C'est avec plaisir que je vous retrouve aujourd'hui pour la réunion de rentrée de notre commission. Cet exercice nous permet d'apporter, en commission et en séance, un éclairage européen à nos collègues. Le projet de loi visant à sécuriser et réguler l'espace numérique a été adopté en première lecture par le Sénat au mois de juillet. Il sera examiné aujourd'hui à partir de 15 heures en commission spéciale. Ce rapport pour observations me permet, en premier lieu, de revenir sur deux textes européens majeurs, la législation sur les services numériques – le DSA – et la législation sur les marchés numériques – le DMA. La France a joué un rôle important dans leur adoption, puis ils ont fait l'objet d'un accord entre les colégislateurs sous présidence française du Conseil. Le projet de loi qui nous est présenté comporte les mesures nécessaires d'adaptation du droit français au nouveau droit de l'Union – mais pas uniquement, j'y reviendrai dans mon propos.

Le DSA et le DMA marquent la volonté de l'Union Européenne de contrer la toute-puissance des grands acteurs, majoritairement extra-européens, qui dominent l'économie numérique et qui échouent – ou rechignent – à mettre un terme aux dérives en ligne de certains internautes.

Ces règlements seront-ils suffisants pour remettre de l'ordre dans le « Far West numérique » ? Il est trop tôt pour le dire avec certitude, mais force est de constater que l'Union s'est dotée des outils appropriés pour y parvenir. L'approche européenne est la bonne : privilégier une régulation ex ante et asymétrique, c'est-à-dire proportionnée à la taille des acteurs. Les très grands fournisseurs de services numériques se voient imposer des obligations et des interdictions supplémentaires.

Le DSA et le DMA entrent tout juste en application. Les acteurs concernés, qu'ils s'agissent des autorités régulatrices ou des plateformes régulées, l'ont répété à plusieurs reprises lors des auditions : ils sont concentrés sur la phase de mise en œuvre opérationnelle pour s'assurer du respect des règlements. Je suis consciente de ces exigences de court terme, d'ores et déjà perfectibles, mais elles ne doivent pas nous empêcher de voir plus loin et de dessiner de premières pistes d'amélioration. C'est le sens de ce rapport portant observations.

En premier lieu, la DSA poursuit un objectif d'apparence simple, mais ô combien complexe en pratique : rendre illégal en ligne ce qui est illégal hors ligne. Le texte oblige les fournisseurs à prendre des mesures supplémentaires pour lutter contre les contenus illicites et préjudiciables, qu'il s'agisse de la haine en ligne, de la pédopornographie ou de la désinformation.

L'architecture de mise en œuvre du DSA repose sur deux étages complémentaires.

- À l'étage du haut, la Commission européenne régule directement les très grandes plateformes et les très grands moteurs de recherche. Ces acteurs sont soumis à des obligations de diligence supplémentaires par rapport aux simples fournisseurs d'hébergement. Ils doivent par exemple engager un travail rigoureux d'évaluation et d'atténuation de quatre risques systémiques. La Commission européenne a désigné, en avril 2023, 17 plateformes et 2 moteurs de recherche comme relevant de ces catégories. Nous y retrouvons les « usual suspects », les suspects habituels comme Facebook, TikTok et X (anciennement Twitter), mais également des places de marché telles qu'Amazon et Zalando et d'autres.

- À l'étage du bas, les régulateurs des États membres gardent la main sur les fournisseurs de services numériques qui, d'une part, ont leur établissement principal sur le territoire national et qui, d'autre part, ne sont pas directement contrôlés par la Commission. Il y a une séparation des secteurs. Chaque pays devra nommer un coordinateur pour les services numériques, chargé de veiller à la bonne articulation des organismes nationaux compétents. Le projet de loi prévoit à juste titre de désigner l'Arcom, que nous avons auditionné, qui devra se coordonner avec la CNIL et la DGCCRF, responsables respectivement des volets « données personnelles » et « protection des consommateurs » du DSA.

L'une des forces du DSA réside dans sa capacité de dissuasion. Les coordinateurs nationaux et la Commission peuvent infliger des amendes à concurrence de 6 % du chiffre d'affaires mondial d'une entreprise. À titre d'exemple, X a généré un peu plus de 4 milliards de dollars l'année dernière : une amende de 240 millions de dollars ne serait pas anodine, alors que l'entreprise n'est aujourd'hui pas rentable. En cas de manquements répétés, la Commission pourra également ordonner une mesure temporaire de restriction d'accès aux services fournis par l'entreprise.

Le DSA apporte bien une contribution décisive à la lutte contre les contenus illicites, dont la haine en ligne. Une clause de réexamen figure dans le texte à l'horizon 2027. Je recommande d'engager le travail d'évaluation en amont, pour identifier les marges de progrès. Je pense notamment à la nécessité de créer un régime de responsabilité spécifique aux plateformes en ligne, pour que celles-ci ne soient plus considérées comme de simples hébergeurs. Cette exception au régime de responsabilité limitée est justifiée au regard du rôle majeur joué par les algorithmes dans le traitement de l'information.

En second lieu, le DMA vise à renforcer la contestabilité des positions dominantes acquises par les géants du numérique. Plusieurs travaux menés par notre commission lors de la précédente législature ont révélé que le droit de la concurrence traditionnel n'était pas en mesure de prévenir et de sanctionner le fonctionnement oligopolistique de ces marchés. Le texte crée le statut de « contrôleur d'accès », c'est-à-dire une entreprise de taille importante fournissant un service numérique essentiel. La Commission a désigné au début du mois une première liste de 6 contrôleurs d'accès, qui devront se conformer à leurs obligations d'ici au 6 mars 2024 : parmi celles-ci, l'interdiction pour une entreprise de privilégier ses propres services sur les produits qu'elle vend. Demain, les consommateurs européens pourront télécharger une application sur leur iPhone sans passer par l'App Store.

Le DMA est un instrument clé pour rééquilibrer les relations entre les plateformes structurantes, leurs concurrents et leurs utilisateurs. De nouveau, il me semble utile de réfléchir à des évolutions à court et moyen termes. D'abord, dans la phase de mise en œuvre qui s'ouvre, je propose que plusieurs États membres saisissent la Commission pour ouvrir une enquête de marché sur le réseau X, aujourd'hui absent de la liste des contrôleurs d'accès malgré sa taille importante et ses effets de réseau. En effet, le DMA prévoit des critères qualitatifs qui permettent de pallier la rigidité des critères quantitatifs, auxquels ne répond pas X à ce stade. C'est désormais à la Commission de s'en saisir pleinement. Ensuite, dans la future phase de réexamen, j'appelle à mieux associer les représentants de la société civile, dont les organisations de consommateurs, aux procédures d'enquête et de contrôle du DMA. La régulation des grandes plateformes doit être transparente et ouverte, au risque de se limiter à un face-à-face opaque entre le régulateur et le régulé.

Je conclurai mon intervention en m'intéressant directement aux dispositions du projet de loi SREN. Je partage pleinement les objectifs du texte, qui sont légitimes et doivent permettre à la France de se conformer à ses engagements européens. Je salue notamment la désignation future de l'Arcom comme coordinateur national pour la France. Il s'agira de l'une des premières autorités nommées en Europe, après la Commission des médias en Irlande en mars dernier.

Je souhaite toutefois signaler trois points de vigilance, qui gagneraient à être traités dans le cadre de l'examen du projet de loi et à guider nos pratiques à l'avenir.

Tout d'abord, la volonté du Gouvernement de « pré-transposer » les textes européens en cours de discussion afin d'aiguillonner les négociations me semble interrogeable et contestable. Il est important que la France fasse valoir ses intérêts, c'est tout l'objet des échanges au Conseil. En revanche, la pratique de la pré-transposition créée un risque d'incompatibilité « native » ou prématurée. À vouloir tordre le bras de ses partenaires, la France se retrouve avec le bras tordu. J'appelle à faire preuve de prudence. J'en veux pour preuve l'encadrement des crédits cloud qui figure dans le projet de loi déposé en mai, mais qui a été écarté du compromis trouvé par l'Union sur le Data Act en juin. La France n'a d'autre choix que de remanier largement ces mesures, au détriment des impératifs de qualité et de prévisibilité du droit.

Ensuite, plus gravement peut-être, certaines dispositions du projet de loi présentent un risque significatif de contrariété avec le droit de l'Union. Les représentants de la Commission nous ont alertés sur l'opportunité contestable de sur-légiférer en matière de régulation numérique, alors que le DSA et le DMA viennent d'être adoptés. Je ne partage pas nécessairement cette observation, mais je constate que des exigences a priori simples et prévues par ces textes ne sont pas respectées par le projet de loi. Le Gouvernement propose par exemple de nommer la DGCCRF parmi les autorités nationales compétentes, alors même que le considérant 112 du DSA précise que les entités désignées doivent « agir en toute indépendance » et ne pas « recevoir d'instructions, y compris du Gouvernement ». Vous en conviendrez, la DGGCRF est un service de Bercy relevant de l'autorité de son ministre de tutelle.

Enfin, j'appelle à renforcer la dynamique convergente des droits français et européen. La lutte contre les appels à la violence sur les réseaux sociaux est l'une des politiques propices à ce travail. Le projet de loi SREN a été débattu au Sénat dans le contexte des émeutes consécutives à la mort dramatique d'un adolescent. Un amendement y a ainsi été déposé pour permettre à l'autorité administrative de formuler une injonction de retrait de contenu sur les réseaux sociaux. Le Gouvernement a obtenu le retrait de cet amendement et mis en place un groupe de travail transpartisan, auquel j'ai participé, pour affiner ces questions.

Sans préjuger des propositions qui seront formulées par nos collègues, il me semble indispensable de rappeler que le DSA renforce nos moyens d'action pour lutter contre les contenus illicites, dont l'incitation à la haine et à la violence. Le texte fixe notamment des règles harmonisées pour améliorer l'efficacité des mécanismes « de signalement et de retrait » des plateformes.

La Commission doit encore davantage accompagner les États membres sur le sujet, c'est d'ailleurs ce que nous proposons à la fin du rapport. Je soutiens la démarche de la France, qui a demandé des clarifications sur le statut de certains services de messagerie proposant des canaux de discussion ouverts, tels que Telegram. Ces hébergeurs ont joué un rôle propagateur lors des émeutes de l'État. Ils pourraient être qualifiés de très grandes plateformes et donc être soumis à des obligations de diligence supplémentaires.

Enfin, j'ai exprimé dans le projet de rapport le regret que la négociation et l'adoption de textes européens aussi structurants pour l'avenir de nos concitoyens se déroulent à l'écart des parlements nationaux. Certes, la procédure européenne y a sa part. Mais dans d'autres États, comme l'Allemagne, les échanges entre Gouvernement et Parlement sur d'importants sujets sont débattus plus ouvertement et les propositions plus partagées entre institutions. Une observation de même type pourra être faite dans le cadre de nos réflexions sur l'évolution des règles budgétaires européennes.

Voilà, brièvement, les quelques réflexions que je souhaitais partager avec vous à ce stade avant l'ouverture de l'examen du texte en commission spéciale. Je me réjouis que nous puissions débattre ensemble des enjeux de régulation numérique, près d'un an après l'adoption formelle du DSA et du DMA. Il me semble essentiel de pouvoir poursuivre l'évolution de ces textes et leur application dans les différents État, y compris chez nous.

Je vous remercie de votre attention.

Merci pour cette présentation et ce travail extrêmement complet qui a été réalisé dans un temps contraint. Je passe la parole aux orateurs de groupe.

Je tiens à souligner la qualité du travail de Mme la rapporteure sur ce projet de loi qui est ô combien important et ô combien attendu. Ce projet de loi est effectivement important puisqu'il nous permet, à nous parlementaires, de nous emparer pleinement de la sécurisation de l'espace numérique. L'enjeu est de mieux protéger nos concitoyens, nos entreprises, nos enfants et notre démocratie. Ce projet de loi est attendu parce qu'il vient enfin retranscrire dans le droit français, des décisions prises collectivement à l'échelle européenne durant la présidence française du Conseil de l'Union Européenne avec un engagement important du président Emmanuel Macron. Le DSA et le DMA visent avant tout à protéger les Européens lorsqu'ils sont sur internet et à construire un marché unique dans lequel on donne aux entreprises locales, l'opportunité d'être compétitives. Je tiens à souligner qu'il est indispensable que ces deux règlements soient mis en œuvre de façon homogène sur l'ensemble du territoire européen. Le temps de préparation de l'examen de ce texte a été extrêmement contraint et je regrette que peu d'entreprises, ni aucun représentant des usagers, n'aient été auditionnés. Le sujet numérique étant un sujet porté à l'échelle européenne, peut-être que notre commission pourrait mettre en place de façon transpartisane, une veille sur ces sujets.

Ce rapport d'information soulève de nombreux enjeux juridiques et sociétaux liés à l'omniprésence du numérique dans la vie de chacun. J'aimerais revenir sur quelques points précis, afin que la position du Gouvernement et de la majorité puisse être clarifiée.

Tout d'abord, la question du respect de leurs engagements par les grandes plateformes en ligne, également appelées Very large online platforms (VLOP), est à la racine du projet de loi. La troisième proposition du rapport suggère de procéder à un échange annuel de bonnes pratiques sur les obligations spécifiques des grandes plateformes. Je me demande ce que prévoit exactement le Gouvernement pour garantir la force contraignante de ces bonnes pratiques à l'échelle de l'Union européenne, et pour éviter de créer de nouvelles normes de droit mou sans application concrète.

Plus généralement, l'ordre public numérique dépend de l'effectivité de la réglementation et des sanctions à ses manquements. Il convient d'y porter une attention particulière, et je souhaiterais ainsi obtenir des précisions sur la septième proposition du rapport, tendant à la création d'une autorité administrative indépendante chargée de la protection des consommateurs. Dans la mesure où il existe déjà 17 autorités administratives indépendantes et 7 autorités publiques indépendantes, ne serait-il pas préférable de créer au sein d'une autorité existante un service dédié à la protection des consommateurs ?

Je reste également perplexe quant aux risques de non-conformité avec le droit de l'Union – et plus précisément avec le DSA – que vous soulignez à la page 45 du rapport. Puisque la DGCCRF est rattachée au ministère de l'Économie et des Finances, et que les conditions de son indépendance ne sont pas garanties, d'autres autorités telles que l'Arcom ou la Commission nationale de l'informatique et des libertés (CNIL) devraient pouvoir travailler conjointement sur la protection des consommateurs dans le cadre d'un service inter-administratif. Si le corps de votre rapport envisage un temps de confier cette mission à l'Arcom, votre septième proposition consiste pourtant en la création d'une nouvelle autorité. S'agit-il de la solution la plus pertinente pour protéger les droits des consommateurs face à l'ampleur des risques auxquels ils sont confrontés ?

Ce rapport apporte des compléments instructifs sur les enjeux relatifs à la législation européenne. Je concentrerai mon propos sur la deuxième partie de votre rapport, dans laquelle vous vous inquiétez de la conformité du projet de loi SREN au regard du droit européen. Si certaines de vos recommandations sont pertinentes, quoiqu'un peu timides à mon goût, certaines autres préconisations ne me conviennent absolument pas.

Vous écrivez dans votre rapport que le Gouvernement veut jouer un rôle d'aiguillon avec le projet de loi SREN, en anticipant la réglementation européenne du Data Act. Par exemple, l'article 7 du projet de loi prévoit un encadrement national et spécifique à l'octroi de crédits cloud. Au-delà des risques de contrariété, cette régulation est nécessaire pour protéger notre souveraineté et nos entreprises face, notamment, à l'oligopole des géants américains.

Sur le fond, nous estimons justement qu'il faudrait aller plus loin, en plafonnant les montants des crédits cloud et en étendant la régulation aux particuliers et aux entités publiques. Au sein de la NUPES, nous assumons de vouloir désobéir au droit de l'Union européenne lorsque nos positions vont vers un mieux-disant social et environnemental. Le projet de loi SREN traduit l'impasse dans laquelle se trouve le Gouvernement : qu'adviendra-t-il de l'article 7 du projet de loi SREN si le Data Act se révèle effectivement moins ambitieux ? Il y a fort à parier que cet article serait vidé de sa substance, au milieu des débats parlementaires. L'article 7 n'aura alors été qu'un coup d'épée dans l'eau, une nouvelle opération de communication pour se cacher derrière les décisions de Bruxelles.

Comme vous le rappelez, nous sommes confrontés à la même incertitude pour tous les articles notifiés à la Commission européenne. Le Gouvernement ayant choisi d'engager la procédure accélérée, nous ne recevrons l'avis de la Commission qu'à l'issue des débats parlementaires.

L'efficacité et la proportionnalité des dispositifs souffrent d'un manque de vision. Si le contrôle de l'âge pour l'accès aux sites pornographiques constitue un objectif légitime, les obstacles techniques au déploiement d'un tel dispositif ont conduit le Royaume-Uni et l'Australie à y renoncer. Les dispositions du projet de loi relèvent du « solutionnisme » technologique, au détriment des politiques d'éducation et de prévention, pourtant indispensables.

Dans ce nouveau champ de liberté qu'est le numérique, la loi doit protéger, en particulier les plus vulnérables. Dans cet espace sans frontière, l'action du législateur français seul placerait la France dans une situation d'isolement, voire d'impuissance.

À ce titre, le groupe Horizons et Apparentés salue l'adoption des différents règlements européens, en partie transposés au sein du projet de loi sur le numérique que nous examinerons prochainement.

Ces règlements européens traduisent la puissante volonté de faire de l'Union européenne une terre souveraine en matière numérique, et protectrice des dangers auxquels nos concitoyens sont trop régulièrement exposés. Votre rapport se concentre tout particulièrement sur les règlements DMA et DSA, permettant respectivement d'encadrer les activités économiques des grandes plateformes et de s'attaquer aux contenus et produits illicites en ligne. Un régime de responsabilité est mis en place pour les hébergeurs et les plateformes de contenus. Ces derniers peuvent bénéficier d'une exonération de responsabilité si, dès qu'ils ont connaissance d'une activité ou d'un contenu illégal, ils agissent promptement pour retirer ce contenu et y rendre l'accès impossible.

Vous proposez dans votre rapport d'intégrer la transparence et la neutralité algorithmiques parmi les conditions d'exonération de responsabilité. Je pense que nous pourrions aller plus loin. Si la responsabilité des plateformes de contenus est une chose, il faut aussi rappeler la responsabilité individuelle. Il existe aujourd'hui des initiatives, telles que France Identité ou FranceConnect, qui permettent une meilleure identification des utilisateurs et facilitent leur connexion aux services régaliens. Ne pourrait-on pas imaginer une exonération de responsabilité pour les plateformes et hébergeurs obligeant une identification de l'utilisateur via ces systèmes agrégés ? Ces plateformes seraient alors déchargées d'un contrôle systématique et coûteux vis-à-vis de contenus dont l'origine serait facilement identifiable, et ceci permettrait in fine de protéger la liberté d'expression des utilisateurs.

La transposition en droit français des directives européennes et la sécurisation de l'espace numérique sont d'intérêt général. J'apporte donc mon soutien au travail de la rapporteure, qui participe à ces objectifs.

J'aurais trois questions. La première est relative au risque de sur-légiférer. En France, nous nous attachons désormais à ne plus procéder à des sur-transpositions. Pourriez-vous nous donner votre point de vue politique à ce sujet ?

Ensuite, pourriez-vous expliciter votre cinquième recommandation, tendant à établir, à droit constant, une doctrine consistant à faciliter l'ouverture d'enquêtes de marché à la demande des États membres ? En particulier, cette proposition est-elle cantonnée au domaine du numérique, ou pourrait-elle être élargie à l'ensemble de l'économie ? On pense notamment, en matière d'industrie, au sujet des véhicules électriques chinois.

Enfin, j'émets des réserves sur votre septième recommandation, consistant à créer une nouvelle autorité administrative indépendante, alors que leur nombre est sans doute déjà trop élevé. De plus, cette préconisation se rapporte à la protection des consommateurs au sens large, et pourrait être vue comme cavalière.

Je me joins à la suggestion de notre collègue Denis Masséglia, pour que notre commission assure une veille beaucoup plus régulière de l'ensemble des travaux européens menés dans le domaine du numérique, au sens large.

Sous la mandature précédente, au sein de la commission des Affaires européennes, Christine Hennion avait présenté un travail passionnant sur le DMA. J'avais également eu l'honneur, avec ma collègue Aude Bono-Vandorme, de produire un rapport sur le DSA.

Par ailleurs, une future législation européenne sur l'intelligence artificielle est en cours de discussion. J'aurai l'occasion de présenter une communication devant cette commission, sur ce sujet aux enjeux considérables et que l'Union essaie de réguler.

Je vous remercie pour vos interventions, qui traduisent l'intérêt transpartisan que nous portons sur le sujet du numérique, et sur la manière d'associer les Parlements nationaux aux réflexions menées par les exécutifs et à l'échelle européenne.

Pour répondre à Sophia Chikirou, le DSA étant un règlement, il est directement applicable et prime sur le droit interne comme les autres normes du droit de l'Union. Ensuite, les expériences au Royaume-Uni et en l'Australie ont été évoquées au cours des auditions de même que les difficultés à appliquer les dispositifs de contrôle de l'âge : la France échange avec ces pays afin d'en tirer tous les enseignements.

Je rejoins la demande formulée par Denis Masséglia, tendant à mener un travail de veille sur les sujets du numérique. Par ailleurs, l'ensemble des travaux parlementaires réalisés au cours de la législature ont été convoqués à l'appui de ce rapport. Il est en effet important de s'inscrire dans la continuité des travaux précédents, sans renoncer à une approche critique. En outre, notre commission a désigné des référents chargés du secteur numérique. Nous pourrons donc dans les prochains mois et années surveiller la bonne application du texte. Lors des auditions, la pertinence d'un espace de dialogue pour repérer les limites des législations européennes relatives au numérique, et identifier les dispositions inégalement appliquées dans les États membres, a été soulevée.

Ensuite, la septième recommandation ne saurait être qualifiée de « cavalière ». Si la création d'une autorité autonome indépendante peut être une solution, je précise bien dans mon rapport que l'Arcom peut aussi se saisir de cette compétence.

Concernant la DGCCRF, j'insiste sur l'absence d'autonomie et d'indépendance de ce service, qui est directement lié au Ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique. Il nous faut travailler à trouver un système permettant une plus grande indépendance des autorités compétentes, système qui pourrait passer par l'ARCOM. Je pense que des débats sur cette question auront lieu dans l'hémicycle à l'avenir.

Pour répondre à Monsieur Masseglia concernant les auditions, nous avons effectivement essayé d'intégrer la perception des usagers dans le rapport. Ainsi avons-nous auditionné l'UFC que choisir lors d'une table ronde, qui nous a apporté des éléments que je considère incomplets. Nous avons aussi sollicité le Bureau Européen des Unions de Consommateurs (BEUC), qui réunit de nombreux acteurs représentant les usagers et les consommateurs. Ils n'ont malheureusement pas donné suite, du fait des délais très courts dont nous disposions.

Je partage la remarque de Monsieur Alfandari qui propose une utilisation des outils comme FranceConnect. Il me semble qu'il pourrait être mis en place un certain nombre d'expérimentations pour définir la meilleure manière dont ces outils pourraient être utilisés, toujours dans le respect du droit européen. Cette option me paraît envisageable au regard des réflexions menées par le passé, notamment relatives à l'Identité Numérique.

Concernant le choix d'auditionner l'entreprise X, il résulte de notre souhait de ne pas répéter des auditions déjà menées par la commission spécifique. Aussi, le choix de l'audition de X a été motivé par le positionnement de l'entreprise, ses difficultés économiques et son rapport à un certain nombre de réglementations, dont elle s'est retirée.

Merci beaucoup Madame la rapporteure.