Intervention de Jean-Noël Barrot

Nous avons eu l'occasion de discuter de l'article 10 bis A pendant les débats sur la loi de programmation militaire. Le Gouvernement a été très clair : nous voulons que les administrations se tournent vers des solutions certifiées, c'est-à-dire immunisées contre les législations extraterritoriales, pour leurs données sensibles. Mais nous ne voulons pas imposer dès aujourd'hui cette obligation aux entreprises. En effet, en parallèle de nos travaux au Parlement, parce que le Gouvernement a été poussé à établir ce cadre de protection pour les données sensibles, se mène au niveau européen une discussion très serrée pour que ce principe puisse devenir un principe européen. C'est important, parce que nos entreprises de l'infonuagique qui, depuis des mois, investissent pour obtenir la certification, le sésame délivré par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information, qui garantit l'immunité de leurs données aux législations extraterritoriales, souhaiteraient que l'on demande le même niveau de sécurité aux entreprises des autres pays européens.

Cela ne peut se produire que si nous convainquons nos partenaires européens que le critère d'immunité aux législations extraterritoriales doit faire partie du schéma volontaire de certification de cloud. Or, malheureusement, plusieurs pays européens y sont très réticents, sans doute parce qu'ils entretiennent des relations particulièrement proches avec des pays dont sont issus des acteurs dominants de ce marché. Si nous allons trop vite et que nous imposons ces solutions à un panel trop large d'organisations, nous donnons des arguments à ceux qui militent en Europe contre l'européanisation de l'immunité aux législations extraterritoriales. C'est pourquoi nous n'avons pas soutenu cette idée dans la loi de programmation militaire, non que nous y soyons réticents, puisque c'est l'une des premières qui me soit venue lorsque j'ai pris mes fonctions, mais pour faire aboutir les négociations dans le but que nos principes s'appliquent au niveau européen.

Sur l'identité numérique, il nous faut être ambitieux. Je suis très frappé de voir qu'en Inde ou en Ukraine, c'est le développement de l'identité numérique qui a permis de réduire considérablement la fracture numérique, en permettant à des centaines de millions de citoyens d'accéder à des services commerciaux et publics auxquels ils n'avaient pas accès auparavant. De ce point de vue, il me semble que, sans tomber dans la société de surveillance, le développement de l'identité numérique mérite d'être encouragé. Il ne s'agirait pas de la demander pour tous les actes de la vie courante. Par exemple, pour protéger les enfants en ligne, on pourrait ne retenir que l'un des attributs de la personne, son âge par exemple, sans dévoiler son identité.