Données personnelles

Retrouvez ci-dessous mon intervention prononcée hier matin dans l’hémicycle dans le cadre du débat sur la protection des données personnelles :

« Monsieur le Président,
 Monsieur le Ministre,
 Mes chers collègues,

 « L’Union européenne, colonie du monde numérique ? » : ce titre volontairement provocateur est celui que j’ai retenu pour le rapport que j’ai présenté au Sénat en mars dernier, et dont sa commission des affaires européennes a bien voulu autoriser la publication. Oui, la colonisation numérique de l’Europe est en marche et j’ai souhaité contribuer à une prise de conscience politique et à un sursaut français et européen.

L’approche européenne du numérique manque d’envergure politique : qui se soucie de savoir si l’Union européenne sera consommatrice ou productrice sur le marché unique numérique ? Qui s’inquiète de la perte de souveraineté de l’Union européenne sur ses données ? C’est dans ce souci qu’à mon initiative, la commission des affaires européennes du Sénat a adressé en juin dernier un avis politique à la Commission européenne, fondé sur les conclusions de mon rapport. Et de ses 30 propositions .

La Commission a eu l’amabilité d’y répondre courant septembre : elle énumère tous les projets législatifs en cours qui peuvent contribuer à la croissance numérique de l’Europe mais sa réponse n’est pas à la hauteur de l’enjeu stratégique, je dirais même l’enjeu de civilisation qui se joue derrière le numérique. Car on le voit , le réseau intégré progressivement mais très rapidement l’ensemble de nos activités économiques, culturelles et sociales.

Mais je note les questions que j’ai soulevées font leur chemin, et je m’en félicite : pour la première fois, le Conseil européen va, la semaine prochaine, consacrer le premier point de son ordre du jour au numérique.

Je sais aussi que le Premier Ministre a mené cette semaine une réunion interministérielle sur ce sujet. La commission des affaires européennes de l’Assemblée nationale vient également de publier un rapport appelant à une stratégie européenne concrète en matière numérique. En annexe de ce rapport, figure la contribution française au Conseil européen des 24 et 25 octobre. Je me suis réjouie à sa lecture : j’y ai en effet retrouvé beaucoup de mes préconisations du printemps. Je cite : « L’Europe ne doit pas devenir un simple espace de consommation de services numériques développés ailleurs (…) ; elle doit veiller au renforcement de son autonomie stratégique dans ce domaine ». L’heure du sursaut semble donc enfin  arrivée en France : elle doit maintenant sonner au niveau européen.

En effet, et c’est le point qui nous occupe aujourd’hui, la souveraineté de l’Union Européenne sur les données qu’elle produit en ligne se trouve menacée. Les révélations sur le programme PRISM déployé par l’Agence de sécurité américaine, avec la contribution des géants du net, n’ont été pour moi qu’une demi-surprise : mon rapport insistait déjà largement sur cette perte de maîtrise par les Européens de leurs données. Pourtant, la maîtrise des données est un enjeu considérable, qui concerne aussi bien la protection de la vie privée que le potentiel économique représenté par ces données.

Bien sûr, l’adoption du nouveau règlement européen harmonisant les législations en la matière permettra d’accroître l’efficacité de la protection des données. Au vu de la résistance affichée par Google, qui refuse d’effectuer les modifications demandées par la CNIL dont je tenais au passage à saluer l’excellent travail, et ne semble pas craindre les sanctions prévues par la loi « informatique et liberté », on ne peut qu’espérer une adoption rapide du texte européen. Son application devrait être sanctionnée par des amendes pouvant atteindre 2 % du chiffre d’affaires mondial : de quoi ramener les frondeurs à la raison, sans doute ! Malgré tout, je m’interroge sur la possibilité pour l’Union européenne de maîtriser de manière effective les données de ses citoyens. À double titre.

Ma première réserve quant à l’efficacité des textes sur la protection des données, ce sont les menaces croissantes d’espionnage via les éléments physiques des réseaux. Les textes n’y pourront rien changer. Nous devons donc développer les capacités de cyber défense des États membres et renforcer les obligations des opérateurs d’importance vitale en matière de sécurisation informatique. Je me félicite de la proposition législative de la Commission européenne en la matière : la Commission semble désormais convaincue de l’importance du sujet, mais a-t-elle mesuré que cela impliquait que l’UE dispose d’une base industrielle pérenne en matière de cybersécurité et d’équipements de confiance ? Cela suppose donc la mise œuvre par l’Union européenne d’une véritable politique industrielle dans ce domaine. Nous en sommes encore loin … A plus court terme, je propose donc que l’Union européenne conditionne l’achat d’équipements hautement stratégiques, comme les routeurs de cœur de réseaux, à leur labellisation par une autorité publique de sécurité : ceci vise à nous prémunir contre l’espionnage par les pays fournisseurs. L’on pourrait aussi inclure dans le périmètre des marchés de sécurité l’achat d’équipements numériques hautement stratégiques, pour pouvoir leur appliquer la préférence communautaire, qui est déjà implicitement reconnue par les règles européennes pour les marchés de défense et de sécurité.

Deuxième réserve : comment le nouveau texte européen pourrait-il assurer la maîtrise des données européennes face au développement des services en nuage, qui va mettre toujours plus de données européennes entre les mains des fournisseurs de cloud computing ? Le cloud computing rend accessible à distance un réservoir de données et de services : c’est une opportunité, surtout pour les PME qui peuvent ainsi profiter à la carte de facilités informatiques sans avoir à consentir d’investissements considérables. Or ces prestataires de services en nuage sont le plus souvent américains. Monsieur le Ministre, votre collègue, M. Arnaud Montebourg, se trompe quand il déclare que la solution, c’est que toute donnée collectée en Europe soit stockée et traitée en Europe !

Je ne peux pas croire que M. Montebourg ignore les services en nuage et les bénéfices que peuvent en retirer nos entreprises. Peut-être alors a-t-il en tête l’idée qu’il faudrait garder sur le territoire européen les serveurs de cloud hébergeant les données des européens ; mais connaît-il le caractère extraterritorial des lois américaines (Patriot act et FISA) qui permettent aux autorités américaines d’accéder aux données européennes même localisées sur notre territoire, du moment qu’elles sont traitées par des entreprises relevant de la juridiction américaine ? En clair, dès lors qu’ils relèvent du droit américain, les fournisseurs de services de cloud sont tenus de satisfaire aux requêtes de l’administration ou du juge américains, y compris si cela signifie entrer en infraction avec les lois européennes auxquelles ils sont également soumis du fait de leurs activités sur le territoire européen.

La solution, c’est plutôt d’encourager l’émergence d’un cloud européen. Et, plutôt qu’un monopole public, il faut soutenir l’émergence d’acteurs privés de cloud, notamment en soutenant leur croissance par l’achat public. L’Union européenne entend s’appuyer sur l’achat public pour promouvoir une offre commerciale d’informatique en nuage en Europe adaptée aux besoins européens. Ce qui m’alarme, c’est qu’une fois de plus, son objectif est de stimuler l’usage européen du cloud mais non pas nécessairement les fournisseurs européens de services de cloud. Le stockage à distance des données est d’autant plus préoccupant que se développe l’internet des objets, qui fera communiquer entre eux les objets via les puces RFID de notre quotidien : cela va multiplier les données et donc renforcer l’importance de leur maîtrise.

En attendant l’émergence d’un cloud européen, l’UE doit absolument  négocier un accord transatlantique, à côté du partenariat commercial dont la négociation est ouverte : l’UE doit pouvoir interdire le transfert de données hors de son territoire, sur requête d’une autorité d’un pays tiers, sauf autorisation expresse. Seul un accord avec les États-Unis protègerait les données des Européens d’une manière conforme à la Charte européenne des droits fondamentaux.

La protection des données exige donc une mobilisation politique de l’Union européenne au plus haut niveau. Elle soulève des enjeux de souveraineté qui en font une question absolument stratégique. L’Union doit en faire une priorité politique. Et notre pays doit être beaucoup plus pro actif sur le sujet, l’opportunité d’une plus grande implication de l’UE dans la gouvernance de l’Internet mondial s’ouvre justement aujourd’hui, suite aux révélations d’Edward Snowden sur l’espionnage d’internet par les États-Unis : pas plus tard que la semaine dernière, le 7 octobre exactement, les grands organismes de régulation de l’Internet réunis à Montevideo – parmi lesquels l’ICANN, association américaine qui gère le système les noms de domaine pour le web mondial – ont pris leur distance avec la mainmise américaine sur la gouvernance actuelle de l’internet.Rappelons que le système de gestion des noms de domaine reste aujourd’hui directement controlé par le département du commerce Americain. Vous vous doutez bien que ce pouvoir de contrôle est crucial et permet d’effacer de la carte d’Internet les ressources de pays entiers.

Pour les États Unis le contrôle de cette ressource devenue aussi fondamentale que l’eau, que l’énergie, reste un enjeu majeur tant en termes de souveraineté qu’en termes de développement des industries américaines mais il leur est difficile aujourd’hui, au lendemain de l’affaire Snowdown de maintenir le statut quo.

Nous sommes à un tournant fondamental dans l’histoire du numérique. Il faut que l’Union profite de ce qui vient de se passer à Montevideo pour, comme l’a tout récemment demandé la présidente du Brésil Dilma Rousseff, réclamer une gestion multilatérale du DSN. Il faut que la supervision des fonctions critiques de l’ICANN soit confiée à une structure multilatérale collégiale .A l’Union Européenne d’entrer dans le jeu et, aux côtés des États-Unis, de construire une gouvernance de l’internet fondée sur des principes démocratiques.

Je vous remercie de votre attention. »

Seul le prononcé fait foi.

Partager CE CONTENU

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin
Partager sur pinterest
Partager sur print
Partager sur email