Mes chers collègues, le marché unique du numérique constitue l'une des priorités majeure de la présidence estonienne. Il s'agit également pour la France d'une priorité de premier ordre. Je souhaite que la question du numérique imprègne l'ensemble de nos travaux dans une logique prospective. La révolution numérique modifie de fond en comble les manières de penser, de communiquer, de produire. Notre plus grand défi est de penser le monde qui vient et d'anticiper les innovations de rupture que sont la transformation numérique et l'intelligence artificielle. Si elle a manqué la première révolution numérique au profit de compagnies presque exclusivement américaines et asiatiques, l'Europe doit se positionner à l'avant-garde des innovations technologiques. Plutôt que de subir ces transformations, impassibles, nous devons affirmer un « modèle européen » qui nous soit propre. Notre diversité de perceptions, de cultures et d'approches doit être mise au profit d'une Europe de l'innovation. L'interculturalité doit constituer un vecteur d'innovation et de progrès, afin de nous permettre d'être à l'avant-garde de la révolution numérique. Je vous rappelle qu'une Conférence sur ce sujet sera organisée à l'Hôtel de Lassay demain de 14 h 30 à 18 h 30 en présence du Vice-président de la Commission européenne en charge du numérique, M. Ansip, et du secrétaire d'État chargé du numérique, M. Mahjoubi, ainsi que de représentants de la société civile et d'entrepreneurs du numérique. Nos deux co-rapporteurs y présenteront leurs travaux. Vous y êtes les bienvenus.

Je passe la parole à M. Éric Bothorel et à Mme Constance Le Grip pour présenter leur rapport, ainsi que leur proposition de résolution.

Nous avons le plaisir de vous présenter le fruit de notre travail commun sur le marché unique du numérique. La proposition de résolution européenne qui vous est soumise aujourd'hui traite du marché unique du numérique. Il s'agit en effet d'un effort de longue date que mène la Commission Juncker, qui avait fait du numérique l'un des dix grands chantiers de la période 2014-2019. L'objectif de la Commission était de libérer le potentiel de croissance, de recherche, d'intelligence collective de l'Union européenne en la matière et de faire de l'Union européenne un champion du numérique. Nous avons souhaité, avec M. Bothorel, vous rendre compte de l'avancée des travaux au sein des institutions européennes, sur les différents aspects de la législation européenne en cours d'élaboration. Sous la précédente mandature, la Commission des affaires européennes de l'Assemblée nationale avait déjà eu l'occasion de traiter des aspects essentiels de la révolution numérique en cours et de ses incidences sur un certain nombre de politiques publiques. Devant l'ampleur de la tâche, nous avons souhaité nous concentrer sur quatre aspects saillants de l'ensemble de la stratégie de la Commission européenne en vue de l'établissement d'un marché unique du numérique. Nous voulons apporter des éléments d'information que nous espérons nouveaux et surtout utiles dans la perspective des travaux que nous serons amenés à mener au sein de l'Assemblée nationale.

La plus grande partie de cet effort a d'abord été réservée à la suppression des obstacles nationaux, réglementaires ou techniques, dont il était estimé qu'ils contrevenaient au bon fonctionnement du marché intérieur dans le secteur du numérique. La Commission européenne a pris conscience d'un ensemble de facteurs, tels que le poids des plateformes dans l'économie actuelle, qui confine parfois à la formation de monopoles, ou la capacité des entreprises numériques, en vertu de la légèreté de leurs structures, à profiter des écarts en matière d'impôt sur les sociétés entre les différents États membres. À côté des efforts pour aplanir les obstacles à la création d'un véritable marché européen du numérique est apparue la nécessité d'avoir une activité régulatrice pour accompagner et si possible prévenir un certain nombre de ces phénomènes mondiaux, auxquels je fais référence. Il s'agit de garantir des libertés fondamentales, telles que la protection de la vie privée, la protection des données personnelles et du caractère privé des correspondances. Cette activité de régulation s'est ajoutée à la suppression des obstacles nationaux à la réalisation du marché intérieur.

Ce double prisme ressort des textes que nous avons examinés au cours de cette mission, pendant laquelle nous avons eu l'occasion de prendre en compte les avis de nombreux acteurs privés et publics, à Paris comme à Bruxelles. Nous nous sommes penchés sur la proposition de règlement relative à la libre circulation des données non-personnelles (ou Free flow of Data). C'est un élément de législation très important, actuellement en cours d'examen au sein des instances européennes. Nous allons également – et c'est sur ces sujets que nous avons bâti nos propositions au sein de la résolution européenne – aborder la question de l'encadrement des données personnelles. Le troisième sujet que nous traitons est essentiel, d'une importance vitale pour nos économies et nos modèles de société : la cybersécurité pour les services numériques sur le continent européen et les échanges entre acteurs numériques sur le continent. Dernier axe de travail : l'initiative de la France et d'autres pays de l'Union européenne pour une fiscalité numérique juste.

Le projet de règlement sur la libre circulation des données non-personnelles est le premier objet dont nous nous sommes emparés. Quand on parle de marché européen du numérique, on pense assez rapidement à la libre circulation. C'est en effet avec la suppression d'obstacles nationaux injustifiés que les entreprises européennes peuvent disposer d'un ensemble de données propice à leur croissance, permettant de soutenir la concurrence féroce des entreprises américaines et chinoises. Nous avons besoin que la croissance d'un certain nombre de nos petits, moyens et grands acteurs économiques puisse se faire en disposant d'ensembles de données pertinents, importants, ainsi que des algorithmes adéquats. Il faut parachever le dispositif européen, en mesure tous les tenants et aboutissants avant que de songer à intégrer les données non-personnelles au sein des accords commerciaux avec d'autres zones du monde actuellement en projet.

Nous avons dû travailler un champ extrêmement vaste, à des fins de réalisation du rapport et de la proposition de résolution qui vous est soumise. Nous avons assumé des choix. Certains regretteront peut-être que nous ne soyons pas allés assez loin sur le droit d'auteur, d'autres nous reprocheront de ne pas avoir traité tel ou tel sujet. Compte tenu du nombre de personnes à auditionner pour aboutir à une position équilibrée entre sécurité et libertés individuelles, les propositions que nous formulons ce soir sont en droite ligne avec l'intention première qu'il faut rappeler : la nécessité de faire émerger le marché unique du numérique. Celui-ci permettrait de faire naître des acteurs européens de premier plan dans le monde du numérique.

Cette libre circulation doit notamment se traduire par une obligation aussi faible que possible de localiser les données dans des data center nationaux, sinon pour des raisons légitimes de sécurité nationale. Certains ont peut-être à l'esprit l'initiative française du cloud souverain, elle s'est traduite par des difficultés pour un certain nombre de directeurs de systèmes d'information, pour maintenir les données sur le territoire français.

À l'inverse, l'Allemagne vient de tenter une expérimentation avec un duo entre Deutsche Telekom et Microsoft pour l'hébergement de données en Allemagne et l'encapsulation de ces mêmes données rendues inaccessibles par ces deux entreprises. On le voit, les questions de libre circulation des données et de leur localisation ne doivent pas répondre au seul critère de la géographie, mais aussi à des dimensions technologiques et techniques. L'économie des nuages, en particulier, se soumet aussi peu aux frontières nationales que les nuages eux-mêmes, physiques ou numériques. En contrepoint, toutefois, les autorités nationales doivent pouvoir, par le biais d'une collaboration efficace, avoir accès aux données non-personnelles à tout moment, dès lors que cet accès est justifié par un intérêt public suffisant. De la même manière, les internautes doivent pouvoir bénéficier de cette libre circulation des données afin de récupérer les données générées par l'utilisation d'un service et les transférer facilement auprès d'autres prestataires. On a vu là aussi des initiatives nationales sur la portabilité des données et la possibilité de changer d'opérateur de manière totalement transparente. La proposition de règlement destinée à protéger les données personnelles échangées par le biais des télécommunications, dite « ePrivacy », constitue, quant à elle, ce que l'on pourrait appeler une lex specialis de l'ensemble plus large que constitue le Règlement Général de Protection des Données, ou RGPD. Celui-ci doit garantir le niveau le plus élevé au monde de protection des données personnelles dans tous les secteurs. Nos entretiens nous ont toutefois amenés à faire les constats suivants :

- la conformité au RGPD réclame de la part de nombreuses entreprises, mais aussi de collectivités publiques, un effort d'adaptation, qui n'est encore que trop rarement effectif. Or, l'application du RGPD est prévue au 25 mai 2018 : cette conformité s'avère naturellement plus difficile pour les petites entreprises que pour les grandes, qui ont à la fois la force de frappe juridique et le personnel formé pour mettre en oeuvre ces adaptations. Il va sans dire qu'un groupe de 500 personnes a toujours la possibilité de trouver quelque part quelqu'un à former pour devenir chief data officer. Pour une entreprise de dix, quinze ou trente salariés, dont le coeur d'activité n'est pas de se mettre en conformité avec tel ou tel type de règlement, mais de développer ses activités, qu'elles soient d'entreprise à entreprise ou d'entreprise à client, le temps et les ressources disponibles sont très difficiles à mobiliser.

- La succession d'un certain nombre de règlements qui s'appliquent, du RGPD à, demain, ePrivacy, suscite des interrogations, tant sur les ressources à y allouer pour se mettre en conformité que sur l'incertitude juridique issue des révisions successives. Il faut développer notre vigilance, pour améliorer la prévisibilité et la cohérence, loin des injonctions contradictoires entre diverses réglementations.

- Il devient de plus en plus urgent d'intégrer, comme le préconise la CNIL depuis un certain temps, les marges de manoeuvre contenues dans le RGPD pour les États membres dans un véhicule législatif adapté, qui doit produire ses pleins effets au 25 mai 2018.

N'ayons pas une vision trop pessimiste de ce que représente le RGPD. Après les auditions que nous avons menées, ainsi que les rencontres dans les territoires et les circonscriptions, avec des chefs d'entreprise et des acteurs économiques, tout le monde se félicite de l'orientation prise par l'Union européenne en faveur de la défense et la protection des données. Rien ne dit que la tendance dictée par d'autres opérateurs transcontinentaux sur le fonctionnement du traitement des données et de leur marchandisation représente l'avenir. Je suis pour ma part convaincu qu'avec le RGPD, on verra de plus en plus d'opérateurs, y compris extracontinentaux, se plier à ces règles. Des sensibilités comparables émergent aux États-Unis et à l'Est de la planète.

Plus largement, le consentement, tel qu'il est compris dans le RGPD, doit irriguer le règlement ePrivacy. C'est en ce sens que nous demandons à ce que le consentement de l'utilisateur ne soit pas présumé en amont par le paramétrage automatique du navigateur, mais qu'il soit recueilli, notamment pour ce qui est des « cookies tiers », après une information claire de l'utilisateur. Aujourd'hui, l'internaute est sollicité et informé du type d'information recueillie sur une page web. Il y a deux catégories d'utilisateurs : ceux qui cochent pour avoir accès à l'ensemble des services, sans trop savoir à quoi ils s'exposent et ceux qui, par habitude ou par conviction, ne souhaitent pas laisser de traces sur internet. Ils peuvent alors décider de ne pas aller plus loin ou ne pas accepter le traçage. Nous souhaitons, par nos propositions, déplacer le curseur, aujourd'hui très favorable à ceux qui savent, vers ceux qui ne savent pas, pour les informer, non pas des risques, mais des sujets auxquels ils s'exposent demain, tels que le profilage, ou la différence dans le traitement de l'information.

Nous aurions, en matière de cybersécurité, bien plus de réserves sur le texte proposé par la Commission européenne, au milieu d'un ensemble qui compose le « paquet cybersécurité ». La proposition de règlement accroît le mandat de l'ENISA, soit l'agence européenne de cybersécurité et lui confie notamment la gestion d'un système de certification européen. Ces deux points peuvent poser problème.

En premier lieu, les agences nationales comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France ont démontré depuis de nombreuses années leurs capacités à assurer la cybersécurité des citoyens dans les États membres. Dès lors, un accroissement du mandat de l'ENISA, qui ne dispose par ailleurs que d'un personnel limité, ne doit pas se faire au détriment de la capacité d'action de chacune des autorités nationales. L'ANSSI compte 500 agents, contre 80 à l'ENISA. Cela ne doit pas décourager non plus les États membres dépourvus d'une autorité comparable à l'ANSSI d'investir dans leur cybersécurité. De plus, les schémas de certification nationaux, tels que celui défini par l'ANSSI pour la France, sont déjà reconnus parmi les meilleurs standards mondiaux. Dès lors, une certification européenne doit viser un niveau ambitieux, tout en modulant le degré de certification en fonction du caractère stratégique des objets concernés.

Enfin, et nous en terminerons par-là, la fiscalité qui s'applique aux entreprises numériques doit viser une plus grande justice et une meilleure efficacité. Je ne reviendrai pas sur les nombreux cas qui ont émaillé l'actualité ni sur la définition toute récente par la Commission européenne d'une nouvelle liste de paradis fiscaux. Mais les caractéristiques de l'économie numérique sont propices aux risques d'érosion de la base fiscale et de transfert des bénéfices, en vertu de la légèreté des actifs engagés, de l'absence d'infrastructures physiques dans les pays dans lesquels la valeur ajoutée est créée ou encore de la possibilité de s'implanter dans des États tout en exerçant une majeure partie de son activité ailleurs. C'est cet état de fait que le Gouvernement français a souhaité corriger avec sa proposition d'une taxe d'égalisation, portant sur le chiffre d'affaires des entreprises du numérique dans chaque État membre. Le but est véritablement de taxer la valeur là où elle est créée, et ce d'autant plus que les acteurs du numérique ont besoin de biens publics, tels que des infrastructures de bonne qualité ou une main-d'oeuvre qualifiée. C'est à ce titre, entre autres, qu'une juste contribution nous paraît indispensable. Cette taxe ne sera toutefois qu'un premier pas avant la conclusion des travaux de l'OCDE en la matière, au printemps 2018. Mais des progrès rapides sur ces sujets permettront à l'Union européenne d'avoir une position commune et donc de peser d'autant plus dans les débats mondiaux à venir relatifs à l'impôt sur les sociétés.

Avant de passer aux questions, je me permets de saluer et d'accueillir dans notre commission, M. Raphaël Schellenberger qui vient en remplacement de M. Marc Le Fur.

Madame la Présidente, chers collègues. J'interviens au nom de Laure de La Raudière qui, en appui de la mission confiée à M. Villani sur l'intelligence artificielle, a travaillé sur ce sujet. Elle me demande de vous transmettre quelques réflexions par rapport à votre présentation. Elle proposera des amendements à l'occasion de l'étude de cette proposition de résolution par la commission des affaires économiques. Au neuvième considérant, l'obligation de stockage des données sur le territoire européen pour des considérations nationales ou européennes mérite sans doute d'être expertisée et débattue plus longuement. Mme de La Raudière est ennuyée que la proposition réfute son éventuel intérêt et préférerait que ce considérant soit retiré. Il n'est d'ailleurs pas indispensable à la proposition de résolution européenne. De plus, dans ce même paragraphe, la proposition dit une chose et son contraire à la ligne suivante. La suppression de cette partie semble sage. Au dixième considérant, elle souhaite entendre vos explications. Au onzième considérant, elle indique qu'elle est tout à fait en faveur de la portabilité des données personnelles et que c'est d'ailleurs inclus dans le RGPD. En revanche, la définition des données enrichies par le fournisseur de service n'est pas claire ; il serait utile de la préciser. Elle pense qu'il faudrait supprimer la mention « à l'exclusion des données enrichies par le fournisseur de service » et en rester au principe de changement de fournisseur de service et de portabilité des données, parce qu'il s'agit d'une proposition de résolution et non un texte de loi. Le point 8 de la proposition de résolution n'est pas clair et nécessite des explications. Enfin, le point 10 est problématique et nous avons eu de nombreux débats sur ce sujet au moment de la loi pour une République numérique. Les données générées par l'utilisation du service ne doivent pas inclure les secrets de fabrication de l'entreprise et cela mérite d'être précisé. Elle vous remercie de votre écoute.

Vos remarques portent sur des éléments rédactionnels ou de précision qui me paraissent pour certains utiles, notamment sur les données enrichies. Nous avons eu ce débat pendant la loi sur la République numérique. Je connais les instances qui portent ce type de sujet et je ne vois aucun inconvénient à ce qu'il y ait des amendements rédactionnels ou de précision sur ces points-là.

Pour les éléments cités, cela ne nous semble pas contradictoire. Ce sera peut-être un débat qu'il faudra approfondir à d'autres occasions, mais il peut y avoir des cas expressément justifiés et identifiés de localisation forcée des données, par exemple pour des raisons de sécurité ou de défense. Mais cela ne doit pas empêcher que la libre circulation se fasse via un principe de libre coopération reposant sur une collaboration étroite entre les autorités nationales.

On introduit l'idée qu'il y a une règle générale et une exception, mais l'exception ne peut pas devenir la règle. Je rappelais cela notamment avec la notion de cloud souverain où on avait dit de facto que toutes les collectivités publiques devaient faire appel à des fournisseurs de services qui offraient la garantie d'un cloud souverain. Dit autrement, les données restaient sur le territoire national. C'est une traduction technique dont on avait du mal à trouver la réalité en France et, en vérité, il y avait très peu de fournisseurs qui étaient en capacité de dire où les données étaient localisées. Ce n'est pas parce qu'un data center est localisé en France qu'on a la garantie que les données et leur traitement restent en France. Ce que l'on expose dans la proposition de résolution, c'est de s'inscrire dans une logique de libre circulation des données à l'échelon du continent européen, n'exceptant pas l'idée que pour des raisons particulières, il faille les conserver sur le territoire national. Comme le disait Mme Le Grip tout à l'heure, nous nous trouvons devant des enjeux d'intelligence artificielle : la performance de l'algorithme est liée à la taille des data sets. Soit vous voulez des entreprises qui sont performantes et donc vous leur offrez la possibilité d'avoir accès à de larges quantités de données : cela nécessiterait un débat sur l'anonymisation et la pseudonymisation des données. Soit on réduit le terrain de jeu de l'ensemble des acteurs économiques au territoire national. Aujourd'hui, je pense à Facebook qui a deux cents millions d'utilisateurs aux États-Unis. Avec cette base, ils ont une large capacité de développement des algorithmes comportementaux et marketing. Si on restreignait l'utilisation d'un certain nombre de données, notamment les données publiques, qui une fois anonymisées ou pseudonymisées, pourraient servir dans le domaine de la santé, on réduirait la possibilité d'innover. Il faut prévoir des limites ; il faut prévoir des exceptions, si on décide qu'un certain nombre de données n'ont pas, pour des raisons de secret industriel ou de protection nationale, à circuler librement. Donc il n'y a pas de contradiction. Dans la rédaction d'une proposition de résolution, il est difficile de faire tenir tous ces éléments de précision. Pour le reste, si tôt la commission saisie sur le fond, il sera apporté des réponses.

Je salue à mon tour l'excellent travail des rapporteurs sur ce sujet essentiel. Dans cette société de la connaissance, la circulation va de pair avec la protection des données pour garantir la confiance des citoyens européens. Or plusieurs incidents ont récemment montré que les acteurs n'étaient pas forcément vertueux, qu'il s'agisse d'Uber dont 60 millions de données de conducteurs et d'utilisateurs ont été dérobées, ou bien de la poupée Cayla, manipulable à distance. Un robuste volet cybersécurité est donc indispensable si l'on veut renforcer la confiance des citoyens dans le partage des informations. C'est essentiel pour bénéficier des innovations offertes par l'exploitation des données, par exemple en matière de télémédecine ou bien de réseaux énergétiques intelligents, mais cela suscite des craintes - sur ce point, voyez les difficultés rencontrées par le déploiement du compteur Linky. Considérez-vous que les moyens des organismes tels que la CNIL sont suffisamment renforcés par ces avancées ?

La France a tardé à s'emparer de ce sujet pourtant très important, au point d'apparaître à la remorque, finalement, d'autres États membres et d'autres instances européennes. Ce projet de règlement favorise la libre circulation des données non personnelles, interdit les géoblocages injustifiés imposés par les États sur leur territoire, ménage des exceptions de bon sens pour les données relatives à la sécurité publique. La France porte, au Conseil, une extension de ces exceptions aux données administratives, notamment de santé publique. En effet, la libre circulation des données nécessite une confiance absolue tant envers l'État membre concerné qu'envers les citoyens, qui parfois n'existe pas. Que pensez-vous de cette proposition française d'extension de l'exception aux données administratives ?

Ce sujet est très vaste, et parmi les nombreuses questions qu'il pose, il y a celle du droit d'auteur. Le marché unique est finalement un outil de développement économique de notre espace commun face à d'autres grandes zones, qui nous font concurrence. Dans certaines zones, des règles plus souples en matière de droits d'auteur favorisent les acteurs économiques. Ne risque-t-on pas, avec ces règles proposées d'une façon un peu trop légère sous le prisme du marché unique du numérique, un dumping au sein de l'Union européenne ?

Sur le droit d'auteur, M. Schellenberger, nous l'abordons aux points 18 et 19 de la proposition de résolution européenne : c'est un sujet loin d'être anodin, mais ce n'est pas le coeur de notre rapport. La commission des affaires européennes a traité ce sujet sous la précédente législature avec l'excellent rapport Gaymard-Karamanli sur l'adaptation du droit d'auteur à l'ère numérique. Notre Assemblée, via notamment la commission des affaires culturelles, suit très attentivement la finalisation en cours de la révision de la directive sur le droit d'auteur, et le Gouvernement comme les eurodéputés français sont très engagés pour que l'harmonisation des règles du droit d'auteur ne se traduise pas par un amoindrissement de ce dernier, mais bien au contraire par son renforcement. C'est un droit moderne, car immatériel, parfaitement adapté à cette révolution numérique. De la même façon, sans en faire le coeur du rapport, nous avons parlé d'autres sujets, évoqués à juste titre notamment par Mme Sophie Auconie relayant les préoccupations de Mme de La Raudière, comme le secret de fabrication, le secret d'affaires, la propriété intellectuelle, etc., pour lesquels se posent des questions similaires de lutte contre la contrefaçon, le piratage.

Vos rapporteurs ne sont pas favorables à l'extension de la localisation à d'autres natures de données car une réflexion en silo avec les données de sécurité, les données de santé, etc., comporte le risque d'aboutir à une restriction trop forte de la circulation des données. Une approche plus fine permet de définir ce qu'est une donnée sensible ou pas, protégée ou pas. Faut-il avoir une approche globale ou bien une approche différenciée en fonction de telle ou telle nature de données ? La première approche est celle qui a été suivie jusqu'à présent, en considérant qu'une entreprise, un process, un ensemble de données devaient être protégés. Mais il y a des opérateurs d'importance vitale (OIV) qui produisent des données qui ne sont pas des données sensibles. Compte tenu de cette dualité, vos rapporteurs considèrent qu'il faut avoir une autre approche, en se donnant autant que faire se peut les moyens d'assurer la liberté de circulation des données la plus grande possible en Europe, ce qui implique de renforcer la coopération entre les États membres et notamment entre leurs agences.

Le cas de l'Estonie est éclairant. Ce pays, très avancé en matière d'économie numérique, a fait le choix d'abriter ses données au Royaume-Uni, considérant que leur protection y était mieux assurée qu'en Estonie même. Les choix de protection des données ne répondent pas, parmi les États membres, à des critères identiques.

S'agissant de la Commission nationale de l'informatique et des libertés (CNIL) et des autres autorités, comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI), au-delà des moyens humains nécessaires pour conduire leurs actions, les dispositions réglementaires, notamment pour ce qui est des sanctions, sont par elles-mêmes dissuasives et devraient entraîner la mise en conformité des entreprises à ce règlement.

Sur le sujet de la confiance, qui est essentielle, vous avez raison, M. Michels : cette dernière repose à mon sens sur la transparence et l'accès aux données, c'est-à-dire que le consommateur d'une montre connectée, d'une poupée connectée, de domotique est informé non seulement des services rendus par ces outils, mais surtout des données captées. Ce consommateur doit savoir à qui elles sont destinées, s'il s'agit d'un tiers connu ou inconnu. Les fournisseurs doivent être dans l'obligation de donner l'information la plus claire possible sur l'intention sous-jacente au recueil des données.

Cela pose aussi la question de la certification des objets connectés, et du niveau de cette dernière, au plan européen, par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) ou bien au plan national pour les États membres qui ont cette capacité, comme la France et l'Allemagne.

Les enjeux ne sont pas nouveaux, notamment pour les données personnelles, le droit d'auteur, la stratégie à avoir tant au niveau des États membres qu'au niveau de l'Union. Je me félicite de la continuité des travaux de notre commission, qui s'était déjà penchée sur ce dernier sujet en février dernier.

Il me semble que, en cohérence avec la préoccupation traditionnelle de la France, la proposition de résolution européenne devrait insister plus fortement sur deux éléments clés du modèle économique : d'une part, la question de la régulation des plateformes, essentielle non seulement pour maintenir les services, créer de la confiance, mais aussi pour lutter contre les nouveaux monopoles qu'elles génèrent et, d'autre part, garantir la propriété des données collectées, c'est-à-dire, le droit pour les personnes d'y consentir, d'y accéder, de les récupérer, de les faire effacer, c'est-à-dire le droit à l'oubli.

En matière de cybersécurité, je partage votre analyse au sujet du renforcement de la coopération des agences, mais j'ajouterai un point important, celui du contrôle des agences, notamment le contrôle parlementaire. Nous en avons parlé lors de notre discussion sur Europol.

Je partage l'appréciation flatteuse de mes collègues sur ce rapport. Pourriez-vous toutefois nous préciser le contenu des règles en matière de sécurité et de sûreté des données numériques que vous appelez de vos voeux aux points 8 et 9, ainsi que ce que devrait être l'articulation entre l'action des agences au niveau européen et au niveau des États membres, dont vous parlez au point 14 ?

Le numérique permet de futures révolutions technologiques, mais aussi démocratiques. Il est donc crucial que l'Europe soit à l'avant-garde. Mais ce projet de règlement général me semble surtout légaliser les stratégies d'entreprises privées, dont les collectes de données personnelles à des fins commerciales avec notamment le profilage, sont antagonistes avec l'idée même de démocratisation. Nous sommes favorables à une telle collecte lorsqu'elle se fait à des fins artistiques, de recherche, ou dans un sens d'intérêt général.

Je partage votre position sur la nécessité de défendre les agences nationales de protection : or ce règlement renforce le niveau européen. Que faire ? Il limite fortement le droit à l'oubli, alors que nous voulons au contraire le protéger. Comment faire ?

Quant à la taxation des entreprises du numérique, plusieurs démarches, parfois contradictoires d'ailleurs, ont été lancées par la Commission et par la France, vous l'avez évoqué. Quel est votre point de vue sur la proposition française, notamment sur la taxation des entreprises déficitaires et la définition du périmètre des entreprises numériques, alors que l'Assiette Commune Consolidée pour l'Impôt sur les Sociétés (ACCIS) a un champ plus large, avec ses trois indicateurs d'activité ? Quel projet devrait être mis en oeuvre de façon prioritaire ? Les attentes de nos concitoyens sont fortes, tant au regard de l'enjeu démocratique que des recettes fiscales qui en découlent !

Je souhaiterais réagir aux propos de la Rapporteure, Mme Constance Le Grip sur le positionnement que pourraient avoir les institutions européennes et aussi nationales au sujet de la limitation de la liberté d'expression, notamment la répression de l'incitation à la haine. Nous sommes tous attachés à la liberté d'expression et nous sommes tous d'accord pour que celle-ci s'exerce dans les limites fixées par le code pénal. L'appel à la commission d'un crime ou d'un délit ne doit pas être possible, quel que soit le mode de transmission des données. La difficulté vient du flou qui entoure le concept de haine, qui n'est jamais déterminé de manière précise. La haine est un sentiment, certes répréhensible mais également insusceptible de mesure. La définition qui en est faite peut être extrêmement variable. « Selon que vous serez puissant ou misérable, les jugements de cour vous rendront blanc ou noir ». Un discours pourra être qualifié d'incitation à la haine, alors que le discours opposé, s'il émane d'un groupe majoritaire ou exerçant le pouvoir, sera qualifié de discours d'amour, de justice et de vérité. C'est un problème. De manière identique, une même caricature ne sera pas appréciée de la même façon selon qu'elle émane de Charlie Hebdo qui, compte tenu des événements dramatiques qui l'ont frappé, est extrêmement bien vu des autorités, ou de M. Alain Soral. Je suis très attaché à ce que la loi soit la même pour tous et je tiens à faire part de mon inquiétude à ce sujet. Je crains que l'exploitation d'un sentiment diffus puisse permettre de museler la liberté d'expression de certains et favorise la domination doctrinale et culturelle de leurs opposants.

Le champ du numérique est vaste. Nous n'avons pas abordé dans notre rapport des sujets tels que la cyber-malveillance, le cyber-harcèlement, les problématiques de la théorie du complot ou des rumeurs. L'Assemblée nationale a déjà légiféré à ce sujet et des missions d'information se sont penchées sur ces thématiques. Mais une actualisation est peut-être nécessaire et cela justifierait que certaines commissions parlementaires engagent une nouvelle réflexion sur ces thèmes.

Je pense qu'Internet n'est pas à l'origine de la diffusion d'informations malveillantes mais qu'il constitue une caisse de résonnance inédite en vertu d'une capacité extraordinaire de massification de l'information. C'est un outil capable de créer des biais de connaissance autour desquels se forment des communautés. Il permet à des petits groupes de mobiliser une idéologie et de l'imposer aux autres. Ce sont ces dangers auxquels nous devons faire face. Gérald Bronner dans La démocratie des crédules met en évidence la vulnérabilité de la société à ce sujet. Certains estiment peut-être que la régulation des plateformes pourrait permettre d'effectuer un tri entre la bonne information et la mauvaise. Il ne serait pas malsain d'avoir un débat sur les « fake news » ou sur la hiérarchisation des informations. Mais je pense qu'au-delà de la régulation des plateformes, ce à quoi nous sommes tous très attachés, c'est surtout la possibilité d'avoir accès de manière transparente aux algorithmes qui permettent de hiérarchiser les informations. Pourquoi lorsque l'on tape « bébé » sur Google, en Europe, n'apparaissent quasiment que des photographies d'enfants blancs ?

Les législateurs, nationaux et européens, doivent instaurer un cadre de liberté suffisant pour permettre l'innovation et la création de nouvelles formes de marchés, mais disposant de règles de veille et de contrôle permettant à tout moment de comprendre pourquoi l'utilisateur d'Internet se voit proposer tel produit. Le législateur, qui peut devenir régulateur, doit avoir accès aux outils qui hiérarchisent, concatènent et organisent l'information.

La question de la fiscalité des plateformes se pose depuis longtemps. Des initiatives, notamment une initiative française, ont été portées à ce sujet il y a quelques mois. Elles n'ont pas encore abouti mais il y a une avancée certaine et ce qui était inconcevable, à savoir la taxation des activités des plateformes sur le chiffre d'affaires réalisé dans chaque pays, est aujourd'hui discuté par des pays importants au sein de l'Union européenne. Je veux croire que ces efforts solidaires aboutiront rapidement à une solution.

Il est beaucoup question de confiance dans les thématiques liées au numérique mais les entreprises continuent à recourir à des stratégies de contournement. Depuis l'arrêt Schrems, du nom d'un ressortissant autrichien qui avait obtenu gain de cause face à Facebook, Google donne à ses utilisateurs la possibilité de cocher les données qu'ils souhaitent ou ne souhaitent pas voir transférées, mais il faut réitérer cette manipulation tous les quinze jours. Des projets de sanctions sont-ils envisagés pour empêcher ce type de stratégies qui misent sur l'usure du consommateur ?

Ces désagréments sont hélas répandus. C'est la raison pour laquelle nous proposons dans notre rapport de retenir une notion du consentement qui irait au-delà d'un simple « opt out », pour empêcher que les entreprises puissent considérer qu'une absence de renonciation catégorique vaut acceptation.

Merci. La discussion générale est close. Nous passons à l'examen de la proposition de résolution. Nous sommes saisis de plusieurs amendements. Nous commençons par l'amendement n° 1 de M. Bothorel.

Cet amendement rédactionnel vise à reprendre les termes de la CNIL dans la proposition de résolution.

Avis favorable.

Cet amendement rédactionnel vise à remplacer le mot « agence » par le mot « autorité » pour tenir compte du fait que la CNIL n'est pas une agence.

Avis favorable.

Cet amendement vise à préciser que l'harmonisation maximale mentionnée dans la proposition doit se faire « par le haut ».

Nous ne sommes pas convaincus que l'on puisse apporter cette précision car cela pourrait contrevenir aux marges de manoeuvres dont devront pouvoir disposer les États membres lorsqu'ils traduiront dans leur droit interne les orientations générales contenues dans le règlement général sur la protection des données.

Je tiens à vous rassurer. Nous sommes dans le cadre de l'examen d'une proposition de résolution, pas dans celui de la rédaction d'un règlement ou d'une directive.

Une proposition de résolution n'est pas une succession de points désolidarisés les uns des autres. Il est évident que la proposition de résolution que nous vous soumettons est ambitieuse et il me semble inutile d'apporter cette précision.

Qui peut le plus, peut le moins. De plus nous sommes tous d'accord sur ce point. Alors pourquoi ne pas l'indiquer ?

À titre de prise de position politique et dans la mesure où cela n'interfère pas sur la rédaction du règlement général, je pense que l'on peut effectivement faire figurer cette précision.

Je n'y suis pas opposé et cela permettra d'affirmer sans ambiguïté notre position commune.

Je rappelle que dans cette commission nous avons toujours fonctionné de manière unanime avec la volonté partagée et profonde d'oeuvrer en faveur de nos concitoyens et en rejetant tout positionnement politicien.

Nous sommes saisis d'un amendement n° 4 présenté par M. Éric Bothorel, co-rapporteur.

C'est un amendement qui vise à affirmer que, sans aller jusqu'à l'exclusivité, la conservation des données par les autorités publiques doit obéir en premier lieu à des fins expresses de sécurité et de défense nationale. Nous avons eu ce débat tout à l'heure pour savoir jusqu'où aller dans la collecte des données. C'est une modification qui n'emportera pas de gros sujet.

Sur le point 7 de la proposition de résolution européenne, nous demandons de garantir aux internautes le droit d'exprimer un consentement libre. C'est un élément essentiel que vous rappelez mais nous pensons que la seconde partie de la phrase contraint le consentement libre. Nous proposons donc de supprimer cette partie de la phrase et s'en tenir à l'affirmation du principe du consentement libre des internautes sur le traitement des données.

Je comprends la motivation et l'exposé des motifs de cet amendement. Il y a une singularité et une actualité autour du monde de la presse qui motive le positionnement de la proposition rédactionnelle initiale. L'idée est de ne pas nuire à certains modèles économiques qui ne pourraient pas s'adapter aux dispositions que nous préconisons. Il me paraît responsable, à ce stade, que nous ayons cette position mesurée plutôt que d'exclure fermement cette possibilité.

Je vois dans ce point 7 tout et son contraire : nous sommes entièrement d'accord avec la première partie mais les nuances introduites dans la seconde partie pour exclure certaines activités me posent problème. Vous introduisez une exception mais qui va déterminer cette exception ? Il n'y a alors plus de garantie et c'est la raison pour laquelle je soutiens cet amendement.

J'entends votre point de vue, je vous renverrais bien que nous ne faisons pas la loi et le sujet qui est le nôtre aujourd'hui est une proposition de résolution. J'ai exposé de manière transparente et claire les raisons de l'articulation et de la rédaction proposées : il s'agit de permettre une transition.

L'amendement n° 5 est adopté.

Nous sommes saisis d'un amendement n° 6 présenté par Mme Marietta Karamanli.

Il est défendu.

Le point 8 traite des données non personnelles et ne peut donc, au risque d'un contresens, viser la protection des données personnelles. Avis défavorable donc.

C'est un amendement qui demande au Gouvernement de s'engager fortement sur la régulation des plateformes numériques qui, si elles créent de nouveaux modèles économiques, ne doivent pour autant être autorisée à privatiser, au sens d'en prendre le contrôle, un certain nombre de services et de données. C'est un engagement qui est demandé au Gouvernement à travers une nouvelle rédaction du point 8.

Il y a déjà beaucoup de textes qui visent à réguler les plateformes et notamment le règlement général de protection des données. Je rappelle qu'il y a actuellement des travaux effectués par la Commission européenne qui pourraient aboutir sur des propositions qu'il conviendra d'examiner en temps voulu.

Il s'agit d'affirmer un peu plus la protection par rapport aux privatisations. C'est une protection que l'on ajoute au niveau de ce qui est proposé au point 8.

Il faudrait alors préciser ce qu'on entend par privatisation donc j'y suis défavorable.

Sur le point 17, la proposition consiste à ajouter, après les termes « assiettes fiscales » l'expression « tout en travaillant à une harmonisation par le haut des taux d'imposition des services numériques ». Cela rejoint le premier amendement que nous avons présenté et s'inscrit totalement dans une volonté d'harmoniser l'imposition fiscale qui est assez largement portée au sein de notre assemblée et également par le Gouvernement.

Je suis embêté par cet amendement car nous ne sommes déjà pas parvenus à harmoniser la fiscalité dans l'économie réelle. Nous sommes, certes dans une proposition de résolution, mais également dans une démarche où on suit les travaux effectués par ailleurs dans le domaine fiscal. On a rappelé, tout à l'heure, le long chemin parcouru par l'idée d'aboutir à une fiscalité des activités numériques. Je crains que si l'on pose comme un point non-négociable la nécessité d'avoir à la fois une fiscalité et une harmonisation des taux pour le secteur numérique, on risque de n'aboutir à rien. Cela me semble être un obstacle supplémentaire à la réalisation d'une fiscalité du numérique. Nous portons tous les deux et, ensemble de manière plus générale, l'idée qu'il faut aller très vite et très loin sur la fiscalité des plateformes. Mais conditionner les avancées en la matière à une harmonisation par le haut me paraît être de nature à décourager les ambitions portées pour aboutir à une fiscalité du numérique.

Ce qui compte en Europe aujourd'hui, c'est l'harmonisation. Peu importe finalement la valeur du taux si on arrive à converger vers un taux plus cohérent pour tous les États membres.

Je pense au contraire qu'aujourd'hui en Europe, ce n'est pas juste l'harmonisation mais l'harmonisation par le haut qui est importante. Si on ne donne pas de signal positif et ambitieux, en particulier sur le secteur d'avant-garde que représente le numérique, il me semble que l'on passe à côté d'une question cruciale. L'harmonisation dans un sens ou dans un autre n'a pas le même impact, notamment dans les consciences, sur l'image de l'Europe. Savoir si l'on se dirige vers une Europe du mieux ou du moins-disant fiscal et social n'est pas un détail insignifiant.

Je tiens juste à rappeler le positionnement du Président de la République en matière d'harmonisation fiscale qui insiste fortement, depuis plusieurs mois, dans ses discours sur cette question. Si au sein même de la majorité cette volonté n'est pas portée dans une proposition de résolution, il me semble qu'il y a un recul…

Il ne s'agit pas d'un recul, mes chers collègues. J'entends que l'on puisse nourrir des ambitions très fortes qui soient de réussir à faire avec le numérique tout ce que l'on n'a pas réussi à faire dans le reste de l'économie réelle. Il convient de rappeler les différences qui peuvent exister en matière de fiscalité ; aujourd'hui l'harmonie fiscale et l'harmonie sociale ne sont pas au rendez-vous. Je pense qu'il est illusoire de penser que parce qu'il s'agit de plateformes numériques, on arrivera à faire tout ça en même temps. À ce stade, cette double ambition me semble prématurée. Si les collègues ici présents s'associent à l'idée qu'on salue l'effort pour aboutir rapidement à une fiscalité des plateformes et des activités numériques, cela me semble déjà bien. Je partage l'idée selon laquelle l'Union européenne devrait, dans un monde idéal, avoir un mode de fonctionnement plus harmonieux mais à ce stade, portons la volonté d'avancer vite et bien sûr la fiscalité du numérique, chose encore impensable il y a quelque temps, et nous traiterons ensuite de la capacité des uns et des autres à oeuvrer pour son harmonisation.

Je suis un peu gêné par cet amendement. Comme le rappelait Marietta Karamanli, l'harmonisation fiscale est un thème que j'ai pu porter pendant la campagne présidentielle et c'est notamment l'ambition du Président de la République. Ce qui me dérange, c'est la mention des termes « par le haut » car il ne s'agit pas de considérer que notre système d'imposition est le meilleur, ni même que l'imposition la plus haute est la meilleure. J'aimerais proposer de sous-amender éventuellement cet amendement pour supprimer ces termes.

J'accepte ce sous-amendement.

Pour satisfaire toutes les parties, je vous propose d'ajouter à la rédaction initiale l'idée d'harmonisation proposée par l'amendement sans mentionner les termes « par le haut ».

Je mets aux voix l'amendement ainsi modifié : « après les termes « assiettes fiscales », ajouter les termes « tout en visant une harmonisation des taux d'imposition des services numériques ».