Intervention de Marie-France Lorho

Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission des lois, monsieur le rapporteur, il est bien évident qu'un problème de méthode se pose. Le simple titre du projet de loi nous gêne, comme il gêne les Français, au point que la commission des lois s'est emparée du sujet pour réfléchir à la surtransposition. Il n'y a pas lieu d'en débattre à présent, mais vous aurez compris notre malaise.

Dans le domaine de la sécurité, le bilan de l'Union européenne est des plus contestables : accords diplomatiques boiteux avec la Turquie, abandon des frontières à des agences sans stratégie ni moyens, dissymétrie foncière concernant la volonté des États membres en matière de protection, chape de plomb moralisante sur les discours de protection.

Mais ne nous arrêtons pas là : la noria de groupes d'intérêts, légalement enregistrés à Bruxelles, montre bien que la conception des responsabilités partagées entre les acteurs du traitement et de la gestion des données est tout, sauf équilibrée. En un mot, entre la volonté des « GAFA » – Google, Apple, Facebook, Amazon – et une directive européenne, il existe une inégalité constitutive de puissance qui n'est pour le moins pas à notre avantage.

Nous devons faire des détours par l'environnement général pour comprendre l'enjeu du texte, un enjeu qui nous dépasse de loin. La dernière réunion de Davos en témoigne : dans un univers où les États-Unis et la Chine mènent une bataille numérique et économique sous le regard du monde entier, la civilisation européenne est désormais hors-jeu.

Angela Merkel ne sut même pas réagir quand elle apprit que la NSA espionnait les réunions officielles allemandes. De même, je peine à entendre les réactions internationales concernant l'espionnage de l'Union africaine par la Chine. Rappelons par ailleurs que la première décision des coalitions internationales pour s'octroyer l'amitié des dirigeants de certaines régions consiste en l'octroi de parts dans les entreprises de télécommunication et de fournitures de réseau internet.

Une concertation au seul niveau européen présenterait deux dangers majeurs pour notre pays : il n'est pas certain que la France ait le même intérêt que ses voisins à ce sujet et il n'est pas certain que les adversaires ou les concurrents de la France n'utilisent des pays membres pour influencer la concurrence internationale.

Cela étant, il importe d'analyser la structure du texte. La surprise est importante. Si la volonté était de prendre des mesures fortes pour accroître notre sécurité, il aurait fallu nous présenter un texte concis, composé de quelques articles seulement, concentrés sur les enjeux fondamentaux. Pour réguler l'influence des moteurs de recherche et des bases de données, il ne faut pas se détourner de l'objectif.

Que constatons-nous à la place ? Une accumulation de parties qui lient Galileo, les armes de catégorie D et le contrôle de la protection des données.

Il conviendrait ensuite de donner le cadre précis d'application de cette loi. En effet, la protection des données est coûteuse. Elle fait l'objet d'un marché mondialisé des talents, des logiciels, des intérêts, alors que des pépites françaises peuvent avoir besoin d'être protégées ou des grands groupes alertés. Cette précision, ces adaptations, le texte ne les prévoit pas.

Citons, à cet égard, l'article 1er : « La sécurité des réseaux et systèmes d'information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles. »

De deux choses l'une : soit l'on présente de vagues principes à la représentation nationale, laissant à la discrétion des ministères la rédaction de décrets donnant une force réelle à ces sujets, soit la précision nécessaire à l'immense variété des situations et des réponses possibles n'est pas apportée, ce qui pose problème.

Par ailleurs, à l'article 3, le législateur souhaite encadrer les devoirs des prestataires de services. Il serait difficile de le lui reprocher, mais le manque de précision nous conduit à la même question, dès lors que ces prestataires sont aussi des acteurs du monde du renseignement. Comment encadrer ? Quelles en seraient les conséquences pour nos propres services ? Les services de l'État sont-ils vraiment capables de poursuivre efficacement ceux qui manqueraient à leurs obligations ?

La guerre de l'information et pour la maîtrise du monde numérique est un fait des puissances. Elle résulte de l'accumulation des forces d'un État, aussi bien les forces morales, intellectuelles, économiques qu'institutionnelles. Nous connaissons les experts en la matière : les États-Unis, où l'imbrication du privé et du public au service de la nation américaine est ancienne. Une telle imbrication peut-elle fonctionner en France ? Peut-elle d'ailleurs se faire dans la certitude des intérêts strictement ordonnés au bien commun ?

En France, les fournisseurs de services numériques ont depuis longtemps élargi le cercle de leurs intérêts. Ils vadrouillent dans l'information, les médias, la collecte de données sur leurs usagers. Ils altèrent la perception publique de l'information et des enjeux. Comment s'assurer, dès lors, que les articles 10 à 15 seront réellement appliqués ? D'ailleurs, les amendes prévues à l'article 15 peuvent-elles vraiment les impressionner ? Je peine à le croire.