuves numériques en matière pénale, déterminant les conditions et modalités d'accès par les autorités judiciaires à la preuve numérique détenue par un opérateur fournissant des services sur le territoire de l'UE.

Le Conseil de l'Union européenne a arrêté sa position le 7 décembre 2018 sur la proposition de règlement, et le 7 mars 2019 sur la proposition de directive. Les discussions avec le Parlement ne pourront toutefois intervenir que dans le cadre de la nouvelle législature issue des élections de mai dernier, c'est-à-dire à compter de cet automne.

La France est très investie dans la négociation de ces deux textes et milite pour que ces derniers proposent des mécanismes simples pour les praticiens et efficaces pour les enquêtes judiciaires. Nous devons donc nous organiser pour mieux coopérer entre nous et faire en sorte que nos justices respectives demeurent efficaces face à une criminalité qui ne connaît plus les frontières. Mais nous devons aussi répondre aux défis que nous lancent les grandes puissances du numérique. Je pense en particulier aux États-Unis et au Cloud Act.

Le Cloud Act adopté en 2018 permet aux services d'enquête américains d'obtenir des données électroniques, y compris de contenu, quelle que soit leur localisation, auprès des opérateurs établis sur leur territoire. Il prévoit par ailleurs la conclusion d'accords bilatéraux permettant à des autorités étrangères de faire de même, excepté lorsque les données requises appartiennent à des citoyens américains ou résidents permanents aux États-Unis, avec clause de réciprocité.

A priori, cela peut paraître être une avancée en matière d'enquête, mais le Cloud Act présente à mon sens plus d'inconvénients que d'avantages, notamment en multipliant les hypothèses de conflits de normes - particulièrement en matière de protection des données à caractère personnel - et en réduisant de fait les capacités d'enquête des autorités étrangères par un régime strictement encadré.

Le Cloud Act prévoit donc que la coopération n'est désormais possible qu'à condition qu'un accord ait été conclu avec les États-Unis. Or la clause de réciprocité qui devrait être contenue dans ces accords exécutifs pourrait être difficile à articuler avec le RGPD. En effet, les autorités pénales américaines pourraient requérir, auprès des opérateurs établis dans les États de l'Union, parties à ce type d'accord, la communication de données relatives à des citoyens ou résidents permanents d'autres États de l'Union que celui dans lequel l'opérateur est établi. À titre d'exemple, si la France concluait un tel accord exécutif avec les États-Unis, un hébergeur situé en Allemagne devrait, sur réquisitions des autorités américaines, fournir les données, y compris de contenu, relatives à des utilisateurs français. La conformité d'un tel accord à l'article 48 du RGPD n'est pas acquise.

En outre, on peut sérieusement être préoccupé par le fait que le Cloud Act permettrait à terme aux autorités judiciaires américaines d'accéder à des données, y compris de contenu, de personnes françaises, et donc, potentiellement d'entreprises françaises. Comment éviter cela ? Manifestement la réponse est européenne et l'Union s'est engagée dans la construction de cette réponse, qui n'est pas simple, car de nombreuses incertitudes ou incompréhensions demeurent.

Deux enjeux se font jour : préserver la capacité de nos magistrats à faire leur travail et protéger nos concitoyens contre l'accès illégitime à leurs données personnelles.

L'Union a décidé de s'engager dans la négociation d'un accord bilatéral sur le recueil de preuve numérique avec les États-Unis, car le Cloud Act peut mettre en échec les demandes des magistrats européens lorsqu'ils souhaitent obtenir des preuves numériques auprès des principaux fournisseurs mondiaux de communications électroniques. Cette négociation sera menée par la Commission au nom des Etats-membres. Ceux-ci sont néanmoins étroitement associés et la France a tout particulièrement veillé à ce que le mandat de négociation confié à la Commission le 6 juin dernier soit le plus exigeant possible.

Cette négociation prendra sans doute plusieurs années en raison d'une incompréhension avec les Américains : le Cloud Act prévoit la conclusion d'accords bilatéraux entre États ce qui est impossible légalement côté européen puisqu'aux termes de la jurisprudence de la CJUE l'Union dispose d'une compétence externe exclusive en la matière.

Parmi les points importants de cette négociation, l'un des maîtres mots pour nous le terme « réciprocité ». Par ailleurs, nous avons insisté pour que les personnes morales soient expressément exclues de l'accord futur, afin d'éviter les risques d'intrusion ou de vampirisation des données stratégiques de nos entreprises sous un habillage judiciaire. Enfin, nous avons également pesé pour que soient écartées les données « dont la divulgation serait contraire aux intérêts essentiels d'un État membre ».

D'autres réflexions sont par ailleurs en cours pour peser face à certaines menées américaines. Je pense au renforcement de la protection de nos entreprises à travers la loi de blocage de 1968.

L'adoption récente du Cloud Act permet désormais aux autorités américaines, dans le cadre d'enquêtes pénales, de saisir de manière très simple et directe des données numériques pourtant hébergées à l'étranger, via les fournisseurs de services de communications électroniques américains ou situés aux États-Unis. A contrario, lorsque les autorités judiciaires françaises souhaitent saisir des données numériques hébergées aux États-Unis, elles doivent se plier au mécanisme beaucoup plus lourd et aléatoire de l'entraide judiciaire qui impose d'adresser une demande préalable aux autorités judiciaires américaines, lesquelles sont alors libres d'y donner suite ou non. Il y a donc là une situation d'asymétrie préjudiciable à notre souveraineté judicaire et numérique, plus particulièrement pour la confidentialité des informations stratégiques sensibles de nos entreprises lorsqu'elles sont stockées au format numérique.

Pour y faire face, le Gouvernement a amorcé une réflexion sur la base du rapport récemment remis par le député Raphaël Gauvain, afin d'actualiser la loi de 1968 dite de « blocage ». Pour mémoire, cette loi impose aux autorités administratives et judiciaires étrangères souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France de passer par le canal de la coopération, c'est-à-dire de solliciter la communication de ces informations auprès des autorités nationales et non directement auprès des opérateurs économiques français visés. Le non-respect de la loi de blocage est sanctionné pénalement.

Certes, on pourrait considérer que la loi de 1968 s'applique d'ores et déjà à la transmission de données stratégiques numériques, relatives à des opérateurs économiques français, à des autorités ou entités étrangères. Mais le texte n'est pas explicite, ce qui pourrait faire peser un risque sur la légalité de la sanction pénale prévue, qui elle-même peut sembler insuffisante pour être considérée comme crédible et donc dissuasive pour les entités potentiellement concernées, les grands hébergeurs de données numériques, les Gafam notamment.

Cela dit, le Gouvernement envisage de consacrer un rôle spécifique dans l'avenir au service de l'information stratégique et de la sécurité économiques (Sisse) pour lui conférer un rôle d'accompagnement et de conseil des entreprises qui seraient concernées par des demandes étrangères directes visant à procéder à une saisie numérique. Le rôle du Sisse à cet égard pourrait notamment être d'évaluer la portée des informations confidentielles susceptibles d'être demandées par l'autorité étrangère, de rappeler à l'entreprise les dispositions de la loi de 1968 et d'engager un dialogue avec elle sur la conduite à tenir. Les réflexions sur ces différents aspects sont en cours d'étude et certaines d'entre elles pourraient faire l'objet de dispositions législatives.

Mesdames, messieurs les sénateurs, au travers ces premiers éléments, vous aurez compris que le Gouvernement et la Chancellerie accordent à la question qui vous occupe une très grande attention. Il faut en la matière avoir une pensée offensive et savoir promouvoir notre vision de la souveraineté numérique au sein de l'Union européenne. Nous nous y employons, mais vos travaux, j'en suis certaine, nous permettront de mieux faire valoir nos intérêts et contribueront à nous stimuler dans cette action essentielle.

Votre présentation reprend les lignes de force sur la souveraineté numérique que nous évoquons depuis le début de nos travaux, et rappelle votre implication dans l'adoption de la loi relative à la protection des données personnelles que vous aviez présentée au Sénat en 2018. Pour votre ministère, la souveraineté numérique appliquée à la coopération judiciaire est d'actualité et dépend non seulement de considérations économiques et technologiques, mais aussi juridiques.

Pour ce qui concerne la mise en place du RGPD, vous nous avez donné des éléments et cité des chiffres, mais je m'interroge sur la coexistence de sanctions administratives sur le fondement du RGPD et de poursuites pénales : quelle sera la politique du parquet pour sanctionner les manquements au RGPD ? Selon vous, quelle politique pénale devrait être adoptée par le Gouvernement ? Considérez-vous que la sanction administrative suffise ? Les amendes sont parfois élevées. Exonèrent-elles de la procédure pénale ? Il est facile de saisir les grands opérateurs qui défient les États ; il est possible de discuter avec des interlocuteurs qui ont des intérêts. Mais des opérateurs plus modestes peuvent échapper à ce type de régulation par la sanction administrative ; ils devraient être confrontés au risque de la sanction pénale si l'on veut qu'existe une dissuasion.

Pour ce qui concerne la CNIL, compte tenu de l'importance de l'enjeu, ses effectifs sont bien inférieurs à ceux des régulateurs des autres États membres de l'Union et elle paraît bien modeste. Il ne résulte pas de nos travaux qu'il faudrait fusionner les régulateurs, leurs compétences diverses - dès lors qu'il y a mutualisation et coordination - paraissant pertinentes. Pour autant, la question de l'insuffisance des moyens de la CNIL est préoccupante.

Le numérique a pour caractéristique d'être éternel, alors que les décisions de justice ont vocation à ne pas l'être. La prescription est un facteur de paix civique mais l'open data ne peut-il pas parfois servir à la contourner ?

Grâce à l'extension de l'intelligence artificielle, l'investissement dans des technologies algorithmiques pourrait aboutir à des méthodes d'aide à la décision, voire de prévisions qui feraient planer le spectre d'une justice prédictive à l'égard de petits délits dont le traitement pourrait être industrialisé. Cette crainte est-elle justifiée ?

Enfin, quel partenariat le ministère de la justice pourrait-il engager ou a-t-il engagé avec les Gafam ? Faut-il une attitude patriotique vis-à-vis des grands acteurs du numérique ou vaut-il mieux associer les grands acteurs à des coopérations ponctuelles ?

Pour ce qui concerne la coexistence de sanctions administratives et pénales, nous devons faire preuve d'exemplarité - c'est l'objet de la sanction pénale - et nous devons respecter des règles juridiques, notamment le principe non bis in idem. Le Conseil constitutionnel a rendu des décisions importantes - je pense notamment à sa jurisprudence lors de l'affaire Cahuzac - et admis sous certaines conditions deux types de sanctions pour des faits identiques qui relevaient de deux ordres juridiques différents. Dans le sujet qui nous occupe, tel est le cas et la double sanction pourrait donc jouer.

Quant à la CNIL, j'ai conscience de la modestie de ses effectifs, mais aussi de ses efforts considérables de réorganisation et d'adaptation. Des postes supplémentaires lui ont été octroyés pour faire face à ses nouvelles missions : entre 2010 et 2019, ses membres sont passés de 140 à 208. Son budget est passé de 14 à 18 millions d'euros. Le nombre des agents des structures comparables aux Pays-Bas et en Allemagne est similaire, tandis qu'au Royaume-Uni il atteint presque 700.

Sur la crainte d'une justice prédictive, il faut s'arc-bouter sur l'office même du juge et sur la question de l'individualisation des décisions qui garantit l'indépendance de la justice. Pour autant, il ne faut pas se priver d'éléments d'aide à la décision, tels les barèmes relatifs aux pensions alimentaires, notamment.

Par ailleurs, depuis la loi de 2016 pour une République numérique confortée par la loi de réforme de la justice de mars dernier, nous devons mettre à disposition en open data l'ensemble des décisions de justice, ce qui pourrait conduire des opérateurs privés à construire des banques de données ou des logiciels permettant de déterminer les chambres octroyant les meilleures indemnités. Lors de l'élaboration de cet open data, nous serons très vigilants sur ce point.

Enfin, aucun « partenariat » en tant que tel n'a été établi avec les Gafam, mais nous avons, bien sûr, un patrimoine applicatif qui s'est constitué au fur et à mesure - Microsoft, pour les postes de travail -, avec le souci de la double source et des solutions alternatives libres. Pour des raisons de sécurité, nous hébergeons chez nous nos données, et avec le concours et la vigilance de l'Anssi.

Lors de la dernière loi de finances, nous avons été surpris par la baisse des crédits. Or je veux insister sur la nécessité d'affecter des moyens adaptés aux autorités indépendantes, alors que la souveraineté est une question brûlante d'actualité. La présidente de la CNIL nous a fait part de ses besoins pour conduire sa mission difficile, de plus en plus pointue, avec l'entrée en vigueur du RGPD.

Cela dit, notre écosystème numérique s'est construit autour d'un système d'exploitation de nos données qui transitent par les plateformes devenues des « facilités essentielles » : nous dépendons d'elles. Eu égard à la manipulation d'informations au cours des derniers mois, quid d'une prise de décision quant à la réouverture de la directive e-commerce pour permettre de réfléchir à un statut des plateformes qui ne sont aujourd'hui redevables de rien ? Quid aussi des propositions de résolution européenne que nous adoptons et qui pourraient être des outils pour le Gouvernement... s'il s'en saisissait ?

Enfin, dans l'éducation nationale, des contractualisations sont intervenues avec Microsoft et Google. Quel est votre rôle, madame la Garde des sceaux, pour qu'à l'échelon interministériel s'opère une prise de conscience des risques de ces partenariats ? Je m'inquiète du mécénat et de l'aide au financement de la chaire d'enseignement de l'intelligence artificielle à Polytechnique. Ce sont des questions éminemment stratégiques.

Enfin qu'en est-il des contrats passés avec des entreprises telles que Cisco qui forment nos ingénieurs réseau dans l'ensemble des ministères où sont manipulées des données stratégiques ?

Vous avez parlé du rôle que vous entendez faire jouer au Sisse pour répondre au Cloud act. Allez-vous vous saisir aussi de la question de la protection des avis juridiques destinés à nos entreprises dont les autorités américaines peuvent parfois demander communication ? Envisagez-vous une évolution du statut des juristes d'entreprise ?

Madame Morin-Desailly, je soutiens les demandes de crédits de la présidente de la CNIL, qui sait aussi la nécessité de réorganiser cette instance en raison de l'évolution de ses missions.

Sur les risques pour la démocratie de la manipulation de l'information, la loi dite fake new permet d'apporter un certain nombre de réponses, ce qui montre une volonté d'agir. J'ai évoqué récemment ce sujet au Conseil de l'Europe et un certain nombre d'États sont intéressés par ce type de législation.

La directive e-commerce a été adoptée à une époque où les acteurs privés comme les Gafam n'existaient pas. Il est donc important de réfléchir à un nouvel encadrement, car les Gafam fournissent plus que de l'hébergement passif. La réouverture de ce dossier serait intéressante - je le dis, bien sûr, sans préempter le cadre de la nécessaire concertation interministérielle.

Quant aux propositions de résolution européenne adoptées par le Parlement, ces textes sont un point d'appui très utile dans nos négociations. Ils renforcent la position du gouvernement français.

Aucune contractualisation entre le ministère de la justice et les Gafam n'a été formalisée ; des partenariats ont été conclus notamment avec Microsoft. Je sais que mes collègues des autres ministères, tout comme moi, sont très mobilisés sur les risques qui pourraient découler d'une telle contractualisation.

Monsieur le président, le rapport Gauvain insiste sur la protection des avis juridiques possédés par certaines entreprises et souhaite que soit mis en place un certain nombre de dispositions. Les intérêts peuvent être antagonistes. Cette protection est favorable aux entreprises quand des autorités étrangères veulent accéder à des données constituant les gènes mêmes de ces entreprises. Mais des impératifs de valeur constitutionnelle existent. Ainsi en matière de détection de la fraude fiscale ou de lutte contre la délinquance financière, si ces données sont trop protégées, les juges français risquent d'être mis en difficulté. Nous devons donc trouver un système équilibré.

Une des réponses aux pouvoirs des autorités américaines serait, selon le rapport Gauvain, que nous nous dotions d'avocats en entreprise, en dégageant un statut particulier. Mais je note que la question fait débat et que les avocats français ne sont pas tous favorables à cette notion, estimant qu'une partie du marché pourrait leur échapper - c'est un fait, il y a des différences d'approche entre le barreau de Paris et les autres. Une des solutions à l'étude serait plutôt de permettre d'instaurer un legal privilege dont les titulaires pourraient être reconnus par les autorités judiciaires américaines, sans octroyer le titre d'avocat. Ils seraient inscrits au tableau B de l'ordre des avocats.

Nous avons compris la stratégie suivie en matière de coopération internationale. Je veux évoquer les pays hors Union européenne et États-Unis. Les cybercriminels ont perçu les faiblesses du système et vont se localiser dans des pays où les règles juridiques sont moins exigeantes. Le sentiment d'impuissance à leur égard est-il réel ? Quel est l'état des coopérations que vous pouvez mettre en oeuvre avec certains pays à l'Est de l'Europe, en Afrique ou au Moyen-Orient ?

La cybercriminalité nous a déjà obligés à évoluer. Ainsi, grâce à l'adoption de la dernière loi relative à la justice, nos enquêteurs ont la possibilité d'infiltrer les réseaux. Nous avons également mis en place des parquets spécifiques gérant des dossiers spécifiques, comme celui de Pontoise qui gérera une base numérique particulière concernant les fraudes à la carte bleue, laquelle permettra une réelle efficacité. Des procédures d'enquête et des procédures judiciaires nouvelles sont donc mises en place. Dans le cadre de la proposition de loi de Mme la députée Avia relative à la cyberhaine, nous entendons mettre en oeuvre un parquet fléché sur ces questions.

Pour ma part, je ne parlerai pas d'impuissance, mais de rapidité d'adaptation. Au sein de l'Union européenne, la réactivité est réelle en raison des mécanismes de coopération extrêmement simples. Les textes relatifs à l'accès aux preuves numériques nous faciliteront la tâche.

Aujourd'hui, la sanction correspond à une amende ou une peine de prison, alors qu'il faudrait peut-être en trouver d'autres comme - pourquoi pas ? - pirater l'identité numérique de hackers. Le ministère de la justice se met-il en capacité d'inventer de nouvelles réponses pénales ?